AWS Site-to-Site VPNを使用したプライベート IP Direct Connect - AWS Site-to-Site VPN
プライベート IP VPN の利点プライベート IP VPN の仕組み前提条件

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Site-to-Site VPNを使用したプライベート IP Direct Connect

プライベート IP VPN を使用すると、IPsec VPN を にデプロイしてDirect Connect、パブリック IP アドレスや追加のサードパーティー VPN 機器を使用せずにAWS、オンプレミスネットワークと 間のトラフィックを暗号化できます。

を介したプライベート IP VPN の主なユースケースの 1 Direct Connectつは、金融、医療、連邦業界のお客様が規制とコンプライアンスの目標を達成できるように支援することです。経由のプライベート IP VPN は、AWSとオンプレミスネットワーク間のトラフィックが安全でプライベートDirect Connectであることを保証し、お客様が規制とセキュリティの義務に準拠できるようにします。

プライベート IP VPN の利点

  • ネットワーク管理と運用の簡素化: プライベート IP VPN を使用しない場合、お客様はサードパーティーの VPN とルーターをデプロイしてDirect Connect、ネットワーク経由でプライベート VPNsを実装する必要があります。プライベート IP VPN 機能を使用すると、お客様は独自の VPN インフラストラクチャをデプロイして管理する必要はありません。これにより、ネットワークオペレーションが簡素化され、コストが削減されます。

  • セキュリティ体制の改善: 以前は、トラフィックの暗号化にパブリックDirect Connect仮想インターフェイス (VIF) を使用する必要がありましたがDirect Connect、VPN エンドポイントにはパブリック IP アドレスが必要です。パブリック IP を使用すると、外部 (DOS) 攻撃の可能性が高まり、その結果、お客様はネットワーク保護のために追加のセキュリティギアをデプロイする必要があります。また、パブリック VIF は、すべてのAWSパブリックサービスとお客様のオンプレミスネットワーク間のアクセスを開き、リスクの重大度を高めます。プライベート IP VPN 機能を使用すると、(パブリック VIFs ではなく)Direct Connectトランジット VIFs での暗号化と、プライベート IPs の設定が可能になります。これにより、暗号化に加えてエンドツーエンドのプライベート接続が提供され、全体的なセキュリティ体制が強化されます。

  • ルートスケールの向上: プライベート IP VPN 接続は、現在 200 のアウトバウンドルートと 100 のインバウンドルートの制限があるDirect Connect単独と比べて、より高いルート制限 (5000 のアウトバウンドルートと 1000 のインバウンドルート) を提供します。

プライベート IP VPN の仕組み

プライベート IP Site-to-Site VPN は、Direct Connectトランジット仮想インターフェイス (VIF) で動作します。Direct Connectゲートウェイとトランジットゲートウェイを使用して、オンプレミスネットワークとAWS VPC を相互接続します。プライベート IP VPN 接続には、AWS側のトランジットゲートウェイとオンプレミス側のカスタマーゲートウェイデバイスに終了ポイントがあります。プライベート IP アドレスは、IPsec トンネルの Transit Gateway とカスタマーゲートウェイデバイスの両端に割り当てることができます。プライベート IP アドレスは、RFC1918 または RFC6598 のプライベート IPv4 アドレス範囲から使用できます。

トランジットゲートウェイにプライベート IP VPN 接続をアタッチします。そして、VPN アタッチメントと、トランジットゲートウェイにアタッチされている VPC (または他のネットワーク) の間でトラフィックをルーティングします。これを行うには、ルートテーブルを VPN アタッチメントに関連付けます。逆方向では、VPC に関連付けられているルートテーブルを使用して、VPC からプライベート IP VPN アタッチメントにトラフィックをルーティングできます。

VPN アタッチメントに関連付けられているルートテーブルは、基盤となるDirect Connectアタッチメントに関連付けられているルートテーブルと同じでも異なってもかまいません。これにより、VPC とオンプレミスのネットワーク間で、暗号化されたトラフィックと暗号化されていないトラフィックの両方を同時にルーティングできます。

VPN を離れるトラフィックパスの詳細については、「Direct Connectユーザーガイド」の「プライベート仮想インターフェイスとトランジット仮想インターフェイスのルーティングポリシー」を参照してください。

前提条件

次の表は、Direct Connect でプライベート IP VPN を作成する前の前提条件を示しています。

Item Steps 情報
Site-to-Site VPN の Transit Gateway を準備します。

Amazon Virtual Private Cloud(VPC) コンソールを使用するか、コマンドラインまたは API を使用してトランジットゲートウェイを作成します。

Amazon VPC Transit Gateways ガイド」の「Transit Gateways」を参照してください。

 トランジットゲートウェイは、VPC とオンプレミスネットワークを相互接続するために使用できるネットワークの中継ハブです。プライベート IP VPN 接続には、新しいトランジットゲートウェイを作成するか、既存のトランジットゲートウェイを使用できます。トランジットゲートウェイを作成するとき、または既存のトランジットゲートウェイを変更する場合は、接続のためのプライベート IP CIDR ブロックを指定します。
注記

プライベート IP VPN に関連付けるトランジットゲートウェイ CIDR ブロックを指定する場合は、CIDR ブロックがトランジットゲートウェイ上の他のネットワークアタッチメントの IP アドレスと重複しないようにしてください。IP CIDR ブロックが重複している場合は、カスタマーゲートウェイデバイスで設定上の問題が発生する可能性があります。
Site-to-Site VPN のDirect Connectゲートウェイを作成します。

Direct Connect コンソールを使用するか、コマンドラインまたは API を使用して Direct Connect ゲートウェイを作成します。

Direct Connect「 ユーザーガイド」のAWS「Direct Connect ゲートウェイの作成」を参照してください。

 Direct Connect ゲートウェイを使用すると、複数のAWSリージョンに仮想インターフェイス (VIFs) を接続できます。このゲートウェイは VIF への接続に使用されます。
Site-to-Site VPN の Transit Gateway の関連付けを作成します。

Direct Connect コンソールを使用するか、コマンドラインまたは API を使用して、Direct Connect ゲートウェイと Transit Gateway 間の関連付けを作成します。

Direct Connect「 ユーザーガイド」の「トランジットゲートウェイDirect Connectとの関連付けまたは関連付け解除」を参照してください。

Direct Connectゲートウェイを作成したら、ゲートウェイのトランジットDirect Connectゲートウェイの関連付けを作成します。許可されたプレフィックスリストで以前に識別されたトランジットゲートウェイのプライベート IP CIDR を指定します。
タスク