AWS Classic VPN から AWS VPN への移行 - AWS Site-to-Site VPN

AWS Classic VPN から AWS VPN への移行

既存の Site-to-Site VPN 接続が AWS Classic VPN 接続であれば、AWS VPN 接続に移行することができます。新しい仮想プライベートゲートウェイに直接移行することも (オプション 1)、またはトランジットゲートウェイを使用して移行することもできます (オプション 2)。オプション 1 の手順では、古い仮想プライベートゲートウェイを VPC からデタッチすると、Site-to-Site VPN 接続が一時的に中断されます。オプション 2 の手順では、Site-to-Site VPN 接続は中断されませんが、トランジットゲートウェイの追加コストが発生します。

AWS Classic VPN 接続を AWS Direct Connect 接続のバックアップとして使用する場合は、Site-to-Site VPN 接続を削除して再作成できます (オプション 3)。オプション 3 の手順では、AWS Direct Connect プライベート仮想インターフェイスのダウンタイムは発生しません。

既存の仮想プライベートゲートウェイが複数の Site-to-Site VPN 接続に関連付けられている場合は、新しい仮想プライベートゲートウェイ用にそれぞれの Site-to-Site VPN 接続を再作成する必要があります。仮想プライベートゲートウェイに複数の AWS Direct Connect プライベート仮想インターフェイスがアタッチされている場合は、新しい仮想プライベートゲートウェイのためにそれぞれの プライベート仮想インターフェイスを再作成する必要があります。詳細については、AWS Direct Connect ユーザーガイドの「仮想インターフェイスの作成」を参照してください。

既存の Site-to-Site VPN 接続が AWS VPN 接続の場合、AWS Classic VPN 接続に移行することはできません。

オプション 1: 新しい仮想プライベートゲートウェイに直接移行する

このオプションでは、新しい仮想プライベートゲートウェイと Site-to-Site VPN 接続を作成し、古い仮想プライベートゲートウェイを VPC からデタッチし、新しい仮想プライベートゲートウェイを VPC にアタッチします。

注記

この手順の間に、ルート伝播を無効にして古い仮想プライベートゲートウェイを VPC からデタッチすると、現在の Site-to-Site VPN 接続による接続は中断されます。新しい仮想プライベートゲートウェイが VPC にアタッチされ、新しい Site-to-Site VPN 接続が有効になると、接続は回復します。予期されるダウンタイムのために必ず計画を立ててください。

AWS VPN 接続へ移行するには

  1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. ナビゲーションペインで [Virtual Private Gateways]、[Create Virtual Private Gateway] を選択して、仮想プライベートゲートウェイを作成します。

  3. ナビゲーションペインで、[Site-to-Site VPN Connections (Site-to-Site VPN 接続)]、[Create VPN Connection (VPN 接続の作成)] の順に選択します。以下の情報を指定し、[Yes, Create] を選択します。

    • [Virtual Private Gateway]: 前のステップで作成した仮想プライベートゲートウェイを選択します。

    • [カスタマーゲートウェイ]: [既存] を選択し、現在の AWS Classic VPN 接続の既存のカスタマーゲートウェイを選択します。

    • 必要に応じてルーティングオプションを指定します。

  4. 新しい Site-to-Site VPN 接続を選択し、[Download Configuration] を選択します。カスタマーゲートウェイデバイスに適した設定ファイルをダウンロードします。

  5. 設定ファイルを使用して、カスタマーゲートウェイデバイスの VPN トンネルを設定します。詳細については、「」を参照してくださいカスタマーゲートウェイデバイス トンネルはまだ有効にしないでください。新しく設定したトンネルを無効にしておくためのガイダンスが必要な場合は、ベンダーにお問い合わせください。

  6. (オプション) テスト VPC を作成し、仮想プライベートゲートウェイをテスト VPC にアタッチします。必要に応じて、暗号化ドメイン/ソース送信先アドレスを変更して、ローカルネットワークのホストからテスト VPC 内のテストインスタンスへの接続をテストします。

  7. ルートテーブルでルート伝達を使用している場合は、ナビゲーションペインで、[Route Tables] を選択します。VPC のルートテーブルを選択し、[ルート伝播]、[Edit route propagation (ルート伝播の編集)] の順に選択します。古い仮想プライベートゲートウェイのチェックボックスをオフにし、[Save] を選択します。

    注記

    このステップ以降、新しい仮想プライベートゲートウェイがアタッチされ、新しい Site-to-Site VPN 接続が有効になるまで接続が中断します。

  8. ナビゲーションペインで [Virtual Private Gateways] を選択します。古い仮想プライベートゲートウェイを選択し、[アクション]、[VPC からデタッチ]、[デタッチする] の順に選択します。新しい仮想プライベートゲートウェイを選択し、[アクション]、[VPC にアタッチ] の順に選択します。Site-to-Site VPN 接続の VPC を指定し、[Yes, Attach] を選択します。

  9. ナビゲーションペインで、[Route Tables] を選択します。VPC のルートテーブルを選択し、次のいずれか 1 つを実行します。

    • ルート伝播を使用している場合は、[ルート伝播]、[ルート伝播の編集] の順に選択します。VPC にアタッチされた新しい仮想プライベートゲートウェイのチェックボックスをオンにして、[保存] をクリックします。

    • 静的ルートを使用している場合は、[Route]、[Edit] の順に選択します。新しい仮想プライベートゲートウェイを指すようにルートを変更して、[Save] を選択します。

  10. カスタマーゲートウェイデバイスの新しいトンネルを有効にして、古いトンネルを無効にします。トンネルを起動するには、ローカルネットワークから接続を開始する必要があります。

    該当する場合は、ルートテーブルをチェックしルートが伝達していることを確認します。VPN トンネルのステータスが UP の場合、ルートはルートテーブルに伝達しています。

    注記

    以前の設定に戻す必要がある場合は、新しい仮想プライベートゲートウェイをデタッチし、ステップ 8 と 9 に従って古い仮想プライベートゲートウェイに再度アタッチしてルートを更新します。

  11. AWS Classic VPN 接続を今後必要とせず、その料金が引き続き発生するのを避けるには、カスタマーゲートウェイデバイスから以前のトンネル設定を取り除き、Site-to-Site VPN 接続を削除します。これを行うには、[Site-to-Site VPN 接続] に移動し、[Site-to-Site VPN 接続] を選択して、[削除] を選択します。

    重要

    AWS Classic VPN 接続を削除した後に、新しい AWS VPN 接続を元の AWS Classic VPN 接続に戻す、または移行することはできません。

オプション 2: トランジットゲートウェイを使用して移行する

このオプションでは、トランジットゲートウェイを作成し、Site-to-Site VPN 接続が存在する VPC にアタッチし、既存のカスタマーゲートウェイを使用して、トランジットゲートウェイで一時的な Site-to-Site VPN 接続を作成します。次に、新しい仮想プライベートゲートウェイで新しい Site-to-Site VPN 接続を構成しながら、トランジットゲートウェイ VPN 接続を介してトラフィックをルーティングします。

または、このオプションを使用して、Site-to-Site VPN 接続を直接トランジットゲートウェイに移行することもできます。この場合には、新しい VPN 接続を新しい仮想プライベートゲートウェイではなく、トランジットゲートウェイに作成します。

ステップ 1: トランジットゲートウェイと VPN 接続を作成する

トランジットゲートウェイと VPN 接続を作成するには

  1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. ナビゲーションペインで、[Transit Gateways]、[Create Transit Gateway (Transit Gateway の作成)] の順に選択し、デフォルトのオプションを使用して[Create Transit Gateway (Transit Gateway の作成)] を再度選択して Transit Gateway を作成します。

  3. ナビゲーションペインで、[Transit Gateway Attachments (トランジットゲートウェイのアタッチメント)]、[Create Transit Gateway Attachment (トランジットゲートウェイのアタッチメントの作成)] の順に選択します。以下の情報を指定し、[Create Transit Gateway Attachment (Transit Gateway アタッチメントの作成)] を再度選択します。

    • [トランジットゲートウェイ ID (Transit Gateway ID)] で、作成したトランジットゲートウェイを選択します。

    • [アタッチメントタイプ] で、[VPC] を選択します。

    • [VPC ID] で、Transit Gateway に添付する VPC を選択し、必要なサブネットオプションを選択します。

  4. [Create Transit Gateway Attachment (Transit Gateway アタッチメントの作成)] を再度選択し、以下の情報を指定し、[Create Transit Gateway Attachment (Transit Gateway アタッチメントの作成)] を再度選択します。

    • [トランジットゲートウェイ ID (Transit Gateway ID)] で、作成したトランジットゲートウェイを選択します。

    • [アタッチメントタイプ] で、[VPN] を選択します。

    • [Customer Gateway ID (カスタマーゲートウェイ ID)] で、既存の Site-to-Site VPN 接続のカスタマーゲートウェイを選択し、必要なルーティングオプションを選択します。

ステップ 2: 新しい仮想プライベートゲートウェイを作成する

新しい仮想プライベートゲートウェイと新しい Site-to-Site VPN 接続を作成します。このステップは、新しい仮想プライベートゲートウェイに移行する場合にのみ必要です。VPN 接続をトランジットゲートウェイに移行する場合は、これらのステップを省略してステップ 3 に直接進んでください。

新しい Site-to-Site VPN 接続を作成するには

  1. ナビゲーションペインで [仮想プライベートゲートウェイ]、[仮想プライベートゲートウェイの作成] の順に選択して、新しい仮想プライベートゲートウェイを作成します。

  2. ナビゲーションペインで、[Site-to-Site VPN Connections (Site-to-Site VPN 接続)]、[Create VPN Connection (VPN 接続の作成)] の順に選択します。

  3. [仮想プライベートゲートウェイ] で、作成した仮想プライベートゲートウェイを選択します。

  4. [カスタマーゲートウェイ ID] で、既存の Site-to-Site VPN 接続用の既存のカスタマーゲートウェイを選択し、ルーティングのタイプを指定します。[Create VPN Connection (VPN 接続の作成)] を選択します。

  5. 新しい Site-to-Site VPN 接続を選択し、[Download Configuration (設定のダウンロード)] を選択して、サンプル設定ファイルをダウンロードします。カスタマーゲートウェイデバイスで VPN 接続を設定しますが、トラフィックをまだルーティングしないでください (静的ルートを作成したり BGP アナウンスを除外したりしないでください)。

ステップ 3: 新しい VPN 接続に切り替える

この手順では、トラフィックをトランジットゲートウェイに切り替えてから、新しい Site-to-Site VPN 接続に切り替えるときに、VPN トラフィックの非対称ルーティングを一時的に有効にします。

新しい Site-to-Site VPN 接続に切り替えるには

  1. トランジットゲートウェイで VPN 接続を使用するようにカスタマーゲートウェイデバイスを設定します (必要に応じて、静的ルートを指定するか BGP アナウンスを許可します)。これにより、非対称トラフィックルーティングが開始されます。

  2. ナビゲーションペインで [ルートテーブル] を選択し、VPC のルートテーブルを選択して、[アクション]、[Edit routes (ルートの編集)] の順に選択します。

  3. オンプレミスネットワークを指すルートを追加し、ターゲットとしてトランジットゲートウェイを選択します。宛先ルートには、より具体的なルートを入力します。たとえば、オンプレミスネットワークが 10.0.0.0/16 であるなら、10.0.0.0/17 を指すルートと 10.0.128.0/17 を指す別のルートを作成します。非対称トラフィックルーティングが停止し、すべてのトラフィックがトランジットゲートウェイを介してルーティングされます。

    注記

    VPN 接続を新しい仮想プライベートゲートウェイの代わりにトランジットゲートウェイに移行する場合は、ここで終了です。

  4. ナビゲーションペインで [Virtual Private Gateways] を選択します。

  5. VPC にアタッチされている古い仮想プライベートゲートウェイを選択し、[アクション]、[VPCからデタッチ] の順に選択します。[Yes, Detach] を選択します。

  6. 以前に作成した新しい仮想プライベートゲートウェイを選択し、[アクション]、[VPCにアタッチする] の順に選択します。VPC を選択し、[はい、アタッチする] を選択します。

  7. ナビゲーションペインで、[Route Tables] を選択します。VPC のルートテーブルを選択し、[ルート伝播]、[Edit route propagation (ルート伝播の編集)] の順に選択します。新しい仮想プライベートゲートウェイのチェックボックスを選択し、[Save (保存)] を選択します。ルートが VPC ルートテーブルに伝播されていることを確認します。

  8. 新しい仮想プライベートゲートウェイを使用するようにカスタマーゲートウェイデバイスを設定し、静的ルートまたは BGP を使用して、オンプレミスネットワークから VPC にトラフィックをルーティングします。これにより、非対称ルーティングが開始されます。

  9. ナビゲーションペインで、[Route Tables] を選択します。VPC のルートテーブルを選択し、[アクション]、[Edit route (ルートの編集)] の順に選択します。トランジットゲートウェイへのより具体的なルートを削除します。これにより、非対称トラフィックフローが停止し、すべてのトラフィックが新しい Site-to-Site VPN 接続を介してルーティングされます。

ステップ 4: クリーンアップする

AWS Classic VPN 接続が不要になった場合は、削除できます。新しい仮想プライベートゲートウェイに移行した場合は、移行用に作成したトランジットゲートウェイ VPN 接続とトランジットゲートウェイを削除することもできます。

リソースをクリーンアップするには

  1. カスタマーゲートウェイデバイスで、トランジットゲートウェイでの一時的な VPN 接続の設定と、古い VPN 接続の設定を削除します。

  2. ナビゲーションペインで、[Site-to-Site VPN Connections (Site-to-Site VPN 接続)] を選択し、古い Site-to-Site VPN 接続を選択して、[操作]、[削除] の順に選択します。

  3. ナビゲーションペインで、[仮想プライベートゲートウェイ] を選択し、古い仮想プライベートゲートウェイを選択して、[アクション]、[仮想プライベートゲートウェイの削除] を選択します。VPN 接続をトランジットゲートウェイに移行した場合は、ここで停止できます。

  4. ナビゲーションペインで、[Site-to-Site VPN Connections (Site-to-Site VPN 接続)] を選択し、トランジットゲートウェイ VPN 接続を選択します。[ Actions] で、[Delete ] を選択します。

  5. ナビゲーションペインで、[Transit Gateway Attachments (トランジットゲートウェイのアタッチメント)] を選択し、VPC アタッチメントを選択します。[ Actions] で、[Delete ] を選択します。

  6. ナビゲーションペインで、[Transit Gateways (トランジットゲートウェイ)] を選択し、トランジットゲートウェイを選択します。[ Actions] で、[Delete ] を選択します。

オプション 3: (AWS Direct Connect の VPN 接続のバックアップ) VPN 接続を削除して再作成する

このオプションは、同じ仮想プライベートゲートウェイ上に AWS Direct Connect 接続と AWS Classic VPN 接続があり、VPN 接続を AWS Direct Connect 接続のバックアップとして使用する場合に使用します。このオプションでは、仮想プライベートゲートウェイ上の既存の AWS Classic VPN 接続を削除します。AWS Classic VPN 接続が deleted 状態になったとき、同じ仮想プライベートゲートウェイ上に新しいVPN 接続を作成することで、AWS VPN 接続に移行できます。既存の AWS Direct Connect プライベート仮想インターフェイスに変更を加える必要はありません。

重要

この手順を実行する間、AWS Direct Connect プライベート仮想インターフェイス経由の接続は中断されませんが、Site-to-Site VPN 接続経由での接続は失われます (冗長性が失われますが、ダウンタイムは発生しません)。VPN 接続が仮想プライベートゲートウェイで再作成されると、VPN 接続を介した接続が復元されます。この冗長性の喪失に備えて確実に計画してください。

AWS Classic VPN 接続を削除した後に、新しい AWS VPN 接続を元の AWS Classic VPN 接続に戻す、または移行することはできません。

AWS VPN 接続へ移行するには

  1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. ナビゲーションペインで、[Site-to-Site VPN 接続] を選択し、AWS Classic VPN 接続を選択します。[ Actions] で、[Delete ] を選択します。

  3. カスタマーゲートウェイデバイスから以前のトンネル設定を削除します。

  4. 前の 2 つの手順を繰り返して、仮想プライベートゲートウェイの既存の AWS Classic VPN 接続をすべて削除します。VPN 接続が deleted 状態になるのを待ちます。

  5. [Create VPN Connection (VPN 接続の作成)] を選択します。以下の情報を指定し、[VPN 接続の作成] を選択します。

    • [仮想プライベートゲートウェイ]: AWS Classic VPN 接続に使用した仮想プライベートゲートウェイを選択します。

    • [カスタマーゲートウェイ]: [既存] を選択し、現在の AWS Classic VPN 接続の既存のカスタマーゲートウェイを選択します。

    • 必要に応じてルーティングオプションを指定します。

  6. 新しい Site-to-Site VPN 接続を選択し、[Download Configuration] を選択します。カスタマーゲートウェイデバイスに適した設定ファイルをダウンロードします。

  7. 設定ファイルを使用して、カスタマーゲートウェイデバイスの VPN トンネルを設定します。詳細については、「」を参照してくださいカスタマーゲートウェイデバイス

  8. カスタマーゲートウェイデバイスで新しいトンネルを有効にします。トンネルを起動するには、ローカルネットワークから接続を開始する必要があります。

該当する場合は、ルートテーブルをチェックして、ルートが伝播されていることを確認します。VPN トンネルのステータスが UP の場合、ルートはルートテーブルに伝達しています。