COLUMN

AWSを活用するためのネットワーク設定や料金体系とは

クラウドサービスであるAWSは、オンプレミス型サーバーと異なり、AWSにアクセスするためのネットワーク回線や接続方法を検討する必要があります。AWS上で稼働させるサービスが、公開系のWebシステムなのか、社内のみで利用するクローズドなシステムなのかによって、選定するべき回線や設定方法は異なります。今回は、ネットワーク回線を含めたAWSへの接続方法やその料金体系について解説します。

AWS導入を見据えたネットワーク回線を整備

まずは、AWS上で稼働させるサービスに応じてネットワーク回線を整備する必要があります。稼働させるサービスが公開系のWebシステムであれば、既設のインターネット回線からアクセスできればよいので、特に大きな問題は発生しません。社内からのアクセスが遅延なくできるように、必要に応じて回線の増強を検討するとよいでしょう。

社内からのアクセスのみを対象とする基幹システムのようなクローズドなシステムの場合は、ネットワーク回線やネットワーク設定に気を配る必要があります。従来のオンプレミス型によるサービス提供の場合は、拠点間の接続についてVPNのようなもので安全性を高めておけば、社内のシステムへのアクセスも安全に行うことができました。しかし、AWSの場合、社外のネットワークへのアクセスが必要となります。このため、社内から社外へのアクセスの安全性をどのように高めるかという視点もまた必要になるのです。

社内から社外への安全性の高い通信を実現するためには、回線コストや回線品質、予算に応じて最適なものを選定する必要があります。具体的な接続方法は、のちほど解説します。

AWS上でのネットワーク設計のポイント

AWS上で社内システムを構築する場合、クラウドという特性上、従来のオンプレミス型で求められた物理的な配線の敷設やネットワークスイッチの設定は必要ありません。しかし、ネットワークの設定が何も必要ないというわけではありません。IPアドレスの登録やDNSの設定、ルーティング情報の設定といったネットワークの設計と設定は必要になります。AWSの場合、こうしたきめ細かな設定を、すべてWeb画面上で行うことができます。ここでは、AWS上で設定を行ううえで理解しておいた方がよい、3つのネットワーク関連サービスについて解説します。

Amazon Virtual Private Cloud（VPC）

Amazon Virtual Private Cloud（以下、VPC）とは、AWSアカウント専用の仮想ネットワークのことです。仮想ネットワークの中に、EC2の仮想インスタンスのようなAWSのさまざまなサービスを稼働させることができます。VPCを使えば仮想的なネットワークにIPアドレス範囲を指定するとともに、セキュリティグループを関連付けることができます。これにより、VPCにアクセス可能なユーザーに制限を設けることもできます。

ルートテーブルの設定も可能となるため、データベースサーバーへのアクセスはアプリケーションサーバーからアクセスの場合のみ許可するといった、複数台の仮想サーバー間の安全な通信を実現することができます。社内向けのクローズドなシステムを構築する場合は、ネットワーク的なセキュリティ強度を高めるためにも、VPCを使う機会は多いでしょう。

AWS Direct Connect

AWS Direct Connect（以下、DX）は、AWSが提供する専用線接続サービスです。専用線接続サービスといっても、AWSと企業をダイレクトに直接接続するわけではありません。AWSが提供するのは、AWSと接続ポイントとなるDXロケーションまでです。このため、企業と接続ポイント間のネットワーク回線は、AWSを使う側の企業が準備する必要があります。

接続ポイントと企業を接続するためのネットワーク回線は、APN認定パートナーが提供しているサービスから選択するようにしましょう。企業が回線を専有する専用線を敷設することもできますが、APN認定パートナーによっては、仮想的な専用線を実現する閉域網サービスを提供している回線事業者もあります。

Amazon Route 53

可用性と拡張性に優れたクラウド型のDNSサーバーが、Amazon Route 53です。独自ドメインを使ってサーバーをインターネットに公開する場合、DNSサーバーが必要になります。逆に、インターネットには公開しないクローズドな社内システムを構築する場合であれば、ほとんどのケースでAmazon Route 53は必要にはなりません。

DNSサーバーに障害があると、インターネットアクセスやメール利用などができなくなります。このため、Amazon Route 53のような信頼性の高いDNSサーバーの活用は、企業の耐障害性の向上につながります。

AWSのネットワークにかかる料金と注意点

ここまで解説してきたように、AWSと企業の接続方法には複数の方法があり、AWSにも必要なネットワーク設定があるため、これを組み合わせて最適なネットワーク設計を行う必要があります。当然、回線コストやAWSサービス料といった費用面も考慮に入れなければなりません。

公開系のWebシステムであれば、特にネットワーク回線を意識する必要はありません。ただし、アプリケーションサーバーは公開するものの、データベースサーバーには直接アクセスさせない場合は、VPCを使ってルーティング情報を登録する必要があるので注意してください。

特にネットワーク設計を意識する必要があるのは、インターネットには公開しない社内システムを構築する場合です。比較的安価に社内システムとAWSを接続する方法は、インターネットVPNを使う方法です。インターネットVPNを使えば、DXは必要ありません。インターネット回線を使って、社内に設置したVPNルーターとAWS環境を、IPsecにより直接接続します。ここで注意するべきことは、インターネット回線を使うのでベストエフォートであるということです。帯域は保証されないため、インターネット回線が混み合っている場合は、社内からAWSへの通信に遅延が発生する可能性があります。

このため、通信品質と安全性を両立したい場合にはDXを使った専用線接続を検討した方がよいでしょう。専用線接続といっても、接続ポイントと企業間は、回線を専有する専用線を敷設する必要があるわけではありません。専有型の専用線は、確かに安全性は高く高品質の通信が期待できます。しかし、その通信コストは比較的高く現実的ではない場合も多いでしょう。そうした場合に検討したいのが、回線事業者が持つ閉域ネットワーク経由でAWSにアクセスする方法です。仮想的な専用線を使うことができるため、安全性と信頼性の高い通信が実現できます。気になる回線コストも、専用線を敷設する場合と比較して安価である場合がほとんどです。

注意しておかなければならないのは、閉域ネットワークの提供は、すべてのAPN認定パートナーが提供しているわけではありません。実績が豊富で、信頼性の高い回線事業者を選定することも、安全性の高いネットワーク回線を実現するためには、重要な要素になってくるでしょう。

料金を考慮したAWSのネットワーク設計を

AWSのネットワーク設計は決して簡単ではありません。ネットワーク回線の種別が多様化しているうえに、AWS上で設定する必要があるネットワーク設計も、AWS上で稼働させるサービスの性質やセキュリティ強度によって異なります。安全性と品質を加味して専有型の専用線を敷設することは、コスト負担が現実的ではないかもしれません。ネットワーク設計を実行に移すうえでは、回線コストも重要な要素となります。

AWSのネットワーク設計を実行に移していくうえで検討したいのが、APN認定パートナーへの相談です。最適なネットワーク回線の提案だけではなく、AWSとの接続や必要な設定を含めたトータルサービスとして提供しているAPN認定パートナーもあります。まずは相談してみてはいかがでしょうか。