Amazon Web Services ブログ
AWS でホストされたアプリケーション用のユーザーネットワークから Amazon VPC への接続
AWS では非常に多くのことが起こっており、十分な知識に基づく決定や、計画プロセスの例のまとめ方について支援を求める声が読者の方々からよく寄せられています。本日は、Amazon Marketplace の上級カテゴリーリーダー Jim Carroll が、AWS Marketplace における AWS ネットワーキングサービスとソリューションについて説明します。
-Ana
先月、当社は新しいロンドンの AWS リージョンについて発表しました。この新しいリージョンは当社のグローバルインフラストラクチャを拡大し、コスト効果のあるスケーリングを行い、コンプライアンスおよびデータレジデンシー要件を満たすための、より多くの地理的オプションをパートナーやお客様に提供します。この発表は私の記憶に生々しいものです。というのも、AWS Marketplace の AWS ネットワーキングサービスとソリューションに関してお客様と最近行った会話の中で、お客様はこれを利用して企業ネットワークを AWS クラウドの仮想プライベートネットワークと接続しているというお話を聞いたからです。通常、お客様は、次のいずれかのビジネスニーズまたはその組み合わせをサポートするために、AWS でこのアーキテクチャをデプロイしています。
- AWS クラウドにアプリケーションを継続して移行する
- 離れた支社やリモート接続のために迅速かつコスト効果の高い方法でネットワークをスケールし、アプリケーションを AWS クラウドに移行中のエンドユーザーエクスペリエンスを向上させる
- コンプライアンスおよびデータレジデンシー要件を満たす
本日は、このようなビジネスニーズを持つお客様が利用できる VPN オプションを概説し、意思決定を簡単に行えるよう支援します。Amazon VPC では、AWS が管理する VPN の設定、AWS Direct Connect でのプライベート回線接続の使用、および VPN 接続のための VPC でのサードパーティーネットワーキングソフトウェアの有効化が可能です。ユーザーがデスクトップまたはモバイルデバイスから直接 AWS にアクセスできるようにする、クライアントからサイトへの VPN を選択することもできます。Steve Morad の 2014 年のホワイトペーパー「Amazon Virtual Private Cloud Connectivity Options」で、リモートネットワークから Amazon VPC への接続オプションの概要が説明されています。次の表は、これらの洞察と、AWS 上のお客様の仮想ネットワークで AWS が管理する VPN またはユーザーが管理するソフトウェア VPN エンドポイントを選択するうえでの考慮事項を示しています。この説明には、Morad のホワイトペーパーからの情報が含まれています。
| ユーザーネットワークから Amazon VPC への接続オプション | |
| AWS が管理する VPN | インターネット経由の IPsec VPN 接続 |
| AWS Direct Connect | プライベート回線の専用ネットワーク接続 |
| AWS Direct Connect + VPN | プライベート回線の IPsec VPN 接続 |
| AWS VPN CloudHub | プライマリまたはバックアップ接続用のハブアンドスポークモデルでリモートの支社を接続 |
| ソフトウェア VPN | インターネット経由のソフトウェアアプライアンスベースの VPN 接続 |
AWS が管理する VPN
この手法により、自動化された複数のデータセンターの冗長性と、VPN 接続の AWS 側に組み込まれたフェイルオーバーを含む、AWS が管理する VPN エンドポイントの利点を活用できます。動的ルーティングと静的ルーティングのどちらも利用できるため、お客様側でフレキシブルにルーティング設定を行えます。図 1 にこれを示します。
AWS が管理する VPN の考慮事項:
- ここに示してはいませんが、Amazon 仮想プライベートゲートウェイは 2 つの明確な VPN エンドポイントを表します。これらは別々のデータセンターに物理的に配置され、VPN 接続の可用性を高めます。
- 動的ルーティングと静的ルーティングのどちらも利用できるため、お客様側でフレキシブルにルーティング設定を行えます。
- 動的ルーティングは、ボーダーゲートウェイプロトコル (BGP) ピア接続による AWS とこれらリモートのエンドポイントとの間のルーティング情報の交換を強化します。
- 動的ルーティングを使用すると、BGP アドバタイズメント内でルーティングの優先度、ポリシー、重みづけ (メトリクス) を指定し、お客様のネットワークと AWS 間のネットワーク経路を操作することができます。
- 動的ルーティングを使用する場合、BGP 経由でアドバタイズされたルートは選択されたルーティングテーブルに伝達でき、新しいルートの AWS へのアドバタイズが容易になります。
ソフトウェア VPN
このオプションでは、リモートネットワークに接続する 1 つの Amazon EC2 インスタンスで実行するソフトウェア VPN アプライアンスを利用します。このオプションでは、ソフトウェアアプライアンス、設定、パッチ、およびアップグレードの管理を含む、Amazon VPC 接続の両面を管理する必要があります。 
このオプションは、VPN 接続の両面を管理する必要がある場合にお勧めします。考慮事項:
- コンプライアンス: この手法を、ハイブリッドネットワークアーキテクチャのコンプライアンスとデータレジデンシー要件に使用する必要が生じることもあります。IT セキュリティとプライバシーの規制によって特定の業界が管理され、ネットワークを含む IT インフラストラクチャは特定の政府標準規格を満たす必要があります。
- ゲートウェイデバイスのサポート: 現在 Amazon が管理する VPN ソリューションによってサポートされていないゲートウェイデバイスを持っているお客様は、オンプレミスへの既存の投資を活用するため、ソフトウェア VPN のデプロイを選択してください。サポートされているゲートウェイデバイスのリストは、こちらにあります。
- AWS Marketplace のネットワーキングインフラストラクチャソリューション: オンプレミスネットワーキングインフラストラクチャソフトウェアは、AWS Marketplace の多くのソフトウェアベンダーからの事前設定済みでカスタマイズ可能な AMI を使用して簡単に拡大できます。
ソフトウェア VPN インスタンス用の HA アーキテクチャの例
ソフトウェア VPN インスタンス用の完全な復元力のある VPC 接続の作成では、複数の VPN インスタンスのセットアップと設定、およびインスタンスのモニタリングによる VPN 接続の状態の追跡が必要です。
図 3: HA 設計の概要
1 つのアベイラビリティーゾーンのすべてのサブネットから、同じアベイラビリティーゾーンの各 VPN インスタンスを通じてトラフィックをルーティングすることにより、すべての VPN インスタンスを同時に活用するよう VPC ルートテーブルを設定することをお勧めします。その場合、各 VPN インスタンスは同じアベイラビリティーゾーンを共有するインスタンスに VPN 接続を提供します。ホワイトペーパーでは、詳細情報と考慮事項を示しています。AWS Marketplace の Brocade や Cisco などのベンダーからのネットワーキングインフラストラクチャソリューションを利用することで、オンプレミスシステムとクラウドへの既存の投資を最大限活用して、お客様固有のビジネス上の課題を満たすことができます。
-Jim Carroll