Direct Connect でプライベート IP AWS Site-to-Site VPN を作成する
Direct Connect を使用してプライベート IP VPN を作成するには、次の手順に従います。Direct Connect でプライベート IP VPN を作成する前に、Transit Gateway と Direct Connect ゲートウェイを最初に作成しておく必要があります。2 つのゲートウェイを作成したら、2 つのゲートウェイの関連付けを作成する必要があります。次の表にこれらの前提条件の説明を示します。2 つのゲートウェイを作成して関連付けたら、その関連付けを使用して VPN カスタマーゲートウェイと接続を作成します。
前提条件
次の表は、Direct Connect でプライベート IP VPN を作成する前の前提条件を示しています。
| 項目 | ステップ | 情報 |
|---|---|---|
| Site-to-Site VPN の Transit Gateway を準備します。 |
Amazon Virtual Private Cloud (VPC) コンソールを使用するか、コマンドラインまたは API を使用して Transit Gateway を作成します。 「Amazon VPC Transit Gateways ガイド」の「Transit Gateways」を参照してください。 |
トランジットゲートウェイは、VPC とオンプレミスネットワークを相互接続するために使用できるネットワークの中継ハブです。プライベート IP VPN 接続には、新しいトランジットゲートウェイを作成するか、既存のトランジットゲートウェイを使用できます。トランジットゲートウェイを作成するとき、または既存のトランジットゲートウェイを変更する場合は、接続のためのプライベート IP CIDR ブロックを指定します。注記プライベート IP VPN に関連付けるトランジットゲートウェイ CIDR ブロックを指定する場合は、CIDR ブロックがトランジットゲートウェイ上の他のネットワークアタッチメントの IP アドレスと重複しないようにしてください。IP CIDR ブロックが重複している場合は、カスタマーゲートウェイデバイスで設定上の問題が発生する可能性があります。 |
| Site-to-Site VPN の Direct Connect ゲートウェイを作成します。 | Direct Connect コンソールを使用するか、コマンドラインまたは API を使用して Direct Connect ゲートウェイを作成します。 「Direct Connect ユーザーガイド」の「AWS Direct Connect ゲートウェイの作成」を参照してください。 |
Direct Connect ゲートウェイを使用すると、複数の AWS リージョンにまたがる仮想インターフェイス (VIF) を接続できます。このゲートウェイは VIF への接続に使用されます。 |
| Site-to-Site VPN の Transit Gateway の関連付けを作成します。 |
Direct Connect コンソールを使用するか、コマンドラインまたは API を使用して、Direct Connect ゲートウェイと Transit Gateway 間の関連付けを作成します。 「Direct Connect ユーザーガイド」の「Transit Gateway と Direct Connect の関連付けまたは関連付け解除」を参照してください。 |
Direct Connect ゲートウェイを作成したら、Direct Connect ゲートウェイのトランジットゲートウェイの関連付けを作成します。許可されたプレフィックスリストで以前に識別されたトランジットゲートウェイのプライベート IP CIDR を指定します。 |
Site-to-Site VPN のカスタマーゲートウェイと接続を作成する
カスタマーゲートウェイは、AWS で作成するリソースです。オンプレミスネットワーク内のカスタマーゲートウェイデバイスを表します。カスタマーゲートウェイを作成するときは、デバイスに関する情報を に提供しますAWS 詳細については、「カスタマーゲートウェイ」を参照してください。
コンソールを使用してカスタマーゲートウェイを作成するには
-
Amazon VPC コンソール (https://console.aws.amazon.com/vpc/
) を開きます。 -
ナビゲーションペインで、[カスタマーゲートウェイ] を選択します。
-
[カスタマーゲートウェイの作成]] を選択します。
-
(オプション) [名前] には、カスタマーゲートウェイの名前を入力します。これにより、
Nameというキーと指定した値を含むタグが作成されます。 -
[BGP ASN] に、カスタマーゲートウェイのボーダーゲートウェイプロトコル (BGP) 自律システム番号 (ASN) を入力します。
-
IP アドレスで、カスタマーゲートウェイデバイスのプライベート IP アドレスを入力します。
重要
AWS プライベート IP AWS Site-to-Site VPN を設定するときは、RFC 1918 アドレスを使用して独自のトンネルエンドポイント IP アドレスを指定する必要があります。カスタマーゲートウェイルーターと Direct Connect エンドポイントの間の eBGP ピアリングにポイントツーポイント IP アドレスを使用しないでください。AWS では、ポイントツーポイント接続の代わりに、カスタマーゲートウェイルーターのループバックまたは LAN インターフェイスをソースまたは宛先アドレスとして使用することをお勧めします。
RFC 1918 の詳細については、「プライベートインターネットのアドレス割り当て
」を参照してください。 -
(オプション) [デバイス] に、このカスタマーゲートウェイをホストするデバイスの名前を入力します。
-
[カスタマーゲートウェイの作成]] を選択します。
-
ナビゲーションペインで、[Site-to-Site VPN 接続] を選択します。
-
[Create VPN connection] (VPN 接続の作成) を選択します。
-
(オプション) [名前タグ] には、Site-to-Site VPN 接続の名前を入力します。これにより、
Nameというキーと指定した値を含むタグが作成されます。 -
[Target gateway type] (ターゲットゲートウェイタイプ) で、[Transit gateway] (転送ゲートウェイ) を選択します。次に、以前に特定したトランジットゲートウェイを選択します。
-
[Customer gateway] (カスタマーゲートウェイ) で、[Existing] (既存) を選択します。次に、前の手順で作成したカスタマーゲートウェイを選択します。
-
カスタマーゲートウェイデバイスがボーダーゲートウェイプロトコル (BGP) をサポートしているかどうかに基づいて、ルーティングオプションのいずれかを選択します。
-
カスタマーゲートウェイデバイスが BGP をサポートしている場合は、[動的 (BGP が必要)] を選択します。
-
カスタマーゲートウェイデバイスが BGP をサポートしていない場合は、[静的] を選択します。
-
-
[トンネル内部 IP バージョン] で、VPN トンネルが IPv4 トラフィックをサポートするか、IPv6 トラフィックをサポートするかを指定します。
-
(オプション) [トンネル内部 IP バージョン] で [IPv4] を指定した場合は、オプションとして、カスタマーゲートウェイ側と AWS 側で VPN トンネルを介した通信を許可する IPv4 CIDR 範囲を指定できます。デフォルトは
0.0.0.0/0です。[トンネル内部 IP バージョン] で [IPv6] を指定した場合は、オプションとして、カスタマーゲートウェイ側と AWS 側で VPN トンネルを介した通信を許可する IPv6 CIDR 範囲を指定できます。両方の範囲のデフォルトは
::/0です。 -
[外部 IP アドレスのタイプ] で、[PrivateIpv4] を選択します。
-
[Transport attachment ID] (トランスポートアタッチメント ID) で、適切な Direct Connect ゲートウェイのトランジットゲートウェイアタッチメントを選択します。
-
[Create VPN connection] (VPN 接続の作成) を選択します。
注記
[Enable acceleration] (アクセラレーションを有効にする) オプションは、Direct Connect 経由の VPN 接続には適用されません。
コマンドラインまたは API を使用してカスタマーゲートウェイを作成するには
-
CreateCustomerGateway (Amazon EC2 Query API)
-
create-customer-gateway (AWS CLI)
