日本国内だけでも十分活用できる。AWS Cloud WAN の便利なユースケース
2026-05-07 | Author : 手塚 明人、宮本 洋輔
1. はじめに
こんにちは。クラウドインフラアーキテクトの手塚と宮本です。2025 年 11 月、AWS Cloud WAN においてルーティングポリシー機能が GA となりました。
Cloud WAN と聞くと、グローバルに拠点を展開する企業向けのサービスという印象を持たれる方も多いのではないでしょうか。しかし、今回追加されたルーティングポリシー機能は、日本国内のみの利用であっても、構成次第では大きなメリットをもたらします。
本記事では、Cloud WAN ルーティングポリシー機能の概要を説明したうえで、日本国内の構成における具体的なユースケースを 2 つ紹介します。ハイブリッドネットワーク設計の見直しを検討されている方々にとって、有益な情報となれば幸いです。
builders.flash メールメンバー登録
builders.flash メールメンバー登録で、毎月の最新アップデート情報とともに、AWS を無料でお試しいただけるクレジットコードを受け取ることができます。
2. ハイブリッドネットワークにおける経路制御の課題
オンプレミスと AWS を AWS Direct Connect や AWS Site-to-Site VPN (以下、VPN) で接続するハイブリッドネットワーク構成は、多くの企業で採用されています。こうした環境を運用する中で、次のような要件をお持ちではないでしょうか。
- Direct Connect の冗長構成において、障害対応やメンテナンスに伴う経路の切り替えを AWS 側の操作だけで柔軟に行いたい
- 開発・ステージング・本番といった複数の環境を、VPN の接続数を増やさずにシンプルな構成のまま論理的に分離したい
いずれも珍しい要件ではありませんが、AWS Transit Gateway や Virtual Private Gateway (以下、VGW) を使用する従来の構成では、実現にあたっていくつかの壁があります。
- 課題 1 : 経路の切り替えにオンプレミス側の設定変更を伴う
Transit Gateway や VGW を使用する環境の場合、Direct Connect の経路切り替えにはオンプレミスのルーターで BGP パス属性を変更する等の操作が必要となります。ところが、オンプレミスのルーターを別チームや外部ベンダーが運用しているケースでは、ルーターの設定変更に向けた調整に時間がかかったり、そもそも変更自体が難しかったりする場合があります。代替手段として Direct Connect のフェイルオーバーテスト機能を使用する方法もありますが、BGP セッションのダウンを伴ううえ、Direct Connect メンテナンス期間中は利用できないという制約があります。
- 課題 2 : 環境分離の設計が複雑になりやすい
開発・ステージング・本番といった環境ごとにトラフィックを論理的に分離したい場合、Transit Gateway を使用する構成では環境の数だけ VPN アタッチメントや BGP セッションを追加する必要があり、構成と運用が複雑化しがちです。また、環境が増えるたびにアタッチメントの追加コストが発生する点も見過ごせません。
Cloud WAN のルーティングポリシーは、こうした課題に対する有力な解決策となり得ます。次のセクションでは、ルーティングポリシーの機能の概要を説明し、その後、上記 2 つの課題それぞれに対する具体的な解決方法をユースケースとして紹介します。
3. Cloud WAN ルーティングポリシーとは
Cloud WAN ルーティングポリシーは、Cloud WAN のコアネットワーク上できめ細かな経路制御を実現する機能です。具体的には、以下の 4 つの制御が可能です。
- ルートフィルタリング :
オンプレミスのルーターから Cloud WAN に伝播されるルート、または Cloud WAN からオンプレミスのルーターに伝播されるルートに対して、特定のプレフィックス、プレフィックスリスト、BGP Community をマッチ条件として許可・拒否を設定する。また、Cloud WAN コアネットワーク上の Segment 間・リージョン間で伝播されるルートについてもフィルタリングが可能
- ルート集約 (サマライゼーション) :
Cloud WAN からオンプレミスのルーターに伝播されるルートにおいて、複数のプレフィックスをまとめた集約経路としてアドバタイズする
- パス制御 :
BGP パス属性 (Local Preference、AS PATH、MED) を操作し、インバウンドおよびアウトバウンド双方のトラフィックパスを制御する
- BGP Community :
インバウンドのルート更新に含まれる BGP Community をマッチ条件として、ルートフィルタリングやパス優先設定を行う。アウトバウンドのルート更新に対しては、BGP Community の付与・削除を行う。
なお、2026 年 4 月時点では、BGP Community は Connect、VPN アタッチメントで利用可能であり、Direct Connect アタッチメントでは利用できませんのでご注意ください。
こうした経路制御の仕組みは、従来の Cloud WAN には備わっていませんでした。同様に、Transit Gateway や VGW にも現時点で同等の機能は提供されていません。そのため、通信経路を切り替えたい場合、従来は AWS 側の設定だけでは対応が難しく、オンプレミスのルーターで経路制御を行う必要がありました。ルーティングポリシー機能の登場により、こうした制約が緩和され、AWS 側の設定だけで柔軟な経路制御が行えるようになりました。ルーティングポリシー機能の詳細については AWS ブログの 解説記事 で詳しく紹介されていますので、あわせてご参照ください。
4. Cloud WAN ルーティングポリシーのユースケース
ここからは、セクション 2 で取り上げた 2 つの課題に対して、Cloud WAN ルーティングポリシーを活用した具体的な解決方法を紹介します。
ユースケース (1) AWS側の操作のみで Direct Connect の経路を制御する
セクション 2 の課題 1 では、Direct Connect の経路切り替えにオンプレミス側の設定変更が必要になる点を取り上げました。Transit Gateway や VGW の代わりに Cloud WAN を採用し、ルーティングポリシーを適用することで、経路の制御を AWS 側の設定だけで完結できるようになります。オンプレミスのルーター設定に手を加えずに Direct Connect の経路を制御できる点は、ルーター運用に制約がある環境にとって大きな利点です。
(a) Transit Gateway の 経路制御例
構成の概要
- 2 つの Direct Connect (トランジット仮想インターフェイス) を 1 つの DXGW に関連付ける構成
- オンプレミスのルーターは、各トランジット仮想インターフェイス経由で同一のルート(192.168.0.0/16)を AWS にアドバタイズする
(a)-1 AWS からオンプレミス方向の経路制御
経路制御の方法
- ルーター2 で AS PATH Prepend を設定し、ルーター2 から AWS に送信するルートの AS PATH 長を、ルーター1 から送信されるルートよりも長くする
- DXGW は、アウトバウンドルーティングポリシー に従い、オンプレミスから受信したルートの AS PATH 長を比較し、AS PATH 長が短いルーター3 から受信したルートを優先する
(a)-2 オンプレミスから AWS 方向の経路制御
経路制御の方法
- ルーター 1 で、ルーター3 から受信したルート (10.0.0.0/16) の Local Preference をルーター 2 よりも高い値 (200) に設定する
- ルーター 1 は、ルーター 3 とルーター 2 から受信したルートの Local Preference を比較し、Local Preference 値が大きいルーター3 から受信したルートを優先する
(b) Cloud WAN の経路制御例
構成の概要
- Transit Gateway 構成とは異なり、各 Direct Connect (トランジット仮想インターフェイス) にそれぞれ個別の DXGW を関連付ける構成
- オンプレミスのルーターは、各トランジット仮想インターフェイス経由で同一のルート (192.168.0.0/16) を AWS にアドバタイズする
(b)-1 AWS からオンプレミス方向の経路制御
経路制御の方法
- Cloud WAN のルーティングポリシーで Local Preference を設定する。DXGW1 から受信したルートには Local Preference 値 200 を、DXGW2 から受信したルートには Local Preference 値 100 を付与する
- Cloud WAN は、DXGW1 と DXGW2 から受信したルートの Local Preference を比較し、Local Preference 値が大きい DXGW1 から受信したルートを優先する
(b)-2 オンプレミスから AWS 方向の経路制御
経路制御の方法
- Cloud WAN のルーティングポリシーで AS PATH Prepend を設定する。DXGW2 に送信するルートの AS PATH 長を長くし、DXGW1 には短い AS PATH 長でルートを送信する
- ルーター 1 は、ルーター 3 とルーター 2 から受信したルートの AS PATH 長を比較し、AS PATH 長が短いルーター3 から受信したルートを優先する
※ BGP のベストパス選択では、Local Preference が AS PATH 長よりも優先して評価されます。そのため、AS PATH 長による経路制御を意図通りに機能させるには、オンプレミス側の Local Preference 値が同一である必要があります。オンプレミス側ルーターの設計にも依存するため、AS PATH Prepend による経路制御を導入する際は事前にルーターの設定を確認するようにしてください。
ユースケース (2) 単一の VPN でネットワークセグメンテーションを実現する
セクション 2 の課題 2 では、環境分離のために VPN 接続数や BGP セッションが増え、構成が複雑化する点を取り上げました。Cloud WAN のルーティングポリシーでは BGP Community を条件としたルートフィルタリングが可能なため、VPN アタッチメントと BGP セッションを 1 本に集約したシンプルな構成のまま、環境の論理分離を実現できます。
(a) Transit Gateway の環境分離例
構成の概要
- 環境ごとに VPN アタッチメントを作成し、それぞれの VPN アタッチメントで BGP セッションを確立する
- 各環境の Transit Gateway ルートテーブルを作成し、対応する VPN アタッチメントと VPC アタッチメントを関連付ける
- 各環境はそれぞれ独立したルートテーブルで管理される
環境分離の方法
(b) Cloud WAN の環境分離例
構成の概要
- オンプレミスと AWS 間に VPN アタッチメントを 1 つだけ作成する
- 環境ごとに Segment を作成し、各環境の VPC アタッチメントを対応する Segment に関連付ける
- VPN アタッチメントはハイブリッド Segment に関連付け、ルーティングポリシーを使用して各環境の Segment へルートを共有する
環境分離の方法
- オンプレミスのルーターは、各環境向けのルートに BGP Community 値を付与したうえで、VPN アタッチメント上の 1 つの BGP セッションでまとめてアドバタイズする
- ハイブリッド Segment から各環境の Segment へルートを共有する際に、ルーティングポリシーをアウトバウンド方向に適用し、BGP Community 値に基づいてルートをフィルタする
まとめ
本記事では、ハイブリッドネットワークにおける経路制御の課題に対して、Cloud WAN ルーティングポリシーを活用した 2 つの解決方法を紹介しました。Cloud WAN ルーティングポリシーを使用することで、オンプレミスのルーターで行っていた経路制御と同じ感覚で、AWS およびハイブリッドネットワークの経路をきめ細かく制御できます。グローバル展開に限らず、国内のみの構成においても十分に活用できる機能です。ハイブリッドネットワークの設計や運用を見直す際の選択肢として、ぜひ検討してみてください。
筆者プロフィール
手塚 明人 (Akihito Tezuka)
アマゾン ウェブ サービス ジャパン合同会社
クラウドインフラアーキテクト
2021 年にクラウドサポートエンジニアとして AWS ジャパンに入社し、主にネットワーク関連の技術支援を担当していました。2025 年 1 月からはクラウドインフラアーキテクトとして、主に公共機関のお客様中心にインフラ関連のコンサルティングや技術支援を担当しています。
宮本 洋輔 (Yosuke Miyamoto)
アマゾン ウェブ サービス ジャパン合同会社
クラウドインフラアーキテクト
日系 SIer を経て 2022 年に AWS ジャパンに入社。コンサルタントとして公共部門を中心にお客様のクラウド推進と変革をご支援しています。