当ブログの内容は筆者の経験と知識に基づいていますが、AWSのサービスおよび認定試験は定期的にアップデートされています。もし記事に誤りや古い情報がある場合、お手数ですが「コメント」や「お問い合わせ」からお知らせいただければ幸いです。読者の皆様からの貴重なフィードバックを歓迎しており、正確かつ有益な情報を提供できるよう努めてまいります。
どうぞよろしくお願いいたします。
AWS上のリソースは、インターネット経由でアクセスすることを前提としています。インターネットを介する通信には、経路上に第三者が管理するデバイスが存在するため、通信の内容が盗聴される可能性があります。よって、機密情報を取り扱う場合は、データを暗号化し、AWSとのプライベートな接続を確立することが大切です。
AWSでは、プライベート接続をサポートするサービスとして、以下の3つを提供しています。
・AWS Client VPN
・AWS Site-to-Site VPN
本記事では、「AWS Site-to-Site VPN」についてまとめます。
AWS Site-to-Site VPNとは
概要
AWS Site-to-Site VPN は、オンプレミスネットワークとAWSクラウド内のVPCを安全に接続するためのVPN(Virtual Private Network)サービスです。インターネットを介して、プライベートで暗号化された通信を実現し、ハイブリッドクラウド構成をサポートします。AWSクラウドと既存のネットワーク資産のシームレスな統合が可能です。
特徴
AWS Site-to-Site VPNは、オンプレミス機器とVPCの間でプライベート接続を実現します。
オンプレミス側…カスタマーゲートウェイ(CGW):ルーター or ファイアウォール
VPC側:仮想プライベートゲートウェイ(VGW) or トランジットゲートウェイ(TGW)
Site-to-Site VPNには、以下のような特徴があります。
・各VPN接続は、自動的に2つのVPNトンネルで構成される。(高可用性のため)
・簡単に早くVPNを構築できる。(オンプレミス機器さえあれば、後は管理コンソールから設定するだけで済む)
・AWS Direct Connectに比べ安価である。
・AWS Direct Connectのバックアップ回線として利用されることもある。
試験によく出る「AWS Site-to-Site VPN」を用いたアーキテクチャ
単一拠点のVPN接続
複数拠点のVPN接続
複数VPCと同時接続(TGWのみ)
※VGWでは、VPCの数だけVPN接続が必要となります。
共有VPCを用いた構成
AWS Direct Connectとの併用(VPNの冗長化)
比較的高価なDirect ConnectのバックアップとしてSite-to-Site VPNを使用します。
CGWも冗長化可能です。
まとめ
AWS Site-to-Site VPNは、オンプレミス環境とVPCをセキュアに接続するための重要なサービスです。AWS認定試験では、VPN接続の仕組みや構成方法に関する理解が求められます。
参考
・AWS公式ガイド
https://docs.aws.amazon.com/ja_jp/vpn/latest/s2svpn/VPC_VPN.html
【AWS認定試験対策 サービス一覧】
【AWS各サービス概要一覧】
【おすすめの参考書】
リンク先からご購入いただき、サイト運営をご支援いただけますと幸いです…
ポチップ
ポチップ
ポチップ
コメント