Amazon Virtual Private Cloud (Amazon VPC) では、必要な数だけ仮想ネットワークを作成する機能に加えて、そのネットワーク間の接続や AWS ではないインフラストラクチャへの接続のためにさまざまなオプションが提供されます。地理的に分散された複数の VPC やリモートネットワークを接続するには、2 つの一般的な戦略があります。1 つはトラフィックすべてを、ネットワーク転送センター (Transit VPC) を介してルーティングさせるハブアンドスポークネットワークトポロジーを実装する方法、もう 1 つはすべてのネットワーク間で個々の接続を使用してメッシュネットワークを作成する方法です。どちらのアプローチも、効率的で可用性がある転送ネットワークを構築でき、それぞれが異なるビジネスのニーズに特有のメリットやトレードオフを提供します。

このウェブページでは、AWS でグローバル転送ネットワークを実装するために重要な検討事項を取り上げ、一般的なベストプラクティスと、共通の転送ネットワークパターンの概要を説明します。以下のセクションは、可用性の高いリモートネットワーク接続、IPsec VPN、ネットワークアドレスの割り当て、サブネット化、ルーティングに関する基本的な知識があることを前提としています。

  • ソリューション概要

    転送ネットワークを作成するにあたっては、ユニバーサルネットワーク設計に関するいくつかの原則を検討します。例えば、転送ネットワークはネットワークバックボーンの重要なコンポーネントになるため、使い慣れていてサポートの良いネットワークベンダー製品を選択します。この点を念頭に置きつつ、以下の AWS リモート接続のベストプラクティスを検討してください。

    • 転送ネットワーク内のトラフィックの量を削減するために、推移的なルーティングを必要としないリソース間の VPC ピア接続を活用します。これにより、転送ネットワークの競合やレイテンシーが低減され、アプリケーションのパフォーマンスが向上します。
    • リモートネットワーク間のルーティング機能を簡素化するために、プライベートネットワークには重複しないネットワーク範囲を使用します。重複しているネットワークを補うために転送ネットワーク内で NAT ルールを使用することは可能ですが、その場合ネットワーク設計が複雑になることがあります。
    • ネットワークの高可用性、回復性、スケーラビリティを確保する方法を実装します。例えば、ネットワーク間で静的にルーティングされる接続ではなく、動的にルーティングされる複数の接続を活用することで、利用可能な接続間で自動フェイルオーバーを有効にすることもできますし、ネットワーク接続と可用性をリアルタイムでモニタリングして管理するシステムを使用することもできます。

    以下のセクションは、ハブアンドスポークネットワークやメッシュネットワークの構築について、関連するメリットや検討事項などの高度な設計の概要を取り上げています。この設計では、オンプレミスとクラウド内のグローバルネットワーク間のネットワークトラフィックを直接ルーティングします。実際にグローバル転送ネットワークを実装すると、コロケーションの転送ハブまたは物理的ネットワーク機器の関連コストを削減できます。グローバル転送ネットワークは、次のユースケースや要件を持つお客様に適しています。

    • 地理的に分散された VPC の AWS リソースから、さまざまなオンプレミスやリモートインフラストラクチャにアクセスする必要がある。
    • 異なる AWS リージョンに VPC が配置されている。
    • ハイブリッドネットワークアーキテクチャを実装するために、複雑なネットワークルーティングが必要である。
    • セキュリティまたはコンプライアンスプログラムの要件を満たすため、異なるネットワークのリソース間でネットワークベースのモニタリングやフィルタリングを追加する必要がある (ネットワーク侵入検知システムや次世代ファイアウォールなど)。

    この手法では、専用 VPC 内のホストベースの VPN アプライアンスを使用し、セントラルハブを介してスポークネットワーク間で推移的なルーティングを実行します。Transit VPC を使用すると、ネットワーク管理が簡単になり、複数の VPC とリモートネットワークを接続するために必要な接続数を最小限に抑えられます。

    この設計では、Transit VPC の別個のアベイラビリティーゾーンにおいて Amazon Elastic Compute Cloud (Amazon EC2) インスタンスに VPN アプライアンスをデプロイします。この VPN 接続の確立および維持にかかわる労力を大幅に削減するために、AWS Marketplace から仮想ネットワークアプライアンスを利用することを強く推奨します。

    スポーク VPC は、仮想プライベートゲートウェイ (VGW) とネットワークアプライアンス間で動的にルーティングされる VPN 接続を介して、転送ネットワークに接続されます。この設計では、外部ネットワークや他の AWS リージョンの VPC など、接続されているネットワーク間のルーティングを可能するために、VPC ピア接続ではなく、スポーク VPC からの VPN 接続を使用します。これにより、スポーク VPC リソースでルーティングおよびフェイルオーバーのために VGW の機能が活用され、転送 VPC ネットワークアプライアンスへの可用性の高いネットワーク接続が維持できるようになります。リモートネットワークは、冗長かつ動的にルーティングされる VPN 接続を使用して転送 VPN アプライアンスにも接続します。接続後は、リモートネットワークにネットワークルートを反映させることと同じように、動的ルーティングプロトコルを利用して、潜在的なネットワーク障害を回避するためにトラフィックを自動的にルーティングします。

    右の図で、VPN アプライアンスとのすべての通信 (企業のデータセンター、他のプロバイダーネットワーク、Transit VPC 間の VPN 接続など) では、Transit VPC インターネットゲートウェイと Elastic IP アドレスを使用していることに注意してください。動的にルーティングされた接続の使用に加えて、Transit VPC のインスタンスを保護するために、EC2 の Auto Recovery を使用することを強く推奨します。

    VPC とオンプレミスネットワーク間の直接のネットワークルーティングを提供するとともに、この設計では、重複したネットワーク範囲間でのネットワークアドレス変換などのより複雑なルーティングルールを Transit VPC で実装することもできますし、ネットワークレベルのパケットフィルタリングや検査を追加することもできます。

    transit-vpc-detail

    この設計は、オンプレミスネットワークの変更を最小限に抑えつつ、Amazon VPC とリモートリソース間の IP ベースの接続に関するどのような要件も満たします。また、AWS 提供の VPN 接続とシームレスに統合された AWS Marketplace の製品を選択することもでき、既存のデータセンターにこの製品をデプロイする必要はありません。ただし、この設計では、お客様が Transit VPC にデプロイされた EC2 ベースの VPN インスタンスを設定し、管理する必要があります。これにより、追加の Amazon EC2 のライセンス料金が発生します。さらに、サードパーティのライセンス料金も発生する可能性があります。また、この設計では、Transit VPC を通過するトラフィックに対して追加のデータ転送料金が発生することに留意してください。データに対する課金は、スポーク VPC から Transit VPC に送信されたときに発生し、さらに Transit VPC からオンプレミスのネットワークに送信されたときにも発生します。

    Cisco ベースの Transit VPC を数分でデプロイする完全に自動化された方法については、AWS ソリューションタブを参照してください。このソリューションでは、明示的にタグ付けされた VGW についてお客様の環境を頻繁にモニタリングし、転送ネットワークに自動的に追加します。また、複数の AWS リージョンや異なる AWS アカウントを使用して配置された VPC もサポートしています。AWS パートナーネットワーク (APN) である Aviatrix によって、安全で管理された Transit VPC ネットワークをすばやく簡単にデプロイできる自動化されたソリューションも提供されています。詳細については、パートナー製品のタブを参照してください。

    全体または一部のメッシュ設計は、セントラルハブのないネットワーク間における個々の VPN 接続に使用されます。この手法では、ネットワーク内のホップ数を削減し、レイテンシーを減らしてトラブルシューティングを簡素化できます。メッシュネットワークの実装と継続的な管理は、ハブアンドスポークの方式よりも複雑ですが、地域間での大量のデータ転送を必要とする企業、またはネットワークのロギングおよびモニタリングに広範なコンプライアンス要件があるお客様に最適です。

    この設計では、メッシュポイントツーポイント VPN 接続を全体 (または一部) に使用した、各 VPC 内の EC2 インスタンスに VPN アプライアンスをデプロイして、ネットワークトラフィックをルーティングします。オンプレミス VPN デバイスも、必要に応じて VPN インスタンスへの個々の VPN 接続を作成することで、転送ネットワークに追加できます。VPC ルートテーブルは、VPN アプライアンスを介して、対象とする送信先ネットワークに転送ネットワークトラフィックをルーティングするように構成されています。

    このようなネットワーキングインスタンスや関連する VPN 接続の可用性を自動的にプロビジョニング、管理、モニタリングするサービスを提供している APN パートナーまたは AWS Marketplace を利用することを強く推奨します。

    この設計では、すべての転送トラフィックをルーティングするためにセントラルハブに依存せずに、別の VPC に直接トラフィックを送信することで、より効果的にスケールできます。ただし、転送ネットワーク接続を作成するために EC2 インスタンスに依存しています。そのため、EC2 インスタンスの追加コストが発生し、VPC とリモートネットワーク間の単一障害点が生じます。関係するインスタンスと、VPN のプロビジョニング、モニタリング、管理、復旧が必要なため、お勧めしている包括的なパートナーである Aviatrix (Aviatrix メッシュネットワーク)、または Riverbed (SteelConnect) などを利用することで、プロセスを自動化、また簡素化できます。

    meshed-global-network
    このソリューション概要の PDF 版をダウンロードする
  • AWS ソリューション

    AWS では、Cisco ベースの Transit VPC を数分で導入する完全に自動化されたソリューションが提供されます。下の図は、ソリューションの実装ガイドとそれに付属の AWS CloudFormation テンプレートを使用して構築できる Transit VPC のアーキテクチャを示しています。

    transit-vpc-detail-medium
    1. この可用性に優れた設計では、専用 Transit VPC の別個のアベイラビリティーゾーンに 2 つの Cisco CSR 1000v インスタンスがデプロイされています。これは、グローバル転送ネットワークのハブとして機能します。CSR インスタンスを使用すると、VPN の終了とルーティングが行えます。
    2. このソリューションでは、AWS Lambda を使用して、自動的に適切にタグ付けされた仮想プライベートゲートウェイ (VGW) が検索され、Transit VPC 内のスポーク VPC と CSR インスタンス間の VPN 接続が設定されます。設定データは Amazon S3 に保存されます。
    3. このソリューションで用意されている任意のテンプレートを使用すれば、2 つ目の AWS アカウントからスポーク VPC を自動的に追加できます。
    4. Transit VPC が確立されると、AWS クラウドを越えて、オンプレミスインフラストラクチャや他のネットワークプロバイダーへの VPN 接続を手動で設定できます。
    ソリューションをデプロイする
    実装ガイド

    以下の内容を実行します。

    AWS CloudFormation を使用して Transit VPC をデプロイします。CloudFormation テンプレートには、4 つのデプロイサイズがあり、高可用性と動的ルーティングのベストプラクティスを使用して Transit VPC を自動的に起動して設定できます。

    簡単なリソースタグを使用して、転送ネットワークにすべての AWS リージョンのスポーク VPC を自動的に追加します。該当する VGW に対するタグ付け後、1 分以内に事前設定された AWS Lambda 関数によって、その VPC と Transit VPC ハブ間の VPN 接続が自動的に作成されます。

    AWS CloudFormation を使用して、転送ネットワークに 2 番目の AWS アカウントを接続します。このソリューションには、転送ネットワークを 2 番目の AWS アカウントに拡張するためのオプションのテンプレートが含まれています。

    開始する前に以下の準備が必要です。

    AWS アカウント: リソースのプロビジョニングを開始するには、AWS アカウントが必要です。AWS にサインアップする

    スキルレベル: このソリューションは、AWS クラウドでのアーキテクチャ設計に関する実経験がある IT インフラストラクチャおよびネットワーキングのプロフェッショナルを対象としています。

    Cisco ライセンス: この設計で使用される Cisco Cloud Services Router (CSR) のライセンスモデルを決定する必要があります。詳細については、実装ガイドを参照してください。

    Q: Transit VPC とは何ですか?

    Transit VPC は、複数の地理的に分散した VPC とリモートネットワークを接続してグローバルネットワーク転送センターを作成するための一般的な戦略です。Transit VPC では、ネットワーク管理が簡単になり、複数の VPC とリモートネットワークを接続するために必要な接続数が最小限に抑えられます。グローバルネットワークと共有 VPN 接続の詳細については、AWS Answers を参照してください。

    Q: リモートネットワークからの複数の接続を使用する代わりに、Transit VPC を実装するのはなぜですか?

    Transit VPC は、時間と労力を節約し、ルーティングを簡素化し、コストを削減します。管理する接続は少なくなり、AWS クラウドで仮想的に実装されるため、従来のように費用をかけてコロケーションの転送ハブを物理的に構築したり、物理的なネットワーク機器を導入したりする必要はありません。

    Q: Transit VPC に Cisco CSR Amazon Machine Image (AMI) とは異なる VPN アプライアンスを使用できますか?

    この自動化された Transit VPC ソリューションでは、Cisco Cloud Services Router (CSR) 1000V でのリファレンス実装が提供されます。さらに AWS Marketplace 製品を使用すれば同様のアーキテクチャパターンを実現できます。

    Q: Transit VPC を運用するにはどのくらいの費用がかかりますか?

    このリファレンスデプロイを実行中に使用した AWS のサービスのコストと、Cisco CSR ライセンス料はお客様が負担します。ライセンスは事前に購入するか AWS Marketplace から依頼できます。詳細については、実装ガイドを参照してください。

  • パートナー製品

    Amazon パートナーネットワーク (APN) では、あらゆる規模または開発段階の組織に適した、さまざまな包括的ネットワーキング製品が提供されています。次のパートナーの人気製品を含め、パートナー製品全体の一覧については、AWS Marketplace で検索してください。

    aviatrix

    Aviatrix では、サイトと VPC の接続、リージョンを超えての VPC と VPC の接続、リモートユーザー VPN アクセスのために暗号化された接続を構築することが可能な、クラウドネットワーキングソフトウェアを提供しています。Aviatrix のソフトウェアソリューションには、ネットワーク管理を簡素化し、複雑なデプロイやグローバル転送ネットワークの運用を自動化するセントラルコントローラーが含まれます。Aviatrix の Transit VPC ネットワーク、またメッシュネットワークに関する詳細情報をご覧ください。

    cisco

    Cisco のクラウドサービスルーター (CSR) 1000V シリーズは、仮想ネットワーキングサービス用として AWS クラウド内で最大限のパフォーマンスを提供します。AWS のお客様は CSR1000V を利用することで、エンタープライズクラスの VPN を迅速にデプロイし、高いレベルのセキュリティで VPN トンネルの両側を管理ができます。詳細はこちら »

    riverbed

    Riverbed SteelConnect Gateway は、高度に区分化された、複数の VPC アーキテクチャの最新のトレンドを驚くほど簡単に提供します。自動化された VPC の選択やゲートウェイのデプロイは、すべての AWS リージョン内の VPC 間で、完全にメッシュでセキュアな体制を作成します。詳細 »

AWS の利用を開始するためにさらにリソースが必要ですか。AWS クラウドの開始方法にアクセスして、AWS を開始するためのチュートリアル、プロジェクト、ビデオをご確認ください。

ご意見をお寄せください