翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

オンプレミスで運用されているサービスコンシューマー

このセクションでは、 の AWS クラウド SaaS ワークロードとオンプレミスデータセンター間の接続オプションについて説明します。オンプレミスの要件を持つ多くのコンシューマーは、特にエンタープライズレベルで、クラウドを物理ネットワークの拡張と見なし、それをアーキテクチャに反映したいと考えています。つまり、論理トンネルまたはプライベート物理接続を介して、クラウド内の SaaS サービスへのプライベート接続が可能になります。他のコンシューマーは、このセクションでも説明されているパブリックインターネット経由の接続を受け入れます。

次のネットワーク値マップは、各評価メトリクスの各オプションスコアをまとめたものです。評価メトリクスの詳細については、このガイドの「評価メトリクス」を参照してください。マップでは、5 は最低 TCO、最適なネットワーク分離、修復時間など、最適なスコアを表します。このレーダーチャートの読み方の詳細については、このガイドネットワーク値マップの「」を参照してください。

レーダーチャートには、次の値が表示されます。

との接続 AWS Site-to-Site VPN

AWS Site-to-Site VPN 接続は、仮想プライベートゲートウェイまたはトランジットゲートウェイのいずれかで終了できます。仮想プライベートゲートウェイは、単一の VPC にアタッチできる Site-to-Site VPN 接続 AWS の側面にある VPN エンドポイントです。トランジットゲートウェイは、複数の VPCsとオンプレミスネットワークを相互接続するために使用できるトランジットハブです。Site-to-Site VPN 接続の AWS 側の VPN エンドポイントとしても使用できます。 Site-to-Site このセクションでは、両方のオプションについて説明します。

仮想プライベートゲートウェイを介した接続

仮想プライベートゲートウェイを作成したら、SaaS サービスを含む VPC にアタッチします。次に、ルート伝達を有効にして VPN ルートを VPC ルートテーブルに伝達します。これらのルートは、静的ルートまたは BGP アドバタイズされた動的ルートのいずれかです。

高可用性のために、Site-to-Site VPN 接続には 2 つの VPN トンネルがあり、 AWS 側の 2 つのアベイラビリティーゾーンで終了します。使用できなくなった場合、2 番目のトンネルが引き継ぐことができます。1 つのトンネルで最大帯域幅は 1.25 Gbps です。仮想プライベートゲートウェイは等コストマルチパスルーティング (ECMP) をサポートしていないため、一度に使用できるトンネルは 1 つだけです。

耐障害性を高めるために、2 番目の物理カスタマーゲートウェイへの 2 番目の VPN 接続を設定できます。接続が確立されると、コンシューマーは SaaS プロバイダーの VPC 内のリソースにアクセスできます。

次の図は、このアーキテクチャを示しています。

この方法による利点は以下の通りです。

このアプローチの欠点は次のとおりです。

トランジットゲートウェイを介した接続

トランジットゲートウェイを介した接続は、仮想ゲートウェイと似ています。ただし、注意すべきいくつかの違いがあります。

まず、VPN アタッチメントのルートはトランジットゲートウェイルートテーブル内で自動的に伝播できますが、アタッチされた VPCs にルートを手動で追加する必要があります。

仮想ゲートウェイと比較して、Transit Gateway は ECMP をサポートしています。カスタマーゲートウェイが ECMP をサポートしている場合、両方のトンネルを使用して合計最大スループット 2.5 Gbps を実現できます。同じオンプレミスネットワークとトランジットゲートウェイの間に複数の接続を確立できます。このアプローチを使用すると、接続ごとに最大帯域幅を最大 2.5 Gbps 増やすことができます。

次の図は、このアーキテクチャを示しています。

この方法による利点は以下の通りです。

このアプローチの欠点は次のとおりです。

との接続 AWS Direct Connect

AWS Direct Connect は、標準イーサネット光ファイバケーブルを介して内部ネットワークを Direct Connect ロケーションにリンクします。他のアーキテクチャオプションとは異なり、専用接続は数分で確立できません。代わりに、すべての要件が満たされた場合、このプロセスには最大数日かかることがあります。そうでない場合は、時間がかかる場合があります。したがって、このアプローチについては、 AWS アカウントチームに問い合わせるか、サポート AWS サポート を受けることをお勧めします。オプションで、 AWS パートナーによって提供され、他の顧客と共有されるホスト接続を選択できます。アーキテクチャは同じです。レイテンシーの短縮、帯域幅の向上、規制要件への準拠などから選択できます Direct Connect 。

Direct Connect 接続を使用するには、コンシューマーがパブリック、プライベート、またはトランジット仮想インターフェイスを作成する必要があります。さまざまなアーキテクチャオプションを使用できます。複数のオンプレミスロケーションを に接続するための最も柔軟なの AWS クラウド は、 Direct Connect ゲートウェイに接続されたトランジット仮想インターフェイスです。 Direct Connect ゲートウェイは、サービスプロバイダーが最大 6 つのトランジットゲートウェイに接続できるようにするグローバルな論理コンポーネントです。さらに、最大 30 個の仮想インターフェイスをゲートウェイに接続できます。スケーリングでは、追加の Direct Connect ゲートウェイを作成できます。SaaS プロバイダーアカウントでは、前述のようにトランジットゲートウェイが VPCs にアタッチされます。

コンシューマーは、希望する耐障害性のレベルに応じて、合計 1 つまたは 2 つのDirect Connect 場所から 1 つまたは 4 つの Direct Connect 接続を使用して接続できます。詳細については、「最大の耐障害性 Direct Connect のための設定」を参照してください。インターネット経由 AWS Site-to-Site VPN の接続は、 Direct Connect 接続の低コストのバックアップパスとしても機能します。サポートされている Direct Connect 専用接続では、MACsec を使用して、 Direct Connect ロケーションとデータセンター間のリンクをレイヤー 2 で暗号化できます。データの機密性を高めるために Site-to-Site VPN 接続を持つことが一般的です。Site-to-Site VPN 接続は、通常の VPN アタッチメントを使用してトランジットゲートウェイで終了できます。次の図は、このアーキテクチャを示しています。

この方法による利点は以下の通りです。

このアプローチの欠点は次のとおりです。

トランジット VPC アーキテクチャとの接続

トランジット VPC は、接続方法をコンシューマーに柔軟に提供するアーキテクチャオプションであり AWS、SaaS プロバイダーは を通じてサービスへの統一されたアクセスからメリットを得ることができます AWS PrivateLink。コンシューマーは、オンプレミスから、エントリポイント (仮想プライベートゲートウェイなど) と AWS PrivateLink リソースであるインターフェイス VPC エンドポイントのみを含むトランジット VPC に接続します。トランジット VPCs は、SaaS プロバイダーまたはコンシューマーが所有する必要があります。このセクションでは、両方のオプションについて説明します。

オンプレミスデータセンターと互換性のある CIDR 範囲を使用して、トランジット VPC とサブネットを作成できます。プライベート接続が必要な場合は、コンシューマーは AWS Direct Connect または を介してその VPC に接続できます AWS Site-to-Site VPN。VPC エンドポイントを指す Application Load Balancer または Network Load Balancer を使用して、パブリックインターネットからトランジットアカウントへのアクセスを設定することもできます。

コンシューマー管理のトランジット VPC

このアプローチでは、SaaS プロバイダーはトランジット VPCs の管理をコンシューマーに任せることになります。技術的な観点からは、SaaS プロバイダーのアーキテクチャは、 を介してコンシューマーに接続する場合と同じです AWS クラウド AWS PrivateLink。販売と製品の観点から見ると、一部のコンシューマー AWS アカウント がまだいないため、追加の労力です。アカウントを開いて運用することをためらっている可能性があります。SaaS プロバイダーは、オンプレミスデータセンターを作成して AWS アカウント 接続する方法に関するガイダンスをコンシューマーに提供する必要があります。次の図は、コンシューマーがトランジット VPCs を所有するパブリックアクセスとプライベートアクセスの組み合わせを示しています。

この方法による利点は以下の通りです。

このアプローチの欠点は次のとおりです。

プロバイダー管理のトランジット VPC

このアプローチでは同じテクノロジーを使用しますが、アカウントの境界と責任は変わります。ここで、SaaS プロバイダーはトランジット VPCsを所有します。できれば SaaS サービスとは別のアカウントで所有します。このデカップリングにより、コストを削減し、リスクを軽減し、トランジットアカウントを個別にスケーリングできます。高度な分離を必要とする環境では、サブネットを使用するか、コンシューマーごとに個別のトランジット VPC を作成することで、テナント間で追加の分離を作成できます。その後、コンシューマーはトランジット VPC に接続する方法を選択できます。このアプローチは、アドレス可能な市場全体を拡大するためのより多くのオプションを提供しますが、追加のアーキテクチャコンポーネントを運用およびモニタリングする必要があるため、SaaS プロバイダーの TCO は高くなります。

この方法による利点は以下の通りです。

このアプローチの欠点は次のとおりです。

パブリックインターネットを介した接続

パブリックインターネットアクセスは、SaaS サービスへのアクセスを提供する有効なオプションでもありますが、従来の意味ではプライベート接続を提供しません。一部のコンシューマーは、コンシューマーと SaaS プロバイダーの間に追加のネットワークインフラストラクチャを必要としないため、パブリックアクセスアプローチを引き続き希望する場合があります。これにより、攻撃対象領域の増加と引き換えに、複雑さ、コスト、統合時間を短縮できます。強力な認証および認可メカニズムは、脅威レベルの増加を軽減するのに役立ちます。トラフィックは常に暗号化する必要があります。このシナリオでは、 を使用するなど、セキュリティレイヤーを追加することをお勧めしますAWS WAF。

このシナリオのアーキテクチャは簡単です。コンシューマーはインターネット経由でパブリックホスト (SaaS プロバイダー) に接続します。アプリケーションは、Elastic IP アドレスを持つパブリック Amazon Elastic Compute Cloud (Amazon EC2) インスタンスで直接ホストできます。推奨されるオプションは、Application Load Balancer または同様のサービスの背後でホストすることです。パフォーマンスを向上させ、静的アセットをキャッシュするには、Amazon CloudFront などのコンテンツ配信ネットワークを使用できます。2 つのグローバル静的エニーキャスト IP アドレスで最小限のレイテンシーでアプリケーションを処理するには、Amazon EC2 インスタンス、Network Load Balancer、または Application Load Balancer AWS Global Acceleratorの前に配置できます。さらに、CloudFront、Application Load Balancer AWS AppSync、Amazon API Gateway はすべて と統合されます AWS WAF。次の図は、パブリックインターネットアクセス接続オプションの概要を示しています。

次の表に、このシナリオでサポートされているプロトコルと統合を示します。

この方法による利点は以下の通りです。

このアプローチの欠点は次のとおりです。

選択したサービスに応じて、その他の利点と欠点が適用されます。