AWS認定試験の合格に必要な知識を確認します。
オンプレミスとVPC間の接続方法
オンプレミス拠点とAWSクラウドをハイブリッドで運用していきたいというニーズに応えるために,AWSでは両者を接続する方式が複数用意されています。これらの方式は,クライアントのニーズ(要件)に基づいて選択されるものであるため,まずは想定される要件を洗い出しておきます。
- 拠点からインターネット経由でVPCに接続
- 複数拠点からインターネット経由で安全にVPCに接続
- 拠点から複数のVPCに接続
- 多数のVPCや拠点を相互接続してルーティングを一元管理
これらの要件を実現するため,AWSでは以下のサービスが利用されます。
- AWS Site-to-Site VPN
- AWS Direct Connect
- AWS Transit Gateway
- AWS CloudHub
- AWS Cloud WAN
拠点からインターネット経由でVPCに接続
拠点側のルータからAWSクラウド側のInternet Gatewayに向けてアクセスします。最も手軽に拠点とVPCを接続することができますが,他のインターネット接続と区別がつかないため,アクセス制限や通信の暗号化を別途行う必要があります。
複数拠点からインターネット経由で安全にVPCに接続
大きく「VPNを用いる方式」と「専用線を用いる方式」に分かれます。前者は小規模かつ低コストな要件に適しており,後者は相対的にコストが高くなりますが大規模な構成に適しています。
VPNを用いる方式では,クライアント・サーバ間を暗号化する「Client VPN」と,ルータ間を暗号化する「Site-to-Site VPN」という二つのサービスが利用されます。専用線を用いる方式では,「Direct Connect」というサービスが利用されます。拠点とVPCの間でDirect Connect LocationというAWSの環境を挟まなければならず,Direct Connect Locationには拠点側の機器とAWS側の機器を別途設置する必要があります。さらに,拠点側からDirect Connect Locationへの通信経路は,通信事業者の専用線を用意する必要もあります。
「専用線を用いる方式」のバックアップ接続として「VPNを用いる方式」を利用するケースもあります。
拠点から複数のVPCに接続
拠点とVPCが複数存在する場合に専用線を利用すると,用意するべき専用線の本数が乗算的に増えてしまいます。そこで, AWSクラウド側のDirect Connect Gatewayというサービスを利用することで,拠点側のルータからAWSクラウドへの専用線の本数を拠点分だけに減らすことができます。スイッチ・ルータ・プロキシサーバのようなイメージです。
多数のVPCや拠点を相互接続してルーティングを一元管理
「VPNを用いる方式」と「専用線を用いる方式」によるルーティングを一元管理するためには,Transit Gatewayというサービスが利用されます。Transit Gatewayは,あるリージョンにおいて複数の拠点および複数VPC間の経路情報を保持できるため,リージョンのコアルータのような役割を果たします。なお,Transit Gatewayを用いた方式では,VPC側にVirtual Private Gatewayは不要です。
Transit Gateway同士をピアリングすれば,複数リージョンをまたいだ構成を実現することが可能ですが,そのような要件に対してはCloud WANの方が適しています。
補足
似たような要件を実現するサービスとして「AWS CloudHub」があります。CloudHubはAWSクラウド環境の有無に関わらず,拠点間のVPN接続を可能にします。ざっくりと「VPNをまとめるサービス」と押さえておきましょう。
コメント