とのプライベート IP VPN AWS Direct Connect

プライベート IP VPN を使用すると、 経由で IPsec VPN をデプロイして AWS Direct Connect、パブリック IP アドレスや追加のサードパーティー VPN 機器を使用せずに AWS、オンプレミスネットワークと 間のトラフィックを暗号化できます。

を介したプライベート IP VPN の主なユースケースの 1 つは、金融、医療、連邦業界のお客様が規制およびコンプライアンスの目標を達成できるように支援 AWS Direct Connect することです。を介したプライベート IP VPN により、 AWS とオンプレミスネットワーク間のトラフィックは安全でプライベート AWS Direct Connect であることが保証され、お客様は規制とセキュリティの義務に準拠できます。

プライベート IP VPN の利点

• ネットワーク管理と運用の簡素化： プライベート IP VPN を使用しない場合、お客様はサードパーティ VPN とルーターをデプロイして、 AWS Direct Connect ネットワーク経由でプライベート VPNsを実装する必要があります。プライベート IP VPN 機能を使用すると、お客様は独自の VPN インフラストラクチャをデプロイして管理する必要はありません。これにより、ネットワークオペレーションが簡素化され、コストが削減されます。

• セキュリティ体制の改善： 以前は、VPN エンドポイントのパブリック IP アドレスを必要とする AWS Direct Connect、 経由のトラフィックの暗号化にパブリック AWS Direct Connect 仮想インターフェイス (VIF) を使用する必要がありました。パブリック IP を使用すると、外部 (DOS) 攻撃の可能性が高まり、その結果、お客様はネットワーク保護のために追加のセキュリティギアをデプロイする必要があります。また、パブリック VIF は、すべての AWS パブリックサービスとお客様のオンプレミスネットワーク間のアクセスを開き、リスクの重要度を高めます。プライベート IP VPN 機能を使用すると、プライベート IP VIFs の代わりに) AWS Direct Connect トランジット VIFs で暗号化できます。 IPs これにより、暗号化に加えて end-to-end プライベート接続が提供され、全体的なセキュリティ体制が向上します。

• ルートスケールの向上： プライベート IP VPN 接続は、現在 200 のアウトバウンドルートと 100 のインバウンドルートの制限がある AWS Direct Connect のみと比較して、ルート制限 (5000 のアウトバウンドルートと 1000 のインバウンドルート) が高くなります。

プライベート IP VPN の仕組み

プライベート IP Site-to-Site VPN は、 AWS Direct Connect トランジット仮想インターフェイス (VIF) を介して動作します。 AWS Direct Connect ゲートウェイとトランジットゲートウェイを使用して、オンプレミスネットワークと AWS VPC を相互接続します。プライベート IP VPN 接続には、 AWS 側のトランジットゲートウェイと、オンプレミス側のカスタマーゲートウェイデバイスに終了ポイントがあります。IPsec トンネルのトランジットゲートウェイとカスタマーゲートウェイデバイスの両方の末尾にプライベート IP アドレス (RFC1918) を割り当てる必要があります。

トランジットゲートウェイにプライベート IP VPN 接続をアタッチします。そして、VPN アタッチメントと、トランジットゲートウェイにアタッチされている VPC (または他のネットワーク) の間でトラフィックをルーティングします。これを行うには、ルートテーブルを VPN アタッチメントに関連付けます。逆方向では、VPC に関連付けられているルートテーブルを使用して、VPC からプライベート IP VPN アタッチメントにトラフィックをルーティングできます。

VPN アタッチメントに関連付けられているルートテーブルは、基盤となる AWS Direct Connect アタッチメントに関連付けられているルートテーブルと同じでも異なるものでも構いません。これにより、VPC とオンプレミスのネットワーク間で、暗号化されたトラフィックと暗号化されていないトラフィックの両方を同時にルーティングできます。

VPN から出るトラフィックパスの詳細については、AWS Direct Connect 「 ユーザーガイド」の「プライベート仮想インターフェイスとトランジット仮想インターフェイスのルーティングポリシー」を参照してください。

前提条件

AWS Direct Connect 経由のプライベート IP VPN のセットアップを完了するには、次のリソースが必要です。

• オンプレミスネットワークと 間の AWS Direct Connect 接続 AWS

• 適切なトランジット AWS Direct Connect ゲートウェイと関連付けられている ゲートウェイ

• 使用可能なプライベート IP CIDR ブロックを持つトランジットゲートウェイ

• オンプレミスネットワーク内のカスタマーゲートウェイデバイスと対応する AWS カスタマーゲートウェイ

カスタマーゲートウェイを作成する

カスタマーゲートウェイは、 で作成するリソースです AWS。オンプレミスネットワーク内のカスタマーゲートウェイデバイスを表します。カスタマーゲートウェイを作成するときは、デバイスに関する情報を に提供します AWS。詳細については、「カスタマーゲートウェイ」を参照してください。

コンソールを使用してカスタマーゲートウェイを作成するには

1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

2. ナビゲーションペインで、[カスタマーゲートウェイ] を選択します。

3. [カスタマーゲートウェイの作成]] を選択します。

4. (オプション) [名前] には、カスタマーゲートウェイの名前を入力します。これにより、Name というキーと指定した値を含むタグが作成されます。

5. [BGP ASN] に、カスタマーゲートウェイのボーダーゲートウェイプロトコル (BGP) 自律システム番号 (ASN) を入力します。

6. IP アドレスで、カスタマーゲートウェイデバイスのプライベート IP アドレスを入力します。

7. (オプション) [デバイス] に、このカスタマーゲートウェイをホストするデバイスの名前を入力します。

8. [カスタマーゲートウェイの作成]] を選択します。

コマンドラインまたは API を使用してカスタマーゲートウェイを作成するには

• CreateCustomerGateway (Amazon EC2 クエリ API)

• create-customer-gateway (AWS CLI)

トランジットゲートウェイの準備

トランジットゲートウェイは、VPC とオンプレミスネットワークを相互接続するために使用できるネットワークの中継ハブです。プライベート IP VPN 接続には、新しいトランジットゲートウェイを作成するか、既存のトランジットゲートウェイを使用できます。トランジットゲートウェイを作成するとき、または既存のトランジットゲートウェイを変更する場合は、接続のためのプライベート IP CIDR ブロックを指定します。

注記

プライベート IP VPN に関連付けるトランジットゲートウェイ CIDR ブロックを指定する場合は、CIDR ブロックがトランジットゲートウェイ上の他のネットワークアタッチメントの IP アドレスと重複しないようにしてください。IP CIDR ブロックが重複している場合は、カスタマーゲートウェイデバイスで設定上の問題が発生する可能性があります。

プライベート IP VPN に使用するトランジットゲートウェイを作成または変更する具体的な AWS コンソール手順については、「Amazon VPC Transit Gateways ガイド」の「トランジットゲートウェイ」を参照してください。

コマンドラインまたは API を使用してカスタマーゲートウェイを作成するには

• CreateTransitGateway (Amazon EC2 クエリ API)

• create-transit-gateway (AWS CLI)

AWS Direct Connect ゲートウェイを作成する

AWS Direct Connect 「 AWS Direct Connect ユーザーガイド」の「Direct Connect ゲートウェイの作成」手順に従って、 ゲートウェイを作成します。

コマンドラインまたは API を使用して AWS Direct Connect ゲートウェイを作成するには

• CreateDirectConnectGateway (AWS Direct Connect クエリ API)

• create-direct-connect-gateway (AWS CLI)

トランジットゲートウェイの関連付けの作成

AWS Direct Connect ゲートウェイを作成したら、ゲートウェイのトランジット AWS Direct Connect ゲートウェイの関連付けを作成します。許可されたプレフィックスリストで以前に識別されたトランジットゲートウェイのプライベート IP CIDR を指定します。

詳細については、AWS Direct Connect ユーザーガイドの「Transit Gateway の関連付け」を参照してください。

コマンドラインまたは API を使用して AWS Direct Connect ゲートウェイの関連付けを作成するには

• CreateDirectConnectGatewayAssociation (AWS Direct Connect クエリ API)

• create-direct-connect-gateway-association (AWS CLI）

VPN 接続の作成

プライベート IP アドレスを使用して VPN 接続を作成するには

1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

2. ナビゲーションペインで、[Site-to-Site VPN 接続] を選択します。

3. [Create VPN connection] (VPN 接続の作成) を選択します。

4. (オプション) [名前タグ] には、Site-to-Site VPN 接続の名前を入力します。これにより、Name というキーと指定した値を含むタグが作成されます。

5. [Target gateway type] (ターゲットゲートウェイタイプ) で、[Transit gateway] (転送ゲートウェイ) を選択します。次に、以前に特定したトランジットゲートウェイを選択します。

6. [Customer gateway] (カスタマーゲートウェイ) で、[Existing] (既存) を選択します。次に、前の手順で作成したカスタマーゲートウェイを選択します。

7. カスタマーゲートウェイデバイスがボーダーゲートウェイプロトコル (BGP) をサポートしているかどうかに基づいて、ルーティングオプションのいずれかを選択します。

   • カスタマーゲートウェイデバイスが BGP をサポートしている場合は、[動的 (BGP が必要)] を選択します。

   • カスタマーゲートウェイデバイスが BGP をサポートしていない場合は、[静的] を選択します。

8. [トンネル内部 IP バージョン] で、VPN トンネルが IPv4 トラフィックをサポートするか、IPv6 トラフィックをサポートするかを指定します。

9. （オプション) IP バージョン 内でトンネル に IPv4 を指定した場合は、VPN トンネルを介した通信を許可するカスタマーゲートウェイと AWS 側の IPv4 CIDR 範囲をオプションで指定できます。 デフォルトは 0.0.0.0/0 です。

   IP バージョン 内のトンネル に IPv6 を指定した場合、オプションで、VPN トンネルを介した通信を許可するカスタマーゲートウェイと AWS 側の IPv6 CIDR 範囲を指定できます。 両方の範囲のデフォルトは ::/0 です。

10. 外部 IP アドレスタイプ では、PrivateIpv4 を選択します。

11. トランスポートアタッチメント ID で、適切なゲートウェイのトランジット AWS Direct Connect ゲートウェイアタッチメントを選択します。

12. [Create VPN connection] (VPN 接続の作成) を選択します。

注記

[Enable acceleration] (アクセラレーションを有効にする) オプションは、 AWS Direct Connect 経由の VPN 接続には適用されません。