AWS Site-to-Site VPN を使用したプライベート IP AWS Direct Connect - AWS Site-to-Site VPN
プライベート IP VPN の利点プライベート IP VPN の仕組み

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Site-to-Site VPN を使用したプライベート IP AWS Direct Connect

プライベート IP VPN を使用すると、パブリック IP アドレスや追加のサードパーティー VPN AWS Direct Connect機器を使用せずに AWS、オンプレミスネットワークと 間のトラフィックを暗号化して、IPsec VPN を にデプロイできます。

を介したプライベート IP VPN の主なユースケースの 1 AWS Direct Connect つは、金融、ヘルスケア、連邦業界のお客様が規制とコンプライアンスの目標を達成できるように支援することです。を介したプライベート IP VPN は、 AWS とオンプレミスネットワーク間のトラフィックが安全でプライベート AWS Direct Connect であることを保証し、お客様が規制とセキュリティの義務に準拠できるようにします。

プライベート IP VPN の利点

  • ネットワーク管理と運用の簡素化: プライベート IP VPN を使用しない場合、お客様はサードパーティーの VPN とルーターをデプロイして AWS Direct Connect 、ネットワーク経由でプライベート VPNsを実装する必要があります。プライベート IP VPN 機能を使用すると、お客様は独自の VPN インフラストラクチャをデプロイして管理する必要はありません。これにより、ネットワークオペレーションが簡素化され、コストが削減されます。

  • セキュリティ体制の改善: 以前は、トラフィックの暗号化にパブリック AWS Direct Connect 仮想インターフェイス (VIF) が必要でしたが AWS Direct Connect、VPN エンドポイントにはパブリック IP アドレスが必要です。パブリック IP を使用すると、外部 (DOS) 攻撃の可能性が高まり、その結果、お客様はネットワーク保護のために追加のセキュリティギアをデプロイする必要があります。また、パブリック VIF は、すべての AWS パブリックサービスとお客様のオンプレミスネットワーク間のアクセスを開き、リスクの重大度を高めます。プライベート IP VPN 機能を使用すると、(パブリック VIFs ではなく) AWS Direct Connect 転送 VIFs での暗号化と、プライベート IPs の設定が可能になります。これにより、暗号化に加えてエンドツーエンドのプライベート接続が提供され、全体的なセキュリティ体制が強化されます。

  • ルートスケールの向上: プライベート IP VPN 接続は、現在 200 のアウトバウンドルートと 100 のインバウンドルートの制限がある AWS Direct Connect 単独の場合と比較して、より高いルート制限 (5000 のアウトバウンドルートと 1000 のインバウンドルート) を提供します。

プライベート IP VPN の仕組み

プライベート IP Site-to-Site VPN は、 AWS Direct Connect トランジット仮想インターフェイス (VIF) で動作します。 AWS Direct Connect ゲートウェイとトランジットゲートウェイを使用して、オンプレミスネットワークと AWS VPC を相互接続します。プライベート IP VPN 接続には、 AWS 側のトランジットゲートウェイと、オンプレミス側のカスタマーゲートウェイデバイスに終了ポイントがあります。プライベート IP アドレスは、IPsec トンネルの Transit Gateway とカスタマーゲートウェイデバイスの両端に割り当てることができます。プライベート IP アドレスは、RFC1918 または RFC6598 のプライベート IPv4 アドレス範囲から使用できます。

トランジットゲートウェイにプライベート IP VPN 接続をアタッチします。そして、VPN アタッチメントと、トランジットゲートウェイにアタッチされている VPC (または他のネットワーク) の間でトラフィックをルーティングします。これを行うには、ルートテーブルを VPN アタッチメントに関連付けます。逆方向では、VPC に関連付けられているルートテーブルを使用して、VPC からプライベート IP VPN アタッチメントにトラフィックをルーティングできます。

VPN アタッチメントに関連付けられているルートテーブルは、基盤となる AWS Direct Connect アタッチメントに関連付けられているルートテーブルと同じでも異なってもかまいません。これにより、VPC とオンプレミスのネットワーク間で、暗号化されたトラフィックと暗号化されていないトラフィックの両方を同時にルーティングできます。

VPN を離れるトラフィックパスの詳細については、「AWS Direct Connect ユーザーガイド」の「プライベート仮想インターフェイスとトランジット仮想インターフェイスのルーティングポリシー」を参照してください。

タスク