Amazon Web Services ブログ
ガバメントクラウドの道案内『ネットワーク構築運用補助者編』
自治体のお客様において、現在ガバメントクラウドの利用検討が進んでいます。ガバメントクラウドを利用するうえでは、さまざまな事業者が分担して作業することが多いと思います。
例えば、「ネットワーク構築運用補助者」がネットワーク経路を整備し、「運用管理補助者」が運用管理を行う個別領域上に、「ASP」がシステムを構築します。それぞれの事業者の詳細な役割分担については、こちらのブログをご参照ください。
本ブログは自治体においてガバメントクラウド利用を検討されているお客様に向けた「ネットワーク構築運用補助者編」です。ネットワーク構築運用補助者がネットワーク構築や運用管理を行っていく上で、気にするべき点や、参考となる資料をまとめています。作業内容の確認等に、ご利用いただければと思います。
その他の方に向けたブログに関しては以下リンクをご参照ください。
- ガバメントクラウドの道案内: 『自治体職員編』
- ガバメントクラウドの道案内: 『統合運用管理補助者編』
- ガバメントクラウドの道案内: 『ネットワーク構築運用補助者編』(本ブログ)
- ガバメントクラウドの道案内: 『ASP&運用管理補助者編』
また、本ブログは以下のような方を対象として記述しています。
- ネットワーク構築運用補助者を担う事業者の方
- ネットワーク構築運用補助者を立てることをご検討されており、詳細を知りたい自治体の方
本ブログの構成
ここからはネットワーク構築運用補助者について以下のような章立てでお話しします。
- ネットワーク構築運用補助者の役割と担当する事業者について
- 地方公共団体からガバメントクラウドへの接続パターンについて
- ネットワークを集約する構成について
- まとめ
- 免責事項
- ガバメントクラウドに関するお問い合わせ
ネットワーク構築運用補助者の役割と担当する事業者について
多くの地方公共団体の基幹システムは、マルチベンダーで構成されており、ガバメントクラウド上ではマルチアカウント構成になることが多いと思います。
マルチベンダー・マルチアカウントの構成の場合には、AWS Transit Gateway の設置と運用を行うベンダーが必要です。すべての基幹システムが共同利用方式でも、ネットワークアカウント (ネットワーク構築運用補助者) は必要となると考えます。
ネットワーク構築運用補助者は、具体的には
- 自治体からガバメントクラウドへの接続
- マルチベンダー環境 (マルチアカウント含む) 利用時における、 AWS Transit Gateway 等を用いた接続設定
- Windows Server Update Services (WSUS) 等ガバメントクラウド向け・庁内環境向けのアップデート用サーバを置いた場合のインターネット接続設定
等を行う場合に必要となるかと考えます。
また、ネットワーク構築運用補助者がガバメントクラウド全体の運用管理補助業務を担う場合、ネットワーク構築運用補助者が運用管理補助業務を兼任することが想定されます。これは、ネットワーク構築運用補助者はもともとガバメントクラウド全体のネットワークを管理することが求められているため、セキュリティについての管理も兼任しやすいと考えています。その場合は、こちらのブログをご参照ください。
地方公共団体からガバメントクラウドへの接続パターンについて
地方公共団体とガバメントクラウドとの接続方法は、各拠点から敷設する専用回線及び閉域ネットワークの利用形態によって、主に 5 パターンが想定されます。各パターンの特徴や考慮事項を踏まえて、適した接続方法を下記またはそれ以外のパターンから検討する必要があります。
- 地方公共団体から専用線で接続する方法
- 各地方公共団体団体から個別に専用線・Direct Connect を敷設し、ガバメントクラウドへ接続する方法です。回線を共同利用する場合と比較して、回線費用の負担が大きくなる可能性があります。
- ASP のデータセンタから専用線で接続する方法
- 既存の地域回線等を利用し、各地方公共団体からデータセンタへ専用線を集約する方法です。個別に接続する場合と比較して、回線費用の負担を抑えられる可能性があります。また団体間でIPアドレス帯が重複する場合は、トンネリング等の対応が必要となります。
- 都道府県 WAN を経由して接続する方法
- 地方公共団体において都道府県 WAN 事業者の回線を利用する方法です。個別に接続する場合と比較して、回線費用の負担を抑えられる可能性があります。また団体間で IP アドレス帯が重複する場合は、トンネリング等の対応が必要となります。
- 既に接続しているパブリッククラウドの接続回線で接続する方法
- 既設環境でパブリッククラウドに接続している場合、その回線を利用する方法です。アクセス回線の帯域について、新たに接続するクラウドサービスの通信等を再検討する必要があります。
- LGWAN を経由して接続する方法
- 各地方公共団体から LGWAN を利用し、ガバメントクラウドへ接続する方法です。ガバメントクラウドに接続するためのクラウド接続サービスは LGWAN で構築予定のため、クラウド接続サービスに係る新規調達等が不要になりイニシャルコストを抑えられる可能性があります。
ネットワークを集約する構成について
上記の地方公共団体からガバメントクラウドへの接続パターンについて、2 や 3 の場合に回線を集約してガバメントクラウドへ接続を検討する事業者様もいらっしゃるかと存じます。以下がイメージです。
その際に、以下の項目が、ネットワークを検討する際に気になる点と考えます。各項目について参考となる情報をまとめています。
- DNS の設計
- IP アドレス範囲重複への対応
- ネットワーク関連の費用
DNSの設計について
地方公共団体からガバメントクラウド環境のシステムの名前解決を行う場合に、Amazon Route 53 のインバウンドエンドポイントを地方公共団体の基幹ネットワークのオンプレミス DNS サーバに、フォワーダーとして設定することで名前解決することが可能です。Amazon Route 53 のインバウンドエンドポイントを使用しない場合は、Amazon (provided) DNS にフォワードする DNS サーバを別途構築する必要があります。AWS の Amazon Route 53 Resolver の知識を深めたい方は[AWS Black Belt Online Seminar] Amazon Route 53 Resolverをご覧ください。
また、Amazon Route 53 Resolver を使用してマルチアカウント環境で DNS 管理を一元化するソリューションはこちらのブログをご参照ください。
IP アドレス範囲重複への対応
複数の地方公共団体から同一の閉域ネットワークに接続する際、各拠点の IP アドレス範囲は重複させることができず、もし重複する場合にはガバメントクラウドに接続するための対応が別途必要となります。
地方公共団体からガバメントクラウドへの接続を閉域ネットワーク共同利用で行う場合を例として、対応方法を以下に示します。
地方公共団体から本番アカウントの Transit Gateway まで、Site-to-Site VPN を利用して IPsec トンネルを構成して接続することで対応可能です。Private IP VPN を利用して IPsec トンネルを構成して接続します。技術詳細については、こちらのブログをご参照ください。また Transit Gateway Connect を利用して GRE over IPsec トンネルを構成して接続することで対応も可能です。
団体間で VPN Tunnel IP と Transit Gateway のルートテーブルを分けて管理することで、団体の庁舎の CIDR や 、宛先の VPC の CIDR が重複していても、ルーティングすることが可能となります。
詳しくは、毎月開催している自治体向けオンライントレーニングのウェビナー (11:ガバメントクラウド利用におけるネットワーク構成例と作業内容の整理) でもご紹介しております。ぜひご確認ください。
ネットワーク関連の費用
ネットワークアカウントとアプリケーションアカウントにそれぞれどのようにネットワーク関連の費用がかかるのかを気にされている自治体や事業者の方が多くいらっしゃるかと存じます。
ネットワーク構成によって、以下の例をご参考にネットワーク関連の料金を整理いただければと思います。
(2024 年 1 月時点でのサービス内容及び価格に基づいたスライドや説明になっています。最新の情報は AWS公式ウェブサイトにてご確認ください。)
ネットワークアカウント (図のアカウント A)
- AWS VPN の費用
- サイト間 VPN 接続の従量課金費用
- データ転送アウト費用
- AWS Direct Connect の費用
- 接続ポート時間費用
- ※契約形態に依る
- 接続ポート時間費用
- AWS Transit Gateway の費用
- AWS Transit Gateway VPN アタッチメント費用
- AWS Direct Connect アタッチメント費用
- Direct Connect ゲートウェイ-AWS Transit Gateway データ処理費用
アプリケーションアカウント (図のアカウント B)
- AWS Direct Connect の費用
- データ転送アウト費用
- AWS Transit Gateway の費用
- AWS Transit Gateway アタッチメント費用
- TAWS Transit Gateway アタッチメント-AWS Transit Gateway データ処理費用
まとめ
このブログではネットワーク構築運用補助者となる事業者の方向けに役割範囲や作業内容についてご説明いたしました。ガバメントクラウドではガバメントクラウド固有の事情や制約等が発生し、初めて触れる事業者の方には難しいものとなっているかと思います。そんな中、ネットワーク構築運用補助者の作業内容を理解し、複数のガバメントクラウド個別領域全体を安全に運用管理していくためにこのブログをお役立ていただけると大変嬉しく思います。
免責事項
- 本ブログや添付資料の内容はできる限り正確な情報を提供するように努めておりますが、正確性や安全性を保証するものではありません。
- 本ブログや添付資料はあくまで一例であり、全ての作業内容を充足するものではありません。
- 本ブログや添付資料はガバメントクラウドの新しい情報や AWS サービスの変更・追加などにより今後修正される場合があります。
- 本ブログや添付資料の利用によって生じた損害等の責任は利用者が負うものとし、アマゾン ウェブ サービス ジャパン は一切の責任を負いかねますことご了承ください。
上記ご了承の上、ご利用ください。
ガバメントクラウドに関するお問い合わせ
AWS の公共チームではガバメントクラウドクラウド相談窓口を設けています。
本記事で紹介したネットワークに関するお問い合わせのほか、ガバメントクラウド利用全般に関するお問い合わせについて、担当の営業およびソリューションアーキテクトがご回答いたします。ぜひご活用ください。
https://aws.amazon.com/jp/government-education/worldwide/japan/gov-cloud-advisory-site/