ハイブリッドネットワーク接続 - ハイブリッド接続
AWS Direct ConnectSite-to-Site VPNTransit Gateway 接続

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ハイブリッドネットワーク接続

オンプレミス機器と AWS 間の接続にはいくつかの方法があります。このホワイトペーパーでは、これらのさまざまな方法を全体的なアーキテクチャに組み込む方法に焦点を当てていますが、さまざまなオプション (AWS Direct Connect、サイト間の仮想プライベートネットワーク、および Transit Gateway Connect) の概要も説明しています。

AWS Direct Connect

AWS Direct Connect は、プレミスから AWS への専用ネットワーク接続を確立するサービスです。詳細については、「AWS Direct Connect」を参照してください。

AWS Direct Connect 接続には専用接続とホスト接続の 2 つのタイプがあります。専用接続は AWS デバイスとオンプレミスデバイスを直接リンクするものですが、ホスト接続は接続の詳細を処理できる AWS パートナーがサポートします。詳細については、「AWS Direct Connect 接続」を参照してください。

Direct Connect 接続では、仮想インターフェイス (VIF) を使用してさまざまなトラフィックフローを分離します。複数の VIF は、VLAN (802.1q) タグで区切られた同じ Direct Connect リンクを使用できます。AWS ネットワークに接続する VIF には 3 つのタイプがあります。詳細については、「AWS Direct Connect 仮想インターフェイス」を参照してください。3 つの型を以下に示します。

  • プライベート VIF: プライベート VIF は、デバイスと AWS 内部のリソースとの間のプライベート接続です。これらは、AWS 内部で、(単一の VPC をサポートする) 仮想プライベートゲートウェイ (VGW) で直接、または複数の VGW に接続する Direct Connect ゲートウェイ経由で終端します。

  • パブリック VIF: パブリック VIF により、S3、DynamoDB、パブリック EC2 IP 範囲などのパブリック AWS リソースへの接続が可能になります。パブリック VIF はインターネットに直接アクセスできませんが、Amazon のパブリックリソースはアクセスできるので (他のお客様のパブリック EC2 インスタンスを含む)、お客様がセキュリティ計画を立てる際にはこの点を考慮する必要があります。

  • トランジット VIF: トランジット VIF は、Direct Connect ゲートウェイを介した、デバイスと AWS Transit Gateway との間のプライベート接続です。トランジット VIF は、速度が 1 Gbps 未満のリンクでもサポートされるようになりました。詳細については、「発表のお知らせ」をご覧ください。

注記

ホスト型仮想インターフェイス (ホスト型 VIF) はプライベート VIF の一種で、VIF が AWS Direct Connect 接続を所有する AWS アカウントとは別の AWS アカウントに割り当てられます (AWS Direct Connect パートナーが含まれる場合もあります)。AWS では新しいパートナーがこのモデルを提供することはできなくなりました。詳細については、「ホスト仮想インターフェイスを作成する」を参照してください。

AWS Direct Connect プライベート VIF とパブリック VIF を示す図

図 1 — AWS Direct Connect プライベート VIF とパブリック VIF

Site-to-Site 仮想プライベートネットワーク (VPN)

Site-to-Site VPN を使用すると、2 つのネットワークが安全に通信でき、インターネットなどの信頼できないトランスポート上でも使用できます。お客様は、次の 2 つのオプションを使用して、オンプレミスサイトと Amazon Virtual Private Cloud (Amazon VPC) 間の VPN 接続を確立できます。

  • AWS マネージド Site-to-Site VPN (AWS S2S VPN): これは、IPSec を使用する完全マネージド型の高可用性 VPN サービスです。詳細については、「AWS Site-to-Site VPN Site-to-Site VPN の概要」を参照してください。オプションで、Site-to-Site VPN 接続のアクセラレーションを有効にできます。詳細については、「Site-to-Site VPN 接続の高速化」を参照してください。S2S VPN では、Direct Connect トランジット VIF を使用することでトラフィックがインターネットを経由することを回避できるため、コストが削減され、プライベート IP アドレスを使用できるようになります。詳細については、「AWS Direct Connect とプライベート IP VPN」を参照してください。

  • ソフトウェア Site-to-Site VPN (顧客管理 VPN): この VPN 接続オプションでは、通常 EC2 インスタンスで VPN ソフトウェアを実行して、VPN ソリューション全体をプロビジョニングおよび管理する必要があります。詳細については、「ソフトウェア Site-to-Site VPN」を参照してください。

いずれの方法でも、VPN トンネルのオンプレミス側の終端をカスタマーゲートウェイデバイスでサポートする必要があります。このデバイスは、物理デバイスでもソフトウェアアプライアンスにすることもできます。AWS でテストされたネットワークデバイスの詳細については、「カスタマーゲートウェイデバイス」のリストを参照してください。

Transit Gateway Connect (TGW Connect)

Transit Gateway Connect は、AWS Transit Gateway とオンプレミスのゲートウェイデバイス間の GRE トンネルを使用します。ダイナミックルーティングを有効にするために、TGW Connect 上で BGP が使用されます。TGW Connect は暗号化されないことに注意してください。詳細については、「Transit Gateway Connect」を参照してください。