を使用したプライベート IP VPN AWS Direct Connect - AWS Site-to-Site VPN

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

を使用したプライベート IP VPN AWS Direct Connect

プライベート IP VPN を使用すると、 経由で IPsec VPN をデプロイし AWS Direct Connect、パブリック IP アドレスや追加のサードパーティー VPN 機器を使用せずに AWS、オンプレミスネットワークと 間のトラフィックを暗号化できます。

を介したプライベート IP VPN の主なユースケースの 1 つは、金融、ヘルスケア、連邦業界のお客様が規制およびコンプライアンスの目標を達成できるように支援 AWS Direct Connect することです。を介したプライベート IP VPN により、 AWS とオンプレミスネットワーク間のトラフィックが安全でプライベート AWS Direct Connect であることが保証され、お客様は規制とセキュリティの義務に準拠できます。

プライベート IP VPN の利点

  • ネットワーク管理と運用の簡素化: プライベート IP VPN を使用しない場合、お客様はサードパーティ VPN とルーターをデプロイして、 AWS Direct Connect ネットワーク経由でプライベート VPNsを実装する必要があります。プライベート IP VPN 機能を使用すると、お客様は独自の VPN インフラストラクチャをデプロイして管理する必要はありません。これにより、ネットワークオペレーションが簡素化され、コストが削減されます。

  • セキュリティ体制の改善: 以前は、お客様は 経由でトラフィックを暗号化するためにパブリック AWS Direct Connect 仮想インターフェイス (VIF) を使用する必要がありましたが AWS Direct Connect、これには VPN エンドポイントのパブリック IP アドレスが必要です。パブリック IP を使用すると、外部 (DOS) 攻撃の可能性が高まり、その結果、お客様はネットワーク保護のために追加のセキュリティギアをデプロイする必要があります。また、パブリック VIF は、すべての AWS パブリックサービスとお客様のオンプレミスネットワーク間のアクセスを開き、リスクの重要度を高めます。プライベート IP VPN 機能を使用すると、プライベート IP を設定する機能と組み合わせて、(パブリック VIFs の代わりに) AWS Direct Connect トランジット VIFs での暗号化が可能になります。 IPs これにより、暗号化に加えて end-to-end プライベート接続が提供され、全体的なセキュリティ体制が向上します。

  • ルートスケールの向上: プライベート IP VPN 接続では、現在アウトバウンドルートが 200 個、インバウンドルートが 100 個という制限 (アウトバウンドルートが 5,000 個、インバウンドルートが 1,000 個) が AWS Direct Connect 単独で比較して高いルート制限が設定されています。

プライベート IP VPN の仕組み

プライベート IP Site-to-Site VPN は、 AWS Direct Connect トランジット仮想インターフェイス (VIF) で動作します。 AWS Direct Connect ゲートウェイとトランジットゲートウェイを使用して、オンプレミスネットワークと AWS VPC を相互接続します。プライベート IP VPN 接続には、 AWS 側のトランジットゲートウェイと、オンプレミス側のカスタマーゲートウェイデバイスに終了ポイントがあります。IPsec トンネルのトランジットゲートウェイとカスタマーゲートウェイデバイスの両方の端にプライベート IP アドレスを割り当てる必要があります。プライベート IP アドレスは、RFC1918 または RFC6598 のプライベート IPv4 アドレス範囲から使用できます。

トランジットゲートウェイにプライベート IP VPN 接続をアタッチします。そして、VPN アタッチメントと、トランジットゲートウェイにアタッチされている VPC (または他のネットワーク) の間でトラフィックをルーティングします。これを行うには、ルートテーブルを VPN アタッチメントに関連付けます。逆方向では、VPC に関連付けられているルートテーブルを使用して、VPC からプライベート IP VPN アタッチメントにトラフィックをルーティングできます。

VPN アタッチメントに関連付けられているルートテーブルは、基盤となる AWS Direct Connect アタッチメントに関連付けられているルートテーブルと同じでも異なっていてもかまいません。これにより、VPC とオンプレミスのネットワーク間で、暗号化されたトラフィックと暗号化されていないトラフィックの両方を同時にルーティングできます。

VPN から出るトラフィックパスの詳細については、 ユーザーガイドの「プライベート仮想インターフェイスとトランジット仮想インターフェイスのルーティングポリシーAWS Direct Connect 」を参照してください。

前提条件

AWS Direct Connect経由のプライベート IP VPN のセットアップを完了するには、次のリソースが必要です。

  • オンプレミスネットワークと 間の AWS Direct Connect 接続 AWS

  • 適切なトランジット AWS Direct Connect ゲートウェイと関連付けられているゲートウェイ

  • 使用可能なプライベート IP CIDR ブロックを持つトランジットゲートウェイ

  • オンプレミスネットワーク内のカスタマーゲートウェイデバイスと対応する AWS カスタマーゲートウェイ

カスタマーゲートウェイを作成する

カスタマーゲートウェイは、 で作成するリソースです AWS。オンプレミスネットワーク内のカスタマーゲートウェイデバイスを表します。カスタマーゲートウェイを作成するときは、デバイスに関する情報を に提供します AWS。詳細については、「カスタマーゲートウェイ」を参照してください。

コンソールを使用してカスタマーゲートウェイを作成するには
  1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. ナビゲーションペインで、[カスタマーゲートウェイ] を選択します。

  3. [カスタマーゲートウェイの作成]] を選択します。

  4. (オプション) [名前] には、カスタマーゲートウェイの名前を入力します。これにより、Name というキーと指定した値を含むタグが作成されます。

  5. [BGP ASN] に、カスタマーゲートウェイのボーダーゲートウェイプロトコル (BGP) 自律システム番号 (ASN) を入力します。

  6. IP アドレスで、カスタマーゲートウェイデバイスのプライベート IP アドレスを入力します。

  7. (オプション) [デバイス] に、このカスタマーゲートウェイをホストするデバイスの名前を入力します。

  8. [カスタマーゲートウェイの作成]] を選択します。

コマンドラインまたは API を使用してカスタマーゲートウェイを作成するには

トランジットゲートウェイの準備

トランジットゲートウェイは、VPC とオンプレミスネットワークを相互接続するために使用できるネットワークの中継ハブです。プライベート IP VPN 接続には、新しいトランジットゲートウェイを作成するか、既存のトランジットゲートウェイを使用できます。トランジットゲートウェイを作成するとき、または既存のトランジットゲートウェイを変更する場合は、接続のためのプライベート IP CIDR ブロックを指定します。

注記

プライベート IP VPN に関連付けるトランジットゲートウェイ CIDR ブロックを指定する場合は、CIDR ブロックがトランジットゲートウェイ上の他のネットワークアタッチメントの IP アドレスと重複しないようにしてください。IP CIDR ブロックが重複している場合は、カスタマーゲートウェイデバイスで設定上の問題が発生する可能性があります。

プライベート IP VPN に使用するトランジットゲートウェイを作成または変更する特定の AWS コンソール手順については、「Amazon VPC Transit Gateways Guide」の「Transit Gateways」を参照してください。

コマンドラインまたは API を使用してカスタマーゲートウェイを作成するには

AWS Direct Connect ゲートウェイを作成する

AWS Direct Connect 「 AWS Direct Connect ユーザーガイド」の「Direct Connect ゲートウェイの作成」手順に従って、 ゲートウェイを作成します。

コマンドラインまたは API を使用して AWS Direct Connect ゲートウェイを作成するには

トランジットゲートウェイの関連付けの作成

AWS Direct Connect ゲートウェイを作成したら、ゲートウェイのトランジット AWS Direct Connect ゲートウェイの関連付けを作成します。許可されたプレフィックスリストで以前に識別されたトランジットゲートウェイのプライベート IP CIDR を指定します。

詳細については、AWS Direct Connect ユーザーガイドの「Transit Gateway の関連付け」を参照してください。

コマンドラインまたは API を使用して AWS Direct Connect ゲートウェイの関連付けを作成するには

VPN 接続の作成

プライベート IP アドレスを使用して VPN 接続を作成するには
  1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. ナビゲーションペインで、[Site-to-Site VPN 接続] を選択します。

  3. [Create VPN connection] (VPN 接続の作成) を選択します。

  4. (オプション) [名前タグ] には、Site-to-Site VPN 接続の名前を入力します。これにより、Name というキーと指定した値を含むタグが作成されます。

  5. [Target gateway type] (ターゲットゲートウェイタイプ) で、[Transit gateway] (転送ゲートウェイ) を選択します。次に、以前に特定したトランジットゲートウェイを選択します。

  6. [Customer gateway] (カスタマーゲートウェイ) で、[Existing] (既存) を選択します。次に、前の手順で作成したカスタマーゲートウェイを選択します。

  7. カスタマーゲートウェイデバイスがボーダーゲートウェイプロトコル (BGP) をサポートしているかどうかに基づいて、ルーティングオプションのいずれかを選択します。

    • カスタマーゲートウェイデバイスが BGP をサポートしている場合は、[動的 (BGP が必要)] を選択します。

    • カスタマーゲートウェイデバイスが BGP をサポートしていない場合は、[静的] を選択します。

  8. [トンネル内部 IP バージョン] で、VPN トンネルが IPv4 トラフィックをサポートするか、IPv6 トラフィックをサポートするかを指定します。

  9. (オプション) IPv4 for Tunnel を指定した場合、オプションで、VPN トンネルを介した通信が許可されているカスタマーゲートウェイと AWS サイドの IPv4 CIDR 範囲を指定できます。デフォルトは 0.0.0.0/0 です。

    IP バージョン 内で IPv6 for Tunnel を指定した場合は、オプションで、カスタマーゲートウェイと VPN トンネルを介した通信が許可されている AWS 側の IPv6 CIDR 範囲を指定できます。 両方の範囲のデフォルトは ::/0 です。

  10. 外部 IP アドレスタイプ で、PrivateIpv4 を選択します。

  11. トランスポートアタッチメント ID で、適切なゲートウェイのトランジット AWS Direct Connect ゲートウェイアタッチメントを選択します。

  12. [Create VPN connection] (VPN 接続の作成) を選択します。

注記

[Enable acceleration] (アクセラレーションを有効にする) オプションは、 AWS Direct Connect経由の VPN 接続には適用されません。