AWS Direct Connect とプライベート IP VPN - AWS Site-to-Site VPN

AWS Direct Connect とプライベート IP VPN

プライベート IP VPN を使用すると、パブリック IP アドレスやサードパーティーの VPN 機器を追加で使用することなく、AWS Direct Connect 経由の IPsec VPN をデプロイし、オンプレミスネットワークと AWS 間のトラフィックを暗号化できます。

AWS Direct Connect 経由のプライベート IP VPN の主なユースケースの 1 つは、金融、ヘルスケア、および連邦業界のお客様が規制およびコンプライアンスの目標を達成できるよう支援しています。AWS Direct Connect 経由のプライベート IP VPN は、AWS とオンプレミスネットワーク間のトラフィックを安全かつプライベートに確保し、お客様は規制やセキュリティ要件を遵守できます。

プライベート IP VPN の利点

  • ネットワーク管理とオペレーションの簡素化: プライベート IP VPN を使用しない場合、お客様は AWS Direct Connect 経由のプライベート VPN を実装するためにサードパーティーの VPN とルーターをデプロイする必要があります。プライベート IP VPN 機能を使用すると、お客様は独自の VPN インフラストラクチャをデプロイして管理する必要はありません。これにより、ネットワークオペレーションが簡素化され、コストが削減されます。

  • セキュリティ体制を強化しました: これまで、お客様は AWS Direct Connect 経由のトラフィックを暗号化するためには、パブリック AWS Direct Connect 仮想インターフェイス (VIF) を使用する必要があり、VPN エンドポイントにパブリック IP アドレスが必要でした。パブリック IP を使用すると、外部 (DOS) 攻撃の可能性が高まり、その結果、お客様はネットワーク保護のために追加のセキュリティギアをデプロイする必要があります。また、パブリック VIF はすべての AWS パブリックサービスとお客様のオンプレミスネットワーク間のアクセスを開放し、リスクの重大性が高まります。プライベート IP VPN 機能は、プライベート IP を設定する機能と連携して、(パブリック VIF の代わりに) AWS Direct Connect トランジット VIF 上で暗号化を行うことができます。これにより、暗号化に加えてエンドツーエンドのプライベート接続が提供され、全体的なセキュリティ体制が強化されます。

  • より高いルートスケール: プライベート IP VPN 接続では、現在、AWS Direct Connect 単独では、20 アウトバウンドルート、100 インバウンドルートの制限があるのに比べ、より高いルート制限 (5000 アウトバウンドルート、1000 インバウンドルート) を提供します。

プライベート IP VPN の仕組み

プライベート IP Site-to-Site VPN は、AWS Direct Connect トランジット仮想インターフェイス (VIF) 上で動作します。AWS Direct Connect ゲートウェイとトランジットゲートウェイを使用して、オンプレミスネットワークと AWS VPC を相互接続します。プライベート IP VPN 接続は、AWS 側のトランジットゲートウェイと、オンプレミス側のお客様のゲートウェイデバイスにターミネーションポイントがあります。プライベート IP アドレス (RFC1918) は、IPsec トンネルのトランジットゲートウェイとカスタマーゲートウェイデバイスの両端に割り当てることができます。

トランジットゲートウェイにプライベート IP VPN 接続をアタッチします。そして、VPN アタッチメントと、トランジットゲートウェイにアタッチされている VPC (または他のネットワーク) の間でトラフィックをルーティングします。これを行うには、ルートテーブルを VPN アタッチメントに関連付けます。逆方向では、VPC に関連付けられているルートテーブルを使用して、VPC からプライベート IP VPN アタッチメントにトラフィックをルーティングできます。

VPN アタッチメントに関連付けられているルートテーブルは、基盤となる AWS Direct Connect アタッチメントに関連付けられたものと同じ場合もあれば、異なる場合もあります。これにより、VPC とオンプレミスのネットワーク間で、暗号化されたトラフィックと暗号化されていないトラフィックの両方を同時にルーティングできます。

前提条件

AWS Direct Connect 経由のプライベート IP VPN のセットアップを完了するには、次のリソースが必要です。

  • オンプレミスネットワークと AWS 間の AWS Direct Connect 接続

  • 適切なトランジットゲートウェイと関連付けられた AWS Direct Connect ゲートウェイ

  • 使用可能なプライベート IP CIDR ブロックを持つトランジットゲートウェイ

  • オンプレミスネットワーク内のカスタマーゲートウェイデバイスと対応する AWS カスタマーゲートウェイ

カスタマーゲートウェイを作成する

カスタマーゲートウェイは、AWS で作成するリソースです。オンプレミスネットワーク内のカスタマーゲートウェイデバイスを表します。カスタマーゲートウェイを作成するときは、デバイスに関する情報を に提供しますAWS 詳細については、「カスタマーゲートウェイ」を参照してください。

コンソールを使用してカスタマーゲートウェイを作成するには

  1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. ナビゲーションペインで [Customer gateways] (カスタマーゲートウェイ) を選択してから、[Create customer gateway] (カスタマーゲートウェイの作成) を選択します。

  3. 以下を入力し、[Create customer gateway] (カスタマーゲートウェイの作成) を選択します。

    • (オプション) [名前] には、カスタマーゲートウェイの名前を入力します。これにより、Name というキーと指定した値を含むタグが作成されます。

    • [BGP ASN] に、カスタマーゲートウェイのボーダーゲートウェイプロトコル (BGP) 自律システム番号 (ASN) を入力します。

    • IP アドレスで、カスタマーゲートウェイデバイスのプライベート IP アドレスを入力します。

    • (オプション) [デバイス] に、このカスタマーゲートウェイをホストするデバイスの名前を入力します。

コマンドラインまたは API を使用してカスタマーゲートウェイを作成するには

トランジットゲートウェイの準備

トランジットゲートウェイ は、VPC とオンプレミスネットワークを相互接続するために使用できるネットワークのトランジットハブです。プライベート IP VPN 接続には、新しいトランジットゲートウェイを作成するか、既存のトランジットゲートウェイを使用できます。トランジットゲートウェイを作成するとき、または既存のトランジットゲートウェイを変更する場合は、接続のためのプライベート IP CIDR ブロックを指定します。

注記

プライベート IP VPN に関連付けるトランジットゲートウェイ CIDR ブロックを指定する場合は、CIDR ブロックがトランジットゲートウェイ上の他のネットワークアタッチメントの IP アドレスと重複しないようにしてください。IP CIDR ブロックが重複している場合は、カスタマーゲートウェイデバイスで設定上の問題が発生する可能性があります。

プライベート IP VPN に使用するトランジットゲートウェイを作成または変更するための AWS コンソールの具体的な手順については、Amazon VPC トランジットゲートウェイガイドの「トランジットゲートウェイ」を参照してください。

コマンドラインまたは API を使用してカスタマーゲートウェイを作成するには

AWS Direct Connect ゲートウェイを作成する

AWS Direct Connect ユーザーガイドの「Direct Connect ゲートウェイの作成」に従って、AWS Direct Connect ゲートウェイを作成します。

コマンドラインまたは API を使用して AWS Direct Connect カスタマーゲートウェイを作成するには

トランジットゲートウェイの関連付けの作成

AWS Direct Connect ゲートウェイを作成したら、AWS Direct Connect ゲートウェイのトランジットゲートウェイの関連付けを作成します。許可されたプレフィックスリストで以前に識別されたトランジットゲートウェイのプライベート IP CIDR を指定します。

詳細については、AWS Direct Connect ユーザーガイドの「Transit Gateway の関連付け」を参照してください。

コマンドラインまたは API を使用して、AWS Direct Connect ゲートウェイの関連付けを作成するには

VPN 接続の作成

プライベート IP アドレスを使用して Site-to-Site VPN 接続を作成する

  1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. ナビゲーションペインで、[Site-to-Site VPN connections] (Site-to-Site VPN 接続)、[Create VPN connection] (VPN 接続の作成) の順に選択します。

  3. (オプション) [名前タグ] には、Site-to-Site VPN 接続の名前を入力します。これにより、Name というキーと指定した値を含むタグが作成されます。

  4. [Target gateway type] (ターゲットゲートウェイタイプ) で、[Transit gateway] (転送ゲートウェイ) を選択します。次に、[Transit gateway] (トランジットゲートウェイ) のドロップダウンリストで,前に特定したトランジットゲートウェイを選択します。

  5. [Customer gateway] (カスタマーゲートウェイ) で、[Existing] (既存) を選択します。[Customer gateway ID] (カスタマーゲートウェイ ID) のドロップダウンリストで、前に作成したカスタマーゲートウェイを選択します。

  6. カスタマーゲートウェイデバイスがボーダーゲートウェイプロトコル (BGP) をサポートしているかどうかに基づいて、ルーティングオプションのいずれかを選択します。

    • カスタマーゲートウェイデバイスが BGP をサポートしている場合は、[動的 (BGP が必要)] を選択します。

    • カスタマーゲートウェイデバイスが BGP をサポートしていない場合は、[静的] を選択します。

  7. [Tunnel Inside IP Version] (トンネル内部 IP バージョン) で、VPN トンネルが IPv4 トラフィックをサポートするか、IPv6 トラフィックをサポートするかを指定します。

  8. (オプション) [Tunnel Inside IP Version] (トンネル内部 IP バージョン) で [IPv4] を指定した場合は、オプションとして、カスタマーゲートウェイ側と AWS 側で VPN トンネルを介した通信を許可する IPv4 CIDR 範囲を指定できます。デフォルト: 0.0.0.0/0

    [Tunnel Inside IP Version] (トンネル内部 IP バージョン) で [IPv6] を指定した場合は、オプションとして、カスタマーゲートウェイ側と AWS 側で VPN トンネルを介した通信を許可する IPv6 CIDR 範囲を指定できます。両方の範囲のデフォルトは ::/0 です。

  9. [Outside IP address type] (外部 IP アドレスタイプ) で、PrivateIpv4 を選択します。

  10. [Transport attachment ID] (トランスポートアタッチメント ID) で、適切な AWS Direct Connect ゲートウェイのトランジットゲートウェイアタッチメントを選択します。

  11. [Create VPN connection] (VPN 接続の作成) を選択します。

注記

[Enable acceleration] (アクセラレーションを有効にする) オプションは、AWS Direct Connect 経由の VPN 接続には適用されません。