AWS Site-to-Site VPN とは

デフォルトでは、Amazon VPC 内で起動するインスタンスは、例えばサイトやオンプレミスデバイスなど、ローカル (AWS クラウド) ネットワークやリモートデバイスと通信できません。VPC からリモートデバイスへのアクセスを有効にするには、 AWS Site-to-Site VPN (Site-to-Site VPN) 接続を作成し、接続を経由してトラフィックを渡すようにルーティングを設定します。

VPN 接続という用語は一般的な用語ですが、このドキュメントでの VPN 接続は VPC とユーザーのオンプレミスネットワークの間の接続を指します。Site-to-Site VPN ではインターネットプロトコルセキュリティ (IPsec) VPN 接続がサポートされています。

概念

Site-to-Site VPN の主な概念は次のとおりです。

• VPN 接続: オンプレミス機器と VPC 間の安全な接続。

• VPN トンネル: お客様のネットワークと AWS の間でデータを送受信できる暗号化されたリンク。

  各 VPN 接続には、高可用性のために同時に使用できる 2 つの VPN トンネルが含まれています。

• カスタマーゲートウェイ: カスタマーゲートウェイデバイスに関する情報を AWS に提供する AWS リソース。

• カスタマーゲートウェイデバイス: Site-to-Site VPN 接続のユーザー側にある物理的なデバイスまたはソフトウェアアプリケーション。

• ターゲットゲートウェイ: Site-to-Site VPN 接続の Amazon 側にある VPN エンドポイントの総称。

• 仮想プライベートゲートウェイ: 仮想プライベートゲートウェイは、単一の VPC にアタッチできる Amazon 側の Site-to-Site VPN 接続の VPN エンドポイントです。

• 転送ゲートウェイ: 複数の VPC とオンプレミスネットワークを相互接続するために使用でき、Site-to-Site VPN 接続の Amazon 側の VPN エンドポイントとして使用できる転送ハブ。

Site-to-Site VPN 機能

以下の機能は AWS Site-to-Site VPN 接続でのみサポートされています。

• Internet Key Exchange バージョン 2 (IKEv 2)

• NAT トラバーサル

• 仮想プライベートゲートウェイ (VGW) 構成の場合、1～2147483647 の範囲の 4 バイトの ASN。詳細については「AWS Site-to-Site VPN 接続のカスタマーゲートウェイのオプション」を参照してください。

• 1～65535 の範囲のカスタマーゲートウェイ (CGW) 用の 2 バイトの ASN。詳細については「AWS Site-to-Site VPN 接続のカスタマーゲートウェイのオプション」を参照してください。

• CloudWatch メトリクス

• カスタマーゲートウェイのための再利用可能な IP アドレス

• 追加の暗号化オプション (AES 256 ビット暗号化、SHA-2 ハッシュ、および追加の Diffie-Hellman グループ)

• 設定可能なトンネルオプション

• Amazon 側の BGP セッションのためのカスタムプライベート ASN

• による下位 CA からのプライベート証明書AWS Private Certificate Authority

• AWS Site-to-Site VPN の IPv6 サポートのサポート

  • 内部トンネル IP アドレスの IPv6 (パケット IP)

  • Transit Gateway および Cloud WAN 上の外部トンネル IP アドレス (トンネル IP) の IPv6

• 次の組み合わせによる IPv6 移行の完全なサポート:

  • IPv6 内部パケット IP (IPv6-in-IPv6) を使用した IPv6 外部トンネル IP

  • IPv4 内部パケット IP (IPv4-in-IPv6) を使用した IPv6 外部トンネル IP

Site-to-Site VPN の制限

Site-to-Site VPN 接続には次の制限があります。

• IPv6 トラフィックは、仮想プライベートゲートウェイの VPN 接続ではサポートされません。外部トンネル IP の IPv6 は、Transit Gateway と Cloud WAN でのみサポートされています。

• Site-to-Site VPN 接続は、パス MTU 検出をサポートしていません。

• 単一の Site-to-Site VPN 接続は、IPv4 トラフィックと IPv6 トラフィックの両方はサポートできません。IPv4 パケットと IPv6 パケットを転送するには、個別の VPN 接続が必要です。

• プライベート IP VPN 接続は、外部トンネル IP の IPv6 アドレスをサポートしていません。

• IPv6 を使用するように既存の IPv4 VPN 接続を変更することはできません。既存の接続を削除し、新しい接続を作成する必要があります。

さらに、Site-to-Site VPN を使用する場合は次の点を考慮してください。

• VPC を共通のオンプレミスネットワークに接続する場合は、ネットワークに重複しない CIDR ブロックを使用することをお勧めします。

Site-to-Site VPN リソース

次のインターフェイスのいずれかを使用して、Site-to-Site VPN リソースの作成、アクセス、管理を行うことができます。

• AWS マネジメントコンソール —Site-to-Site VPN リソースへのアクセスに使用できるウェブインターフェイスを提供します。

• AWS Command Line Interface (AWS CLI) — Amazon VPC を含むさまざまな AWS サービス用のコマンドを備えており、Windows、macOS、Linux でサポートされています。AWS Site-to-Site VPN コマンドラインは、より広範な EC2 コマンドラインリファレンスに含まれています。

  • これらのコマンドラインインターフェイスの一般情報については、「AWS Command Line Interface」を参照してください。

  • Site-to-Site VPN コマンドを含む使用可能な EC2 コマンドのリストについては、「EC2 コマンドラインリファレンス」を参照してください。

    注記

    コマンドラインリファレンスでは、Site-to-Site VPN コマンドと、より広範な EC2 コマンドは区別されません

• AWS SDK — 言語固有の API を提供し、署名の計算、リクエストの再試行処理、エラー処理など、接続のさまざまな詳細を処理します。詳細については、AWS SDK をご参照ください。

• クエリ API— HTTPS リクエストを使用して呼び出す低レベル API アクションを提供します。クエリ API の使用は、Amazon VPC の最も直接的なアクセス方法ですが、リクエストに署名するハッシュの生成やエラー処理など、低レベルの詳細な作業をアプリケーションで処理する必要があります。詳細については、Amazon EC2 API リファレンスを参照してください。

料金

VPN 接続がプロビジョニングされ、利用可能な VPN 接続時間ごとに課金されます。詳細については、「AWS Site-to-Site VPN および高速化された Site-to-Site VPN 接続の料金」を参照してください。

Amazon EC2 からインターネットへのデータ転送に対して課金されます。詳細については、「Amazon EC2 オンデマンド料金」ページの「データ転送」を参照してください。

高速 VPN 接続を作成すると、2 つのアクセラレーターが作成および管理されます。アクセラレーターごとに、時間単位の料金とデータ転送料金が課金されます。詳細については、「AWS Global Accelerator 料金表」を参照してください。

Site-to-Site VPN 接続で IPv6 アドレスを使用する場合、追加料金は発生しません。