![[アップデート] AWS Site-to-Site VPNで複数コネクションをまとめて扱えるVPNコンセントレーター機能が使用できるようになりました](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-29d0c06186de656ab6bd356a6137c849/9cd9f471543540e5546e89a7c571a8e6/aws-site-to-site-vpn?w=3840&fm=webp)
[アップデート] AWS Site-to-Site VPNで複数コネクションをまとめて扱えるVPNコンセントレーター機能が使用できるようになりました
大量の拠点がある環境において都度Site-to-Site VPNをアタッチしたり、Propagation設定するのが面倒
こんにちは、のんピ(@non____97)です。
皆さんは大量の拠点がある環境において都度Site-to-Site VPNをTransit Gatewayにアタッチしたり、Propagation設定をするのが面倒なと思ったことはありますか? 私はあります。
Transit GatewayのアタッチメントやPropagationするのはSite-to-Site VPNの接続単位で行う必要があります。
一括りに同じTransit Gateway route tableに関連付けたい場合や、ルートテーブルにPropagationを行いたい場合であっても、Site-to-Site VPNの接続ごとに行う必要があります。
Site-to-Site VPNの接続が5本ぐらいであれば楽ですが、10本、20本と増えていくると運用が回らなくなってきます。
そんな課題に刺さるのがアップデートで新しく追加されたVPNコンセントレーター機能です。
AWS Blogsにも投稿されています。
これによりにAWS Site-to-Site VPNの複数コネクションをまとめて扱うことができます。要するにVPN接続をグルーピングする機能です。
以降紹介します。
いきなりまとめ
- VPNコンセントレーターはTransit Gateway間との操作をする際にSite-to-Site VPNの接続を一つにまとめて扱うことができる機能
- VPNコンセントレーターとVPN接続それぞれで料金が発生する
- 主な注意点
- VPNコンセントレーターでまとめたVPN全体では5Gbpsをサポートしているが、VPN接続ごとには最大100Mbpsまでしかサポートしていない
- BGPのみサポート
- StaticのVPNはサポートされない
- VPNコンセントレーターのアタッチ先はTransit Gatewayのみ
- VGWやCloud WANは未サポート
- ECMPは未サポート
- 既存のSite-to-Site VPNからの切り替えは不可
- Transit GatewayまたはCloud WANあたりのVPNコンセントレーターは5つまで
- VPNコンセントレーターあたりのVPN接続拠点数は100まで
- VPNコンセントレータVPNトンネルあたりの最大パケット数/秒(PPS)は10,000PPS
- VPNコンセントレーターのVPN接続で使用するCGWのIPアドレスはAWSが所有しているIPアドレスレンジ以外のものを指定する必要がある
ドキュメントから仕様を確認
概要
以下ドキュメントから仕様を確認します。
VPNコンセントレーターのコンセプトとして、25以上の拠点を接続し、各拠点間とは100Mbpsと低帯域幅で接続するサービスのようです。
これはVPNコンセントレーターでまとめたVPN全体では5Gbpsをサポートしていますが、VPN接続ごとには最大100Mbpsまでしかサポートしていないためです。
Bandwidth
Currently, Site-to-Site VPN Concentrators support 5 Gbps aggregate bandwidth. Each site can support a maximum of 100 Mbps bandwidth. However, if you need higher bandwidth, reach out to AWS Support.
拠点が契約しているインターネット回線速度が100Gbps以上の場合、インターネット回線の帯域幅に余裕があったとしてもスループットが出ないことが予想されます。事前に把握をしておきましょう。
サポートされている機能
サポートされている機能は以下のとおりです。
| 機能 | サポート有無 |
|---|---|
| IPv6 | あり |
| プライベートDirect Connect VPN接続 | なし |
| Accelerated VPN | あり |
| 同一拠点からの複数CGW | あり ※ 各CGWには一意の IP アドレスが必要 |
| 地理的な制限 | なし VPNコンセントレーターとVPNの接続先拠点が地理的に異なる場合でも接続可能 ※ VPNコンセントレーターとVPN接続が別リージョンでも動作するという意味ではなく、あくまで接続先拠点とVPNコンセントレーターの地理的な関係性 |
| Site-to-Site VPNログ | あり VPN接続単位で切り替え可能 |
| Transit Gatewayの暗号化 | なし |
基本的な機能は網羅されているのではないでしょうか。
料金
VPNコンセントレーターの料金はVPNコンセントレーター一つあたり1.95USD/hです。
これに加えて従来のSite-to-Site VPNの料金がかかります。
Pricing for Site-to-Site VPN Concentrator
If you create an AWS Site-to-Site VPN Concentrator you are charged for each VPN Concentrator-hour that your VPN Concentrator is provisioned and available. Additionally, you are also charged for each VPN connection-hour that your VPN connection (via VPN Concentrator) is provisioned and available. You also incur standard AWS data transfer charges for all data transferred via the VPN connection. If you no longer wish to be charged for VPN Concentrator, simply terminate your VPN Concentrator, including VPN connections, using the AWS Management Console, command line interface, or API.
Site-to-Site VPN Concentrator is priced as follows in all AWS Regions where it is supported.
$1.95/hr per Site-to-Site VPN Concentrator per hour
$0.01/hr per Site-to-Site VPN connections per hour for sites connected via VPN Concentrator
Data transfer out on AWS Site-to-Site VPN incurs data transfer out charges that are explained in the EC2 on-demand pricing page.
There are no additional Site-to-Site VPN service-specific charges for enabling Site-to-Site VPN logs. You will incur standard charges for using Amazon CloudWatch service (publishing Site-to-Site VPN logs to CloudWatch).
その他、注意点
その他の注意点は以下のとおりです。
- BGPのみサポート
- StaticのVPNはサポートされない
- VPNコンセントレーターのアタッチ先はTransit Gatewayのみ
- VGWやCloud WANは未サポート
- ECMPは未サポート
- 既存のSite-to-Site VPNからの切り替えは不可
- Transit GatewayまたはCloud WANあたりのVPNコンセントレーターは5つまで
- VPNコンセントレーターあたりのVPN接続拠点数は100まで
- VPNコンセントレータVPNトンネルあたりの最大パケット数/秒(PPS)は10,000PPS
やってみた
検証環境
実際にやってみましょう。
検証環境は以下のとおりです。
Transit GatewayおよびTransit Gateway route tableは作成済みです。
VPNコンセントレーターの作成
VPNコンセントレーターの作成をします。
名前とTransit Gatewayを指定します。指定できる項目はかなり少ないですね。
作成がされてました。状態は保留中となっていますね。
Transit Gateway attachmentのIDが割り振られているので、Transit Gateway attachmentを確認すると、確かに新規に生えてきていました。
リソースタイプがSite-to-Site VPN Concentratorと従来のSite-to-Site VPNとは別物扱いであることが分かります。
Transit Gateway attachmentの状態がAvailableだったので改めてVPNコンセントレーターを確認すると、こちらも利用可能に変わっていました。
Transit Gatewayの設定でデフォルトルートテーブルに関連付けとPropagationをするように設定していたので、状態を確認します。
関連付けを確認すると、確かにVPNコンセントレーターのTransit Gateway attachmentが関連付けされていました。
また、Propagationも行われています。
Site-to-Site-VPNの作成
Site-to-Site VPNの作成をしましょう。
今回はVPNコンセントレーターのSite-to-Site VPN接続タブから作成します。
ターゲットゲートウェイのタイプに先ほどのVPNコンセントレーターを指定します。また、CGWのIPアドレスはとりあえずプライベートIPアドレスの範囲のものを指定しました。
ルーティングオプションはBGPとします。
こちらで作成をしようとすると、create VPN is not supported on VPN concentrator when using AWS IP addresses on customer gatewayとエラーになってしまいました。
要するにVPNコンセントレーターのVPN接続で使用するCGWのIPアドレスはAWSが所有しているIPアドレスレンジ以外のものを指定する必要があるようです。
次にCGWのIPアドレスを169.254.1.1とリンクローカルアドレスのIPアドレスで指定してトライをすると、今度はValue (169.254.1.1) for parameter ipAddress is invalidと怒られました。
ということで、AWSが所有していないグローバルIPアドレスを指定する必要があるようです。
しょうがないので操作端末に割り振られているIPアドレスを指定します。
すると、今度は正常にVPNコンセントレーターにSite-to-Site VPNを関連付けることができました。
ただし、手元にVPNルーターとして使用可能な環境が現在ないので、IPsec VPNのトンネルを確立できずダウンになっています。
この時、VPNコンセントレーターからVPN接続を確認すると以下のようになっています。
ここからVPN接続に対して何か手を加えることは出来ないようです。
また、VPNコンセントレーター自体に変更を加えることは出来ないようです。
AWS CLIのコマンドリファレンスを見ても、VPNコンセントレーターに対して修正を加えたり、ターゲットがVPNコンセントレーターであるVPNを複数まとめて操作するといった処理は提供されていませんでした。
Transit Gateway attachmentは以下のように追加はされていませんでした。
これまでの確認内容を踏まえると、VPNコンセントレーターはTransit Gateway間との操作をする際にSite-to-Site VPNの接続を一つにまとめて扱う以外の役割は特にないように感じます。
イメージは先述のAWS Blogsに投稿されている記事内の以下図が分かりやすいです。
複数拠点へのVPN接続をまとめてTransit Gatewayに関連付けたりルーティング設定をしたい場合に
AWS Site-to-Site VPNで複数コネクションをまとめて扱えるVPNコンセントレーター機能が使用できるようになったアップデートを紹介しました。
複数拠点へのVPN接続をまとめてTransit Gatewayに関連付けたりルーティング設定をしたい場合には役立つのではないでしょうか。
この記事が誰かの助けになれば幸いです。
以上、クラウド事業本部 コンサルティング部の のんピ(@non____97)でした!
