翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# オンプレミスで運用されているサービスコンシューマー
このセクションでは、 の AWS クラウド SaaS ワークロードとオンプレミスデータセンター間の接続オプションについて説明します。オンプレミスの要件を持つ多くのコンシューマーは、特にエンタープライズレベルで、クラウドを物理ネットワークの拡張と見なし、それをアーキテクチャに反映したいと考えています。つまり、論理トンネルまたはプライベート物理接続を介して、クラウド内の SaaS サービスへのプライベート接続が可能になります。他のコンシューマーは、このセクションでも説明されているパブリックインターネット経由の接続を受け入れます。
**Topics**
+ [との接続 AWS Site-to-Site VPN](#options-onprem-site-to-site)
+ [との接続 AWS Direct Connect](#options-onprem-direct-connect)
+ [トランジット VPC アーキテクチャとの接続](#options-onprem-transit-vpc)
+ [パブリックインターネットを介した接続](#options-onprem-internet)
次のネットワーク値マップは、各評価メトリクスの各オプションスコアをまとめたものです。評価メトリクスの詳細については、このガイドの[「評価メトリクス](evaluating.md#evaluating-metrics)」を参照してください。マップでは、5 は最低 TCO、最適なネットワーク分離、修復時間など、最適なスコアを表します。このレーダーチャートの読み方の詳細については、このガイド[ネットワーク値マップ](evaluating.md#evaluating-map)の「」を参照してください。
**注記**
プロバイダー管理のトランジット VPC オプションは、スコアがどのサービスが運用されているかに大きく依存するため、除外されます。
レーダーチャートには、次の値が表示されます。
|
|
| **評価メトリクス** | **AWS Site-to-Site VPN** | **AWS Direct Connect** | **コンシューマー管理のトランジット VPC** | **パブリックインターネットアクセス** |
| --- |--- |--- |--- |--- |
| **統合のしやすさ** | 3 | 1 | 4 | 5 |
| **TCO** | 2 | 1 | 5 | 4 |
| **スケーラビリティ** | 3 | 1 | 5 | 5 |
| **適応性** | 3 | 2 | 4 | 5 |
| **ネットワーク分離** | 3 | 4 | 5 | 1 |
| **可観測性** | 3 | 4 | 5 | 5 |
| **修復にかかる時間** | 3 | 2 | 5 | 5 |
## との接続 AWS Site-to-Site VPN
[AWS Site-to-Site VPN](https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html) 接続は、仮想プライベートゲートウェイまたはトランジットゲートウェイのいずれかで終了できます。*仮想プライベートゲートウェイ*は、単一の VPC にアタッチできる Site-to-Site VPN 接続 AWS の側面にある VPN エンドポイントです。*トランジットゲートウェイ*は、複数の VPCsとオンプレミスネットワークを相互接続するために使用できるトランジットハブです。Site-to-Site VPN 接続の AWS 側の VPN エンドポイントとしても使用できます。 Site-to-Site このセクションでは、両方のオプションについて説明します。
### 仮想プライベートゲートウェイを介した接続
仮想プライベートゲートウェイを作成したら、SaaS サービスを含む VPC にアタッチします。次に、ルート伝達を有効にして VPN ルートを VPC ルートテーブルに伝達します。これらのルートは、静的ルートまたは BGP アドバタイズされた動的ルートのいずれかです。
高可用性のために、Site-to-Site VPN 接続には 2 つの VPN トンネルがあり、 AWS 側の 2 つのアベイラビリティーゾーンで終了します。使用できなくなった場合、2 番目のトンネルが引き継ぐことができます。1 つのトンネルで最大帯域幅は 1.25 Gbps です。仮想プライベートゲートウェイは等コストマルチパスルーティング (ECMP) をサポートしていないため、一度に使用できるトンネルは 1 つだけです。
耐障害性を高めるために、2 番目の物理カスタマーゲートウェイへの 2 番目の VPN 接続を設定できます。接続が確立されると、コンシューマーは SaaS プロバイダーの VPC 内のリソースにアクセスできます。
次の図は、このアーキテクチャを示しています。
この方法による利点は以下の通りです。
+ 修復までの時間: セカンダリ VPN トンネルへのマネージドフェイルオーバー
+ オブザーバビリティ: [Network Synthetic Monitor ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/what-is-network-monitor.html)を使用したマネージドアクティブモニタリングの統合
+ 統合の容易さ: BGP による動的ルーティングのサポート
+ 適応性: ほとんどのオンプレミスネットワーク機器との互換性
+ 適応性: IPv6 サポート
+ TCO: AWS Site-to-Site VPN はフルマネージド型サービスであるため、運用作業が少なくて済みます
+ TCO: 仮想ゲートウェイのコストはかかりませんが、それぞれ 2 つのパブリック IPv4 アドレスに課金されます。
+ ネットワーク分離: インターネットを介した安全なプライベート通信を有効にする
このアプローチの欠点は次のとおりです。
+ 統合の容易さ: コンシューマーはカスタマーゲートウェイを設定する必要があります
+ スケーラビリティ: ECMP サポートがないため、仮想ゲートウェイあたりの帯域幅は 1.25 Gbps に制限されます。
+ スケーラビリティ: ネットワークの複雑さと運用オーバーヘッドの増加によるスケーリングの制限
+ 適応性: VPN トンネルの内部 IP アドレスのみの [IPv6 サポート](https://docs.aws.amazon.com/vpn/latest/s2svpn/ipv4-ipv6.html)
+ 適応性: 推移的ルーティングなし
+ TCO: SaaS プロバイダーの多数の VPN 接続を維持、管理、設定するための運用オーバーヘッド
### トランジットゲートウェイを介した接続
トランジットゲートウェイを介した接続は、仮想ゲートウェイと似ています。ただし、注意すべきいくつかの違いがあります。
まず、VPN アタッチメントのルートはトランジットゲートウェイルートテーブル内で自動的に伝播できますが、アタッチされた VPCs にルートを手動で追加する必要があります。
仮想ゲートウェイと比較して、Transit Gateway は ECMP をサポートしています。カスタマーゲートウェイが ECMP をサポートしている場合、両方のトンネルを使用して合計最大スループット 2.5 Gbps を実現できます。同じオンプレミスネットワークとトランジットゲートウェイの間に複数の接続を確立できます。このアプローチを使用すると、接続ごとに最大帯域幅を最大 2.5 Gbps 増やすことができます。
次の図は、このアーキテクチャを示しています。
この方法による利点は以下の通りです。
+ 修復までの時間: セカンダリ VPN トンネルへのマネージドフェイルオーバー
+ オブザーバビリティ: [Network Synthetic Monitor ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/what-is-network-monitor.html)を使用したマネージドアクティブモニタリングの統合
+ 統合の容易さ: BGP による動的ルーティングのサポート
+ スケーラビリティ: ECMP サポートにより[、VPN スループットをスケーリング](https://aws.amazon.com/blogs/networking-and-content-delivery/scaling-vpn-throughput-using-aws-transit-gateway/)して大きな帯域幅要件を満たすことができます
+ スケーラビリティ: 単一のトランジットゲートウェイでサポートされている多数の VPN 接続 (最大約 5,000)
+ スケーラビリティ: すべての VPN 接続を管理およびモニタリングするための 1 つの場所
+ 適応性: ほとんどのオンプレミスネットワーク機器との互換性
+ 適応性: IPv6 サポート
+ 適応性: の柔軟性を継承する AWS Transit Gateway
+ TCO: AWS Transit Gateway はフルマネージドサービスであるため、運用作業が少なくて済みます
+ TCO: 仮想ゲートウェイのコストはかかりませんが、それぞれ 2 つのパブリック IPv4 アドレスに課金されます。
+ ネットワーク分離: インターネットを介した安全なプライベート通信を有効にする
このアプローチの欠点は次のとおりです。
+ 統合の容易さ: コンシューマーはカスタマーゲートウェイを設定する必要があります
+ スケーラビリティ: ネットワークの複雑さと運用オーバーヘッドの増加によるスケーリングの制限
+ 適応性: VPN トンネルの内部 IP アドレスのみの [IPv6 サポート](https://docs.aws.amazon.com/vpn/latest/s2svpn/ipv4-ipv6.html)
+ TCO: SaaS プロバイダーの多数の VPN 接続を維持、管理、設定するための運用オーバーヘッド
+ TCO: の使用に対する追加料金 AWS Transit Gateway
+ TCO: トランジットゲートウェイルートテーブルの管理がさらに複雑になる
## との接続 AWS Direct Connect
[AWS Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html) は、標準イーサネット光ファイバケーブルを介して内部ネットワークを Direct Connect ロケーションにリンクします。他のアーキテクチャオプションとは異なり、[専用接続](https://docs.aws.amazon.com/directconnect/latest/UserGuide/dedicated_connection.html)は数分で確立できません。代わりに、すべての要件が満たされた場合、このプロセスには最大数日かかることがあります。そうでない場合は、時間がかかる場合があります。したがって、このアプローチについては、 AWS アカウントチームに問い合わせるか、サポート AWS サポート を受けることをお勧めします。オプションで、 AWS パートナーによって提供され、他の顧客と共有される[ホスト接続](https://docs.aws.amazon.com/directconnect/latest/UserGuide/hosted_connection.html)を選択できます。アーキテクチャは同じです。レイテンシーの短縮、帯域幅の向上、規制要件への準拠などから選択できます Direct Connect 。
Direct Connect 接続を使用するには、コンシューマーがパブリック、プライベート、またはトランジット仮想インターフェイスを作成する必要があります。さまざまな[アーキテクチャオプション](https://docs.aws.amazon.com/whitepapers/latest/aws-vpc-connectivity-options/network-to-amazon-vpc-connectivity-options.html)を使用できます。複数のオンプレミスロケーションを に接続するための最も柔軟なの AWS クラウド は、 [Direct Connect ゲートウェイ](https://docs.aws.amazon.com/directconnect/latest/UserGuide/direct-connect-gateways-intro.html)に接続されたトランジット仮想インターフェイスです。 Direct Connect ゲートウェイは、サービスプロバイダーが最大 6 つのトランジットゲートウェイに接続できるようにするグローバルな論理コンポーネントです。さらに、最大 30 個の仮想インターフェイスをゲートウェイに接続できます。スケーリングでは、追加の Direct Connect ゲートウェイを作成できます。SaaS プロバイダーアカウントでは、前述のようにトランジットゲートウェイが VPCs にアタッチされます。
コンシューマーは、希望する耐障害性のレベルに応じて、合計 1 つまたは 2 つの[Direct Connect 場所](https://aws.amazon.com/directconnect/locations/)から 1 つまたは 4 つの Direct Connect 接続を使用して接続できます。詳細については、[「最大の耐障害性 Direct Connect のための設定](https://docs.aws.amazon.com/directconnect/latest/UserGuide/max-resiliency-set-up.html)」を参照してください。インターネット経由 AWS Site-to-Site VPN の接続は、 Direct Connect 接続の低コストのバックアップパスとしても機能します。サポートされている Direct Connect 専用接続では、[MACsec](https://docs.aws.amazon.com/directconnect/latest/UserGuide/MACsec.html) を使用して、 Direct Connect ロケーションとデータセンター間のリンクをレイヤー 2 で暗号化できます。データの機密性を高めるために Site-to-Site VPN 接続を持つことが一般的です。Site-to-Site VPN 接続は、通常の VPN アタッチメントを使用してトランジットゲートウェイで終了できます。次の図は、このアーキテクチャを示しています。
この方法による利点は以下の通りです。
+ オブザーバビリティ: [Network Synthetic Monitor ](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/what-is-network-monitor.html)を使用したマネージドアクティブモニタリングの統合
+ スケーラビリティ: 帯域幅スループットの向上のサポート
+ 適応性: IPv6 サポート
+ TCO: データ転送を減らす可能性
+ TCO: 一貫したネットワークエクスペリエンス
+ ネットワークの分離: 規制要件を満たすことができるプライベート接続
このアプローチの欠点は次のとおりです。
+ 統合の容易さ: セットアップにかかる時間と手動作業
+ スケーラビリティ: 追跡する[クォータ](https://docs.aws.amazon.com/directconnect/latest/UserGuide/limits.html)が複数あるため、数十 Direct Connect の接続を超えるスケーラビリティが制限されています
+ 適応性: 設定オプションは使用可能な Direct Connect 場所によって異なります
+ TCO: スケジュールされた Direct Connect メンテナンスは、アクションを必要とするダウンタイムを引き起こす可能性があります
## トランジット VPC アーキテクチャとの接続
トランジット VPC は、接続方法をコンシューマーに柔軟に提供するアーキテクチャオプションであり AWS、SaaS プロバイダーは を通じてサービスへの統一されたアクセスからメリットを得ることができます AWS PrivateLink。コンシューマーは、オンプレミスから、エントリポイント (仮想プライベートゲートウェイなど) と AWS PrivateLink リソースであるインターフェイス VPC エンドポイントのみを含むトランジット VPC に接続します。トランジット VPCs は、SaaS プロバイダーまたはコンシューマーが所有する必要があります。このセクションでは、両方のオプションについて説明します。
オンプレミスデータセンターと互換性のある CIDR 範囲を使用して、トランジット VPC とサブネットを作成できます。プライベート接続が必要な場合は、コンシューマーは AWS Direct Connect または を介してその VPC に接続できます AWS Site-to-Site VPN。VPC エンドポイントを指す Application Load Balancer または Network Load Balancer を使用して、パブリックインターネットからトランジットアカウントへのアクセスを設定することもできます。
### コンシューマー管理のトランジット VPC
このアプローチでは、SaaS プロバイダーはトランジット VPCs の管理をコンシューマーに任せることになります。技術的な観点からは、SaaS プロバイダーのアーキテクチャは、 を介してコンシューマーに接続する場合と同じです AWS クラウド AWS PrivateLink。販売と製品の観点から見ると、一部のコンシューマー AWS アカウント がまだいないため、追加の労力です。アカウントを開いて運用することをためらっている可能性があります。SaaS プロバイダーは、オンプレミスデータセンターを作成して AWS アカウント 接続する方法に関するガイダンスをコンシューマーに提供する必要があります。次の図は、コンシューマーがトランジット VPCs を所有するパブリックアクセスとプライベートアクセスの組み合わせを示しています。
この方法による利点は以下の通りです。
+ 修復までの時間: 運用オーバーヘッドは SaaS コンシューマーに大きくオフロードされます
+ 適応性: SaaS コンシューマーはさまざまなアクセスオプションから選択可能
+ 適応性: Site-to-Site VPN または Direct Connect
+ すべてのメトリクス: サービスプロバイダーが AWS PrivateLink 利点を継承する
このアプローチの欠点は次のとおりです。
+ 統合の容易さ: SaaS コンシューマーには少なくとも 1 つの が必要です AWS アカウント
+ TCO: トランジット VPC はフルマネージドサービスではなくアーキテクチャであるため、より多くの運用作業が必要です
### プロバイダー管理のトランジット VPC
このアプローチでは同じテクノロジーを使用しますが、アカウントの境界と責任は変わります。ここで、SaaS プロバイダーはトランジット VPCsを所有します。できれば SaaS サービスとは別のアカウントで所有します。このデカップリングにより、コストを削減し、リスクを軽減し、トランジットアカウントを個別にスケーリングできます。高度な分離を必要とする環境では、サブネットを使用するか、コンシューマーごとに個別のトランジット VPC を作成することで、テナント間で追加の分離を作成できます。その後、コンシューマーはトランジット VPC に接続する方法を選択できます。このアプローチは、アドレス可能な市場全体を拡大するためのより多くのオプションを提供しますが、追加のアーキテクチャコンポーネントを運用およびモニタリングする必要があるため、SaaS プロバイダーの TCO は高くなります。
この方法による利点は以下の通りです。
+ 適応性: SaaS コンシューマーはさまざまなアクセスオプションから選択可能
+ 適応性: SaaS コンシューマーには は必要ありません AWS アカウント
+ 適応性: Site-to-Site VPN または Direct Connect
このアプローチの欠点は次のとおりです。
+ TCO: トランジット VPC はフルマネージドサービスではなくアーキテクチャであるため、より多くの運用作業が必要です
+ TCO: SaaS プロバイダーは追加のアーキテクチャコンポーネントを運用およびモニタリングする必要があります
## パブリックインターネットを介した接続
パブリックインターネットアクセスは、SaaS サービスへのアクセスを提供する有効なオプションでもありますが、従来の意味ではプライベート接続を提供しません。一部のコンシューマーは、コンシューマーと SaaS プロバイダーの間に追加のネットワークインフラストラクチャを必要としないため、パブリックアクセスアプローチを引き続き希望する場合があります。これにより、攻撃対象領域の増加と引き換えに、複雑さ、コスト、統合時間を短縮できます。強力な認証および認可メカニズムは、脅威レベルの増加を軽減するのに役立ちます。トラフィックは常に暗号化する必要があります。このシナリオでは、 を使用するなど、セキュリティレイヤーを追加することをお勧めします[AWS WAF](https://docs.aws.amazon.com/waf/latest/developerguide/waf-chapter.html)。
このシナリオのアーキテクチャは簡単です。コンシューマーはインターネット経由でパブリックホスト (SaaS プロバイダー) に接続します。アプリケーションは、[Elastic IP アドレス](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/elastic-ip-addresses-eip.html)を持つパブリック Amazon Elastic Compute Cloud (Amazon EC2) インスタンスで直接ホストできます。推奨されるオプションは、Application Load Balancer または同様のサービスの背後でホストすることです。パフォーマンスを向上させ、静的アセットをキャッシュするには、[Amazon CloudFront](https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/Introduction.html) などのコンテンツ配信ネットワークを使用できます。2 つのグローバル静的エニーキャスト IP アドレスで最小限のレイテンシーでアプリケーションを処理するには、Amazon EC2 インスタンス、Network Load Balancer、または Application Load Balancer [AWS Global Accelerator](https://docs.aws.amazon.com/global-accelerator/latest/dg/what-is-global-accelerator.html)の前に配置できます。さらに、CloudFront、Application Load Balancer AWS AppSync、Amazon API Gateway はすべて と統合されます AWS WAF。次の図は、パブリックインターネットアクセス接続オプションの概要を示しています。
次の表に、このシナリオでサポートされているプロトコルと統合を示します。
|
|
| **サービスまたはリソース** | **IPv6** | **AWS WAF 統合** | **Global Accelerator エンドポイントにすることができます** |
| --- |--- |--- |--- |
| **Amazon CloudFront** | サポート対象 | サポート | サポートされていません |
| **Amazon API Gateway** | サポート対象 | サポート | サポートされていません |
| **AWS AppSync** | 一部サポートされています | サポート | サポートされていません |
| **Elastic IP アドレスを持つ Amazon EC2 ** | サポート | サポート外 | サポート |
| **Application Load Balancer** | サポート対象 | サポート対象 | サポート |
| **Network Load Balancer** | サポート | サポート外 | サポート |
この方法による利点は以下の通りです。
+ 統合の容易さ: シンプルさとアクセシビリティ
+ スケーラビリティ: 無制限のスケール
+ 適応性: CIDR 範囲の競合の可能性なし
+ 適応性: CloudFront のサポート
このアプローチの欠点は次のとおりです。
+ ネットワーク分離: プライベート接続なし
+ ネットワーク分離: 強力なセキュリティ対策が必要
選択したサービスに応じて、その他の利点と欠点が適用されます。