VPN CloudHub を使用して安全なサイト間通信を提供する - AWS Site-to-Site VPN
概要料金

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

VPN CloudHub を使用して安全なサイト間通信を提供する

複数の AWS Site-to-Site VPN 接続がある場合は、AWS VPN CloudHub を使用して、安全なサイト間通信を提供することができます。これで、サイトは VPC のリソースのみとではなく、相互に通信できます。VPN CloudHub は、VPC の有無にかかわらず使用できるシンプルなハブアンドスポークモデルで動作します。この設計は、複数のブランチオフィスと既存のインターネット接続があり、これらのサイト間でプライマリ接続またはバックアップ接続を実現するために、便利でコストを抑えられる可能性のあるハブアンドスポークモデルを実装したいと考えている場合に適しています。

概要

VPN CloudHub アーキテクチャを次の図に示します。破線は、VPN 接続を介してルーティングされるリモートサイト間のネットワークトラフィックを示しています。サイト間で IP 範囲が重複することは許可されません。

CloudHub のアーキテクチャー図

このシナリオでは、次の操作を行います。

  1. 単一の仮想プライベートゲートウェイを作成します。

  2. ゲートウェイのパブリック IP アドレスを持つ複数のカスタマーゲートウェイを作成します。カスタマーゲートウェイの一意のボーダーゲートウェイプロトコル (BGP) 自律システム番号 (ASN) を使用する必要があります。

  3. 各カスタマーゲートウェイから一般的な仮想プライベートゲートウェイに動的にルーティングされる Site-to-Site VPN 接続を作成します。

  4. 仮想プライベートゲートウェイにサイト固有のプレフィックス (10.0.0.0/24、10.0.1.0/24 など) をアドバタイズするように、カスタマーゲートウェイデバイスを設定します。これらのルーティングアドバタイズメントが受信され、各 BGP ピアに再アドバタイズされることで、サイト間でのデータの送受信か可能になります。これを行うには、Site-to-Site VPN 接続の VPN 設定ファイルでネットワークステートメントを使用します。ネットワークステートメントは、使用するルーターの種類によって少し違いがあります。

  5. サブネットルートテーブルのルートを設定して、VPC のインスタンスがサイトと通信できるようにします。詳細については、「(仮想プライベートゲートウェイ) ルートテーブルでルート伝播を有効にする」を参照してください。ルートテーブルに集約ルート (10.0.0.0/16 など) を設定できます。カスタマーゲートウェイデバイスと仮想プライベートゲートウェイ間により具体的なプレフィックスを使用します。

仮想プライベートゲートウェイへの AWS Direct Connect 接続を使用するサイトを、AWS VPN CloudHub に含めることもできます。例えば、ニューヨーク本社で VPC への AWS Direct Connect 接続を確立しながら、ブランチオフィスで VPC への Site-to-Site VPN 接続を使用できます。ロサンゼルスとマイアミのブランチオフィスは、AWS VPN CloudHub を使用して、相互にデータを送受信したり、本社とデータを送受信したりできます。

料金

AWS VPN CloudHub を使用するには、一般的な Amazon VPC Site-to-Site VPN 接続料金を支払います。各 VPN が仮想プライベートゲートウェイに接続されている間は、1 時間ごとに接続料金が発生します。AWS VPN CloudHub を使用してサイト間でデータを送信する場合、サイトから仮想プライベートゲートウェイへのデータ送信にはコストがかかりません。仮想プライベートゲートウェイからエンドポイントに中継されるデータに対しては、標準の AWS データ転送料金のみがかかります。

たとえば、ロサンゼルスとニューヨークのそれぞれにサイトがあり、両方のサイトに、仮想プライベートゲートウェイへの Site-to-Site VPN 接続が存在する場合は、Site-to-Site VPN 接続ごとに支払いが発生します (0.05 USD/時間の場合、合計 0.10 USD/時間)。各 Site-to-Site VPN 接続を通過するロサンゼルスからニューヨークへ (またはその逆に) 送信するすべてのデータについて、標準の AWS データ転送料金の支払いが発生します。仮想プライベートゲートウェイに Site-to-Site VPN 接続経由で送信されるネットワークトラフィックは無料ですが、仮想プライベートゲートウェイからエンドポイントに Site-to-Site VPN 接続経由で送信されるネットワークトラフィックは、標準の AWS データ転送レートで課金されます。

詳細については、「Site-to-Site VPN 接続料金」を参照してください。