AWS VPN 経由でのデータソースへの接続
このモデルでは、Power BI Desktop インストールは、AWS ネットワーク内のデータソースに、AWS Site-to-Site VPN または AWS Client VPN という 2 つの AWS VPN 方式のいずれかを使用して接続します。各接続タイプは、ネットワークトラフィックを保護する、高可用性かつ伸縮自在なマネージド型クラウド VPN ソリューションを提供します。
Site-to-Site VPN は、お客様のネットワークと AWS VPN または AWS Transit Gateway との間に暗号化されたトンネルを作成します。Client VPN は、無料の VPN ソフトウェアクライアントを使用して、ユーザーを AWS またはオンプレミスのリソースに接続します。
Site-to-Site VPN 接続と Client VPN 接続のどちらも、VPN トラフィックは VPC で停止します。したがって、プライベート IP アドレスにルーティングできるため、インスタンスにパブリック IP アドレスは必要なくなります。Athena など、一般公開されているサービスエンドポイントからアクセス可能なデータパスを持つサービスの場合、これらのサービスリクエストはインターネット経由または VPN 接続経由で VPC エンドポイント経由でルーティングできます。
![Power BI Desktop が Site-to-Site VPN と Client VPN を介して AWS データソースに接続する方法を示す図表。](images/powerbi3.png)
Power BI Desktop の Site-to-Site VPN および Client VPN を介した AWS データソースへの接続
Site-to-Site VPN は AWS Transit Gateway にも接続でき、複数の VPC にまたがるデータソースへのアクセスを容易にします。
AWS VPN を使用すると、AWS に保存されているデータソースにアクセスするときに、各データソースを明示的に設定しなくても暗号化を採用できるという利点があります。一度設定すると、エンドユーザーにとってほぼシームレスになります。
表 2 - AWS VPN を使用して AWS データソースにアクセスする場合の考慮事項
条件 | AWS VPN を使用して AWS データソースにアクセスする場合の考慮事項 |
---|---|
ネットワーク接続 | データソースは、VPC 内のプライベート IP アドレスに接続するか、リージョンまたは VPC のサービスエンドポイントを使用することで利用できます。Power BI Desktop は VPN 経由で接続し、DNS 設定に応じて、データソース (Amazon RDS、Amazon Redshift、Amazon EC2 ベースのデータソース) に直接アクセスするか、リージョンエンドポイントを持つサービス (Amazon Athena) のデータソースにプライベート VPC エンドポイントまたはリージョンエンドポイントを使用してアクセスします。 |
セキュリティ | IP アクセスコントロール
ルーティングとセキュリティグループを組み合わせて、AWS クラウドに保存されているデータソースへのアクセスをコントロールできます。 転送時の暗号化 AWS VPN はどちらのタイプも IPsec 認証 Site-to-Site VPN は 1 回限りの設定が必要で、一度確立されるとユーザーに対してシームレスになります。エンドユーザーは、Site-to-Site VPN を使用するための認証は不要ですが、データソースに対する認証が必要です。 一方、Client VPN では、接続を確立するためにエンドユーザーによる認証が必要です。Client VPN 認証は、アクティブディレクトリ (ユーザーベース)、相互認証 (証明書ベース)、または SAML SSO (ユーザーベース) を介して実行できます。認証されると、エンドユーザーにとって接続はシームレスになります。Power BI Desktop に追加された AWS データソースには認証が必要です。 AWS では、必要なデータセットに対してのみ読み取り専用アクセス許可を持つアイデンティティを使用して AWS データソースを認証することを推奨しています。 |
パフォーマンス |
AWS VPN の使用はインターネットを介して行われます。そのため、そのパフォーマンスエンベロープは、最初に示したシナリオと似ています。インターネット経由で AWS データソースにアクセスする場合に、Power BI Desktop の全体的なパフォーマンスに影響を与える可能性のある要因がいくつかあります。例えば以下のようなものです。
一般的に、AWS では、1 日のさまざまな時間帯に、さまざまなデータセットを使用し、ユーザー数を徐々に増やしながらエクスペリエンスをテストすることを推奨しています。 |
コスト | VPC 内に存在し、AWS VPN を使用してクエリされたデータソースには、標準の AWS VPN データ転送料金がかかります。コストを削減するために、クエリを制限し、フィルターを使用して、インターネット経由で取得するデータ量を減らすことをお勧めします。 |