COLUMN

1.AWS Site-to-Site VPNとは

1-1.AWS Site-to-Site VPNについて

AWS Site-to-Site VPNは、AWSが提供するオンプレミス環境とAWSクラウドを安全に接続するためのVPN（仮想プライベートネットワーク）サービスです。インターネットを経由して拠点間で暗号化されたトンネルを作成し、データのセキュアな通信を可能にします。

そもそもVPNって何だろう？と疑問に思った方は、別コラム「VPNとは？仕組みやメリット・デメリット、おすすめの利用シーンを解説」で詳しく解説していますので、こちらを参照ください。

【関連記事】VPNとは？仕組みやメリット・デメリット、おすすめの利用シーンを解説

1-2.クラウド接続サービスの使い分け

AWSでは、AWS Site-to-Site VPN以外にもいくつかのクラウド接続サービスを提供しています。これらのサービスは、それぞれ異なるユースケースやニーズに対応しています。ここでは拠点とAWSクラウドを接続するAWSサービスとしてAWS Site-to-Site VPNとよく比較されるAWS Direct Connectとの使い分けについて説明します。

AWS Direct Connect

専用線を使用して拠点とAWSクラウドを直接接続するサービスです。インターネットを介さずに接続するため、安定した接続と低レイテンシが特徴です。Gbps単位の高帯域幅を提供しているため大規模なデータ転送に適しており、大規模なデータセンターやクラウドネイティブなアプリケーションを運用する際には採用されるケースが多いです。

またビッグデータの処理やリアルタイムデータストリーミングなど大量のデータ転送が必要な場合もAWS Direct Connectは有力な選択肢として挙げられます。

NTT東日本ではAWS Direct Connectを利用したクラウド接続サービスとして「クラウドゲートウェイ クロスコネクト」を提供しており、信頼性の高い閉域ネットワーク経由でクラウドサービスを利用できます。

【関連記事】社内ネットワークからAWSに接続する「AWS Direct Connect」について解説

AWS Site-to-Site VPN

AWS Site-to-Site VPNはAWS Direct Connectと比較するとコストが抑えられ迅速に接続を開始できることが特徴です。初期費用やハードウェアの購入が不要で、使用した分だけ料金が発生する従量課金制を採用しているため、小規模な環境や緊急時のバックアップ接続などの場合に最適です。

【関連記事】AWS VPNとは？種類やメリット・デメリット、料金体系、導入事例を解説

このように、それぞれのクラウド接続サービスには特有の特徴と適した用途があります。通信速度やセキュリティの面ではAWS Direct Connectの方が勝っていますが、構築容易さや費用面などニーズに応じて最適なサービスを選択することで、効率的かつ安全にクラウド環境を構築・運用することができます。

参考：AWS Site-to-Site VPN の概要

1-3.接続構成イメージ

AWSのアーキテクチャアイコンを用いて、接続構成イメージを起こしてみました。今回のAWSクラウドとの接続においては、AWS Site-to-Site VPNを利用して拠点と接続します。

• 拠点側ルーター：YAMAHA RTX1210
• AWS Site-to-Site VPNのルーティング種別：動的

参考：AWS Site-to-Site VPN の仕組み

ダウンロード資料「比べて納得！クラウドへの接続方法」はこちらよりダウンロードできます。あわせてご確認ください。

2.AWS Site-to-Site VPNをつないでみた

2-1.ネットワーク設計の注意点

AWS Site-to-Site VPNの具体的な設定手順に入る前に、ネットワーク設定に関する基本的な注意点を見ていきましょう。

AWS Site-to-Site VPNに限らず、拠点とAWSクラウドの接続にはネットワーク設計が非常に重要です。IPアドレス帯やセキュリティグループ等の設定が誤っている場合、「ネットワークは接続できているはずなのに、通信できない」といった事象が発生します。

ここでは初心者が陥りがちな、よくある設計・設定ミスの事例をいくつかご紹介します。

2-1-1.拠点-クラウド間でのIPアドレス帯の重複

「IPアドレス帯の重複」のように、クラウド側と各拠点側のIPアドレス帯がバッティングしていることにより、一部の通信ができなくなってしまいます。

既存環境のIPアドレス帯との重複を避けることはもちろんですが、将来的に拠点が増えた場合のことも考えて計画的に設計しましょう。

2-1-2.セキュリティグループの設定漏れ

「セキュリティルールの設定漏れ」のように、クラウド上のローカルセグメントは許可設定になっていても、拠点側アドレス帯の許可設定を追加しなければ仮想サーバーに通信できません。

一方使用しない通信まで許可してしまうと、セキュリティリスクが高まります。セキュリティグループでは必要最小限の通信のみを許可する設定とすることを心がけましょう。

2-2.AWS側の設定手順

それではAWS Site-to-Site VPNを使用して、オンプレミス環境とAWSクラウドを接続するための設定手順を解説していきます。

2-2-1.仮想プライベートゲートウェイ設定

仮想プライベートゲートウェイとは、1つのVPCとオンプレミス環境をVPN経由で接続する際に、VPC側に設置する通信の出入口(ゲートウェイ)となるコンポーネントです。

VPCコンソールから左ペインの「仮想プライベートゲートウェイ」を押下します。「仮想プライベートゲートウェイを作成」を押下します。

任意の名前タグを入力し、以下はデフォルトの設定として「仮想プライベートゲートウェイを作成」を押下します。

作成した仮想プライベートゲートウェイを選択し、「アクション」から「VPCへアタッチ」を押下します。

アタッチするVPCを選択し、「VPCへアタッチ」を押下します。

少し待って対象の仮想プライベートゲートウェイの状態が「アタッチ済み」となることを確認します。

2-2-2.カスタマーゲートウェイ設定

続いてカスタマーゲートウェイを作成していきます。

カスタマーゲートウェイとは、仮想プライベートゲートウェイの対向となる拠点側(ルーター側)のゲートウェイとなるコンポーネントです。

VPCコンソールから左ペインの「カスタマーゲートウェイ」を押下します。「カスタマーゲートウェイを作成」を押下します。

以下を設定していきます。

名前タグ：任意の名前を入力

BGP ASN：デフォルトの65000を設定 (任意のASNを設定することもできます)

IPアドレス：ルーターに設定されているグローバルIPアドレスを入力

以下はデフォルトとして「カスタマーゲートウェイを作成」を押下します。

カスタマーゲートウェイがの状態が「利用可能」となっていることを確認します。

2-2-3.AWS Site-to-Site VPN設定

VPCコンソールから左ペインの「Site-to-Site VPN」を押下します。「VPN接続を作成する」を押下します。

以下を設定していきます。

名前タグ：任意の名前を入力

ターゲットゲートウェイのタイプ：仮想プライベートゲートウェイを選択

仮想プライベートゲートウェイ：作成した仮想プライベートゲートウェイを選択

カスタマーゲートウェイ：既存を選択

カスタマーゲートウェイID：作成したカスタマーゲートウェイを選択

ルーティングオプション：動的を選択

ローカル IPv4 ネットワーク CIDR：VPN トンネルを介した通信が許可されるカスタマーゲートウェイ (オンプレミス) 側の IPv4 CIDR 範囲を入力 (デフォルトは 0.0.0.0/0)

リモート IPv4 ネットワーク CIDR：VPN トンネルを介した通信が許可される AWS 側の IPv4 CIDR 範囲を入力 (デフォルトは 0.0.0.0/0)

以下はデフォルトとして「VPN接続を作成」を押下します。

VPN接続が作成されていることを確認します。

作成したVPN接続を選択し、「設定をダウンロードする」を押下します。

以下の通り必要事項を選択し「ダウンロード」を押下します。

ここでダウンロードした設定ファイルは2-3.拠点側(ルーター)の設定手順で使用します。

2-3.拠点側(ルーター)の設定手順

こちらのYAMAHA公式サイトの手順を参考にルーター側の設定を実施します。

※本記事では詳細は割愛します

Amazon VPCとVPN(IPsec)接続するルーターの設定 : コマンド設定

ルーター側への設定が完了し、Tunnel Stateのステータスがアップになっていることを確認します。

ダウンロード資料「比べて納得！クラウドへの接続方法」はこちらよりダウンロードできます。あわせてご確認ください。

3.AWS Site-to-Site VPNの利用料金

AWS Site-to-Site VPNは以下2点で料金が発生します。

• AWS Site-to-Site VPN 接続料金
• データ転送料金

AWS Site-to-Site VPN 接続料金については、東京リージョンや大阪ローカルリージョンでAmazon VPC へ接続した場合の料金は、1時間あたり0.048USDとなっています。

データ転送料金については、EC2 オンデマンド料金ページで説明されているデータ転送料金が発生します。

以下の例で料金を算出してみました。

• AWS東京リージョンを利用
• 30日間、1日24時間常時接続
• データ転送量　in：1,000GB out：500GB

【AWS Site-to-Site VPN 接続料金】

接続が有効となっている間は、時間単位の料金が発生することから

0.048USD/h×24h×30day＝34.56USD/月　の接続料金がかかります。

【データ転送料金】

データ転送料金はoutの通信に対して課金され、1GBあたり0.09USDとなっています。最初の100GBは無料なので、今回の例では400GBが課金の対象となることから

0.09USD/GB×400＝36.00USD/月　のデータ転送料金がかかります。

以上より、この例では月額70.56USDがかかることとなります。

なおAWS Site-to-Site VPNの利用時間が1時間に満たないケースでも、1時間分の料金が課金される点には注意が必要です。VPN接続の課金を停止するためには、AWSマネジメントコンソールやAWS CLIを使用して接続自体を停止する必要があります。

ダウンロード資料「比べて納得！クラウドへの接続方法」はこちらよりダウンロードできます。あわせてご確認ください。

4.まとめ

今回はAWS初学者の方に向けて、AWS Site-to-Site VPNを使用してAWSと拠点間をVPN接続する際の設定手順や注意するポイントについて解説しました。

NTT東日本が提供するクラウド接続サービスはこちらでご案内しております。

AWS活用に関するご相談は無料で行っておりますので、以下のサイトよりお気軽にご相談ください。

クラウド無料オンライン相談窓口 申し込みフォーム