【学習メモ】AWS Direct Connectと VPN

Direct Connect

オンプレミス環境とAWS環境を専用回線でセキュアに接続するサービスがAWS Direct Connectだ。

Direct Connect ロケーション

オンプレミスとAWSのデータセンターを相互接続する場所のことで、各リージョンに複数存在し、AWSユーザは任意のロケーションを選択することができる。
AWSユーザはこのロケーションにAWSデータセンターとオンプレミスを接続するためのルータを配置し、さらにオンプレミスから専用回線を引いて、接続しなくてはいけない。

Direct Connect エンドポイント

Direct Connectロケーション内にある、オンプレミス側の最終端のルータのことで、AWSユーザは設置したルータと接続する必要がある。

接続

Direct Connectにはパブリック接続とプライベート接続がある。
S3やDynamoDBなどVPC外に存在するリソースへの接続はパブリック接続と呼ばれ、VPC内リソースへの接続はプライベート接続と呼ばれる。
プライベート接続はVPCに仮想プライベートゲートウェイ(VGW)を設置する。
通常Direct Connectのプライベート接続はDirect ConnectエンドポイントとVGWを1対1で接続するため1つのVPCとしか接続できないが、Direct Connectゲートウェイを使用すると複数のVPCと接続が可能になる。※マルチリージョン、クロスアカウント可能

ただしあくまでオンプレミスとVPC間の疎通のためのゲートウェイであり、TransitGatewayのようなネットワークハブサービスではないので、VPC間の疎通をDirect Connect経由で行うことはできない。

サービス提供タイプ

専用接続:
物理的に1つの回線を1つのAWSアカウントが専用で使用する。

速度: 1Gbps/10Gbps/100Gbps

大規模なデータ転送、高帯域幅を要求する環境、セキュアな接続が求めあれる場合に適している。

ホスト接続:
AWS　Direct Connectパートナーによって管理される物理的なDirect Connect接続を複数のAWSユーザで共有する。
通常1Gbps以下の帯域幅で提供されるため、コスト効率を重視し、そこまで帯域幅を必要としない場合に適している。

VPN

オンプレミス環境とAWS環境をインターネット回線を用いて、セキュアに接続するサービスがVPNだ。(Virtual Private Network)
インターネット回線を仮想の専用回線として利用し、通信を暗号化することでセキュアかつ、Direct Connectより安価で早く実装できる。

AWS Client VPN

Client VPNはパソコンなどの端末とVPCをインターネットVPNを使用して接続する。VPCにはClient VPNエンドポイントを作成する。Open VPNというソフトウェアを使用しており、Windows,Mac,iOS,Androidにも対応している。
機器の導入は不要である。

AWS Site-to-Site VPN

Site-to-Site VPNはオンプレミスのルータとVPCの仮想プライベートゲートウェイ(VGW)をインターネットVPNで接続する。インターネット上に仮想の専用線であるVPNトンネルを張り、IPsecという暗号化技術を使用して、通信を暗号化している。

Site-toSite VPNの可用性は仮想トンネルとVGWはAWS側で冗長化されているが、オンプレミスの冗長化はユーザで実施する必要がある。
カスタマーゲットウェイ(オンプレミスのルータ)の冗長化をユーザが実施する。

VPNトンネルはCloudWatchで監視可能。