翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
の AWS Site-to-Site VPN 仕組み
Site-to-Site VPN 接続は次のコンポーネントで構成されます。
VPN 接続は、 AWS 側の仮想プライベートゲートウェイまたはトランジットゲートウェイと、オンプレミス側のカスタマーゲートウェイの間に 2 つの VPN トンネルを提供します。
Site-to-Site VPN クォータの詳細については、「AWS Site-to-Site VPNクォータ」を参照してください。
仮想プライベートゲートウェイ
仮想プライベートゲートウェイは、Site-to-Site VPN 接続の Amazon 側の Site-to-Site VPN コンセントレータです。仮想プライベートゲートウェイを作成し、サイト間 VPN 接続にアクセスする必要があるリソースを含む仮想プライベートクラウド (VPC) にアタッチします。
次の図は、仮想プライベートゲートウェイを使用した VPC とオンプレミスネットワーク間の VPN 接続を示しています。
仮想プライベートゲートウェイを作成するとき、Amazon 側のゲートウェイのプライベート自律システム番号 (ASN) 指定できます。ASN を指定しない場合、仮想プライベートゲートウェイはデフォルトの ASN (64512) で作成されます。仮想プライベートゲートウェイの作成後に ASN を変更することはできません。仮想プライベートゲートウェイの ASN を確認するには、Amazon VPC コンソールの [仮想プライベートゲートウェイ] ページで詳細を表示するか、describe-vpn-gateways AWS CLI コマンドを使用します。
注記
仮想プライベートゲートウェイは Site-to-Site VPN 接続で IPv6 をサポートしません。IPv6 サポートが必要な場合は、VPN 接続にトランジットゲートウェイまたは Cloud WAN を使用します。
トランジットゲートウェイ
トランジットゲートウェイは、VPC とオンプレミスネットワークを相互接続するために使用できる中継ハブです。詳細については、「Amazon VPC Transit Gateway」を参照してください。Site-to-Site VPN 接続は、トランジットゲートウェイのアタッチメントとして作成できます。
次の図は、トランジットゲートウェイを使用した複数の VPC とオンプレミスネットワーク間の VPN 接続を示しています。トランジットゲートウェイには、3 つの VPC アタッチメントと 1 つの VPN アタッチメントがあります。
トランジットゲートウェイの Site-to-Site VPN 接続は、VPN トンネル内 (内部 IP アドレス) で IPv4 トラフィックまたは IPv6 トラフィックのいずれかをサポートできます。さらに、トランジットゲートウェイは、外部トンネル IP アドレスで IPv6 アドレスをサポートします。詳細については、「AWS Site-to-Site VPN の IPv4 および IPv6 トラフィック」を参照してください。
Site-to-Site VPN のターゲットゲートウェイ接続を、仮想プライベートゲートウェイからトランジットゲートウェイに修正できます。詳細については、「AWS Site-to-Site VPN 接続のターゲットゲートウェイを変更する」を参照してください。
カスタマーゲートウェイデバイス
カスタマーゲートウェイデバイスは、Site-to-Site VPN 接続のユーザー側にある物理的なデバイスまたはソフトウェアアプリケーションです。Site-to-Site VPN 接続で動作するようデバイスを構成します。詳細については、「AWS Site-to-Site VPN カスタマーゲートウェイデバイス」を参照してください。
デフォルトでは、カスタマーゲートウェイデバイスは、トラフィックを生成して Internet Key Exchange (IKE) ネゴシエーションプロセスを開始することで、Site-to-Site VPN 接続のトンネルを開始する必要があります。Site-to-Site VPN 接続の設定で、代わりに AWS が IKE ネゴシエーションプロセスを開始するように指定することもできます。詳細については、「AWS Site-to-Site VPN トンネル開始オプション」を参照してください。
外部トンネル IP アドレスに IPv6 を使用している場合、カスタマーゲートウェイデバイスは IPv6 アドレス指定をサポートし、IPv6 エンドポイントとの IPsec トンネルを確立できる必要があります。
カスタマーゲートウェイ
カスタマーゲートウェイは、 AWS に作成するリソースで、オンプレミスネットワーク内のカスタマーゲートウェイデバイスを表します。カスタマーゲートウェイを作成するときは、デバイスに関する情報を提供します AWS。詳細については、「AWS Site-to-Site VPN 接続のカスタマーゲートウェイのオプション」を参照してください。
また、Site-to-Site VPN 接続で Amazon VPC を使用するには、ユーザー自身またはネットワーク管理者がリモートネットワークのカスタマーゲートウェイデバイスまたはアプリケーションを設定する必要があります。Site-to-Site VPN 接続を作成するときに、設定に必要な情報が提供され、通常はネットワーク管理者がこの設定を行います。カスタマーゲートウェイの要件および設定については、「AWS Site-to-Site VPN カスタマーゲートウェイデバイス」を参照してください。
IPv6 カスタマーゲートウェイ
IPv6 外部トンネル IP で使用するカスタマーゲートウェイを作成するときは、IPv4 アドレスの代わりに IPv6 アドレスを指定します。IPv6 カスタマーゲートウェイは、 AWS マネジメントコンソールまたは CLI AWS を使用して作成できます。
CLI を使用して IPv6 AWS カスタマーゲートウェイを作成するには、次のコマンドを使用します。
aws ec2 create-customer-gateway --Ipv6-address 2001:0db8:85a3:0000:0000:8a2e:0370:7334 --bgp-asn 65051 --type ipsec.1 --region us-west-1
IPv6 アドレスは、カスタマーゲートウェイデバイスのインターネットでルーティング可能な有効な IPv6 アドレスである必要があります。
IPv6 VPN 接続
Site-to-Site VPN 接続は、次の IPv6 設定をサポートしています。
-
IPv4 内部パケットを含む IPv4 外部トンネル - Virtual Private Gateway (VGW)、Transit Gateway (TGW)、および Cloud WAN でサポートされている基本的な IPv4 VPN 機能。
-
IPv6 内部パケットを含む IPv4 外部トンネル - VPN トンネル内の IPv6 アプリケーション/トランスポートを許可します。TGW および Cloud WAN でサポートされています (VGW ではサポートされていません)。
-
IPv6 内部パケットを含む IPv6 外部トンネル - 外部トンネル IP と内部パケット IP の両方に IPv6 アドレスを使用することで完全な IPv6 移行を実現します。TGW と Cloud WAN でサポートされています。
-
IPv4 内部パケットを含む IPv6 外部トンネル - トンネル内のレガシー IPv4 アプリケーションをサポートしながら、IPv6 外部トンネルのアドレス指定を許可します。TGW と Cloud WAN でサポートされています。
IPv6 外部トンネル IP を使用する VPN 接続を作成するには、VPN 接続の作成時に OutsideIPAddressType=Ipv6 を指定します。AWS は、VPN トンネルの AWS 側の外部トンネル IPv6 アドレスを自動的に設定します。
IPv6 外部トンネル IP と IPv6 内部トンネル IP を使用して VPN 接続を作成する CLI コマンドの例:
aws ec2 create-vpn-connection --type ipsec.1 --transit-gateway-id tgw-12312312312312312 --customer-gateway-id cgw-001122334455aabbc --options OutsideIPAddressType=Ipv6,TunnelInsideIpVersion=ipv6,TunnelOptions=[{StartupAction=start},{StartupAction=start}]
describe-vpn-connection CLI コマンドを使用して、VPN 接続に割り当てられた IPv6 アドレスを表示できます。
