1. はじめに
こんにちは!株式会社Definerの阪本です!
今回は、AWS Site-to-Site VPNのコンポーネントについてご紹介したいと思います。
今回は、AWS Site-to-Site VPNのコンポーネントについてご紹介したいと思います。
2. 目的・ユースケース
この記事では、マルチクラウド間、クラウド-オンプレの接続という目的に向けて、AWS Site-to-Site VPNという技術をご紹介します。
ITの現場で、AWS Site-to-Site VPNのコンポーネントについて理解したいときに、参考になる情報やプラクティスをまとめています。
ITの現場で、AWS Site-to-Site VPNのコンポーネントについて理解したいときに、参考になる情報やプラクティスをまとめています。
3. AWS Site-to-Site VPNとは
AWS Site-to-Site VPNとは、AWSとオンプレミス/他クラウドとの間を、セキュアなPVN接続を提供するサービスです。
AWS Site-to-Site VPNは、AWS側の仮想プライベートゲートウェイまたはトランジットゲートウェイと、リモート(オンプレ/他クラウド)側のカスタマーゲートウェイ (VPN デバイス) の間にVPN トンネルを提供します。
AWS Site-to-Site VPNではインターネットプロトコルセキュリティ (IPsec) VPN接続がサポートされています。
AWS Site-to-Site VPN接続は、AWS VPNまたはAWS Classic VPNのいずれかのオプションが存在します。
新規作成するAWS Site-to-Site VPN接続は、すべて前者のAWS VPN接続です。
AWS Classic VPNと比較したAWS VPN接続の特徴については、以下のようなメリットが挙げられます。
・IKEv2(Internet Key Exchange version 2)がサポートされている
・CloudWatchメトリクスで監視可能
・カスタム暗号化オプション (AES 256、SHA-2 hashなど)
・トンネルオプションのカスタム
・トランジットゲートウェイでのIPv6トラフィックのサポート
AWS Site-to-Site VPNは、AWS側の仮想プライベートゲートウェイまたはトランジットゲートウェイと、リモート(オンプレ/他クラウド)側のカスタマーゲートウェイ (VPN デバイス) の間にVPN トンネルを提供します。
AWS Site-to-Site VPNではインターネットプロトコルセキュリティ (IPsec) VPN接続がサポートされています。
AWS Site-to-Site VPN接続は、AWS VPNまたはAWS Classic VPNのいずれかのオプションが存在します。
新規作成するAWS Site-to-Site VPN接続は、すべて前者のAWS VPN接続です。
AWS Classic VPNと比較したAWS VPN接続の特徴については、以下のようなメリットが挙げられます。
・IKEv2(Internet Key Exchange version 2)がサポートされている
・CloudWatchメトリクスで監視可能
・カスタム暗号化オプション (AES 256、SHA-2 hashなど)
・トンネルオプションのカスタム
・トランジットゲートウェイでのIPv6トラフィックのサポート
4. AWS Site-to-Site VPNのコンポーネント
続いて、AWS Site-to-Site VPNのコンポーネントを紹介していきます。
・仮想プライベートゲートウェイ
Site-to-Site VPN接続におけるAWS側のVPNエンドポイントです。
1つのVPC にアタッチすることができます。
(AWS Site-to-Site VPN の仕組みより)
・トランジットゲートウェイ
Site-to-Site VPN接続におけるAWS側のVPNエンドポイントです。
複数のVPC(Virtual Private Cloud)やオンプレミスなどにアタッチすることができる中継ハブです。
Site-to-Site VPN接続は、トランジットゲートウェイのアタッチメントとして作成します。
(AWS Site-to-Site VPN の仕組みより)
・カスタマーゲートウェイ
ユーザ(リモート)側の、物理デバイスまたはソフトウェアアプリケーションです。
Site-to-Site VPN接続では、リモートネットワークのカスタマーゲートウェイノブ鶴デバイスまたはアプリケーションにネットワーク設定を入れる必要があります。
まとめると、AWS側に仮想プライベートゲートウェイまたはトランジットゲートウェイ、リモート側にカスタマーゲトウェイを作成し、それらをVPN接続します。
・仮想プライベートゲートウェイ
Site-to-Site VPN接続におけるAWS側のVPNエンドポイントです。
1つのVPC にアタッチすることができます。
(AWS Site-to-Site VPN の仕組みより)
・トランジットゲートウェイ
Site-to-Site VPN接続におけるAWS側のVPNエンドポイントです。
複数のVPC(Virtual Private Cloud)やオンプレミスなどにアタッチすることができる中継ハブです。
Site-to-Site VPN接続は、トランジットゲートウェイのアタッチメントとして作成します。
(AWS Site-to-Site VPN の仕組みより)
・カスタマーゲートウェイ
ユーザ(リモート)側の、物理デバイスまたはソフトウェアアプリケーションです。
Site-to-Site VPN接続では、リモートネットワークのカスタマーゲートウェイノブ鶴デバイスまたはアプリケーションにネットワーク設定を入れる必要があります。
まとめると、AWS側に仮想プライベートゲートウェイまたはトランジットゲートウェイ、リモート側にカスタマーゲトウェイを作成し、それらをVPN接続します。
5. 引用・参考記事
6. 独自ソリューション「PrismScaler」について
・ PrismScalerは、開発・運用を要さずにたった3ステップで、AWSやAzure、GCPなどのマルチクラウド基盤構築を実現するWebサービスです。
・ クラウド基盤にまつわる「自動構築」「自動監視」「問題検知」「構成可視化」などの効率化を実現し、クラウドエンジニア、SRE/DevOpsエンジニアが行う泥臭く大変な作業を肩代わりするソリューションです。
・ クラウド基盤構築/クラウド移行や、クラウドの保守運用・コスト最適化など幅広い利用シーンを想定しており、IaaSやPaaSを適切に組み合わせた数百を超える高品質な汎用クラウド基盤を容易に実現できます。
・ クラウド基盤にまつわる「自動構築」「自動監視」「問題検知」「構成可視化」などの効率化を実現し、クラウドエンジニア、SRE/DevOpsエンジニアが行う泥臭く大変な作業を肩代わりするソリューションです。
・ クラウド基盤構築/クラウド移行や、クラウドの保守運用・コスト最適化など幅広い利用シーンを想定しており、IaaSやPaaSを適切に組み合わせた数百を超える高品質な汎用クラウド基盤を容易に実現できます。
7. お問合せ
本記事では、入門編として有益な情報を無料公開しています。ご相談やお問い合わせは「株式会社Definer」へ。
8. Definerに関して。
・ Definer Incは、ITの上流から下流まで一気通貫のワンストップソリューションをご提供しております。
・ AIやクラウドのITインフラなど、先進的なIT技術のコンサルティングから要件定義 / 設計開発 / 実装、保守運用に至るまでの統合的な支援にコミットしています。
・ DevOpsとCI/CDコンサルティングにより「少ないエンジニアで事業が成長する仕組みづくり」「エンジニアが喜ぶ、採用しやすい環境づくり」「高速なアジャイル開発環境」を実現しています。
・ また、自社プロダクトとしてPrismScalerを展開しております。PrismScalerは、AWS、Azure、GCPなどのマルチクラウド / ITインフラの高品質かつ迅速な、「自動構築」「自動監視」「問題検知」「構成可視化」を実現します。
・ AIやクラウドのITインフラなど、先進的なIT技術のコンサルティングから要件定義 / 設計開発 / 実装、保守運用に至るまでの統合的な支援にコミットしています。
・ DevOpsとCI/CDコンサルティングにより「少ないエンジニアで事業が成長する仕組みづくり」「エンジニアが喜ぶ、採用しやすい環境づくり」「高速なアジャイル開発環境」を実現しています。
・ また、自社プロダクトとしてPrismScalerを展開しております。PrismScalerは、AWS、Azure、GCPなどのマルチクラウド / ITインフラの高品質かつ迅速な、「自動構築」「自動監視」「問題検知」「構成可視化」を実現します。