อัพเดทบริการ AWS Site-to-Site VPN ในปี 2024

บทความนี้แปลมาจากบทความที่เป็นภาษาญี่ปุ่นที่ชื่อว่า AWS入門ブログリレー2024〜AWS Site-to-Site VPN編〜 โดยเจ้าของบทความนี้คือ คุณ なおにし

AWS Site-to-Site VPN โดยรวม

AWS Site-to-Site VPN เป็นบริการที่ใช้เทคโนโลยี virtual private network (VPN) เพื่อสร้างการเชื่อมต่อที่ปลอดภัยและมีความเป็นส่วนตัวระหว่าง AWS cloud และ เครือข่ายอื่นๆ
ทาง AWS มีบริการที่ใช้ VPN อยู่ 2 แบบคือ 1. AWS Site-to-Site VPN และ 2. AWS Client VPN โดย AWS Site-to-Site VPN จะทำการเชื่อมต่อเครือข่ายไปที่ AWS เพราะฉะนั้น client side ที่เชื่อมต่อไปยัง VPN(AWS) ก็คืออุปกรณ์เครือข่าย(หรือเซิร์ฟเวอร์หรือบริการที่มีฟังก์ชันเกตเวย์)
ในส่วนของ AWS Client VPN ทาง client side จะเป็นอุปกรณ์ใช้งานส่วนตัว เช่น PC ซึ่งจะไม่ได้พูดถึงในบทความนี้

วิธีการเชื่อมต่อ

วิธีการเชื่อมต่อโดยใช้ VPN มีอยู่หลากหลายวิธีอย่างที่แสดงอยู่ด้านล่าง ซึ่งไม่ได้คำนึงถึง network layer
แต่ลองยกตัวอย่างเช่น การเชื่อมต่อ VPN แบบมาตรฐานด้วยระบบปฏิบัติการ Windows ที่ใช้ L2TP/IPsec และมีผู้ให้บริการเครือข่ายขยาย IPsec เพื่อเสนอวิธีการเชื่อมต่อ VPN ที่เป็นกรรมสิทธิ์ของตนเอง

• L2TP
• OpenVPN
• SSL-VPN
• IPsec
• WireGuard etc...

ดังนั้นเมื่อเชื่อมต่อด้วย VPN เราต้องตั้งค่า client side ให้เหมาะสมกับวิธีการเชื่อมต่อที่เราใช้
จากตัวอย่างด้านบน AWS Site-to-Site VPN ซัพพอร์ตการเชื่อมต่อ IPsec เพราะฉะนั้นการเชื่อมต่อ VPN สามารถถูกสร้างด้วยการตั้งค่า IPsec ต่างๆที่ได้รับจาก AWS Site-to-Site VPN ในส่วนของ client side(customer gateway)ที่เชื่อมต่อ VPN ให้เหมาะสม โดยสามารถดูช่องทางในการเชื่อมต่อได้ที่นี่
นอกจากนี้ วิธีการกำหนดเส้นทางยังรองรับทั้งการกำหนดเส้นทาง dynamic และ static โดยในกรณีของการกำหนดเส้นทางแบบ dynamic จะรองรับโปรโตคอล BGP (Border Gateway Protocol) หากอุปกรณ์ customer gateway รองรับ BGP ก็ควรตั้งค่าให้เป็น BGP ด้วย
และเมื่อทำการตั้งค่า BGP จะต้องออกแบบและตั้งค่าหมายเลข ASN (Autonomous System Number/หมายเลขระบบอิสระ) ด้วยเช่นกัน

ปลายทางการเชื่อมต่อ(ในส่วนของ AWS)

เราสามารถใช้ได้ 3 วิธีในการเชื่อมต่อกับ customer gateway (target gateway)

• Virtual Private Gateway(VGW) หากเป็นเครือข่ายขนาดเล็กที่มีการเชื่อมต่อเฉพาะ VPC ที่เจาะจง
• Transit Gateway(TGW) ากเป็นเครือข่ายที่ต้องเชื่อมต่อ VPC หลายตัวภายในภูมิภาคเดียวกัน
• Cloud WAN หากเป็นเครือข่ายที่ต้องเชื่อมต่อ TGW ในภูมิภาคต่างๆ

โดยหลักการคือ การเลือกใช้ตามขนาดของ network ( VGW < TGW < Cloud WAN )
นอกจากนี้ ตามที่กล่าวถึงในภายหลังเกี่ยวกับค่าใช้จ่ายและโควต้าการใช้ ตัวเลือกที่สามารถเลือกได้เมื่อต้องการเชื่อมต่อ VPN จะแตกต่างกันไปตามประเภทของเกตเวย์ที่ใช้งาน

เริ่มการใช้งาน

ในบทความต้นฉบับ คุณ なおにし ได้ใช้ FortiGate ในการจำลองเป็นเซิฟเวอร์ on-premises
ดังนั้นในบทความนี้ผมขออนุญาตแนะนำการใช้งาน Site-to-site VPN จากบทความนี้แทน

การคิดค่าบริการของ Site-to-Site VPN

AWS Site-to-Site VPN จะมีค่าใช้จ่าย 2 ประเภท ดังนี้

• ค่าบริการการเชื่อมต่อ AWS Site-to-Site VPN
• สำหรับการเชื่อมต่อ Site-to-Site VPN แต่ละการเชื่อมต่อจะมีค่าใช้จ่าย USD 0.05 ต่อชั่วโมง (ในกรณีของ Singapore Region)
• ค่าบริการสำหรับการถ่ายโอนข้อมูล
• USD 0.09/GB
• ค่าบริการการรับส่งข้อมูลจะใช้โครงสร้างค่าใช้จ่ายเดียวกับการรับส่งข้อมูลออกจาก Amazon EC2
• ฟรี 100 GB แรก
• ข้อมูลที่ส่งเข้ามาจะไม่คิดค่าบริการ

ถ้ารู้สึกว่ายังมีค่าใช้จ่ายสูงเกินไป อาจพิจารณาการใช้งานแบบเปิดเฉพาะเวลาที่ต้องการใช้ เช่นเดียวกับ EC2
สามารถตรวจสอบค่าใช้จ่ายเพิ่มเติมเกี่ยวกับ Site-to-Site VPN ได้ที่นี่
ดังนั้น หากต้องการลดค่าใช้จ่ายจากการเชื่อมต่อ AWS Site-to-Site VPN การตัดการเชื่อมต่อกับ Customer Gateway เพียงอย่างเดียวนั้นไม่เพียงพอ จำเป็นต้องลบการตั้งค่าการเชื่อมต่อ Site-to-Site VPN ออกด้วย
เมื่อทำการลบการตั้งค่าแล้ว ที่อยู่ external IP และคีย์ที่แชร์ไว้ล่วงหน้าก็จะเปลี่ยนด้วย ดังนั้นหากต้องการสร้างการเชื่อมต่อ AWS Site-to-Site VPN ขึ้นใหม่ จำเป็นต้องทำการตั้งค่าใหม่อีกครั้งทางฝั่ง Customer Gateway ด้วย
นอกจากนี้ สำหรับการเชื่อมต่อ VPN ความเร็วสูงที่เปิดใช้งานการเร่งความเร็ว (acceleration) จะมีค่าใช้จ่ายเพิ่มเติมในส่วนของ AWS Global Accelerator แต่ในบทความนี้จะไม่พูดถึง
ซึ่งการเชื่อมต่อ VPN ความเร็วสูงสามารถเปิดใช้งานได้เมื่อเราใช้ Target Gateway เป็น Transit Gateway หรือ AWS Cloud WAN และไม่สามารถใช้ร่วมกับ Virtual Private Gateway (VGW) ได้

โควต้าของ AWS Site-to-Site VPN

อ้างอิงตามเอกสารนี้
มีข้อจำกัดบางอย่างที่ระบุไว้ในเอกสาร ดังนี้

• ไม่สามารถเพิ่มโควต้าสำหรับ dynamic route หรือ static route ได้
• Jumbo frame ไม่ได้รับการซัพพอร์ตจาก Maximum Transmission Unit (MTU)
• การกำหนดค่า MTU อัตโนมัติผ่าน Path MTU Discovery ไม่ได้รับการซัพพอร์ต

นอกจากนี้ยังมีข้อจำกัดทั่วไปต่อไปนี้

• ไม่ซัพพอร์ต IPv6 หาก target gateway เป็น Virtual Private Gateway (VGW) สำหรับการเชื่อมต่อ VPN
• CIDR blocks ของเครือข่าย VPC และ on-premises ไม่ควรทับซ้อนกัน

สรุป

มีผู้ที่สนใจอยากจะเปลี่ยนมาใช้ระบบ cloud อีกมาก แต่ก็ยังคงใช้เซิฟเวอร์ที่เป็น on-premises อยู่ ในขณะที่อุปกรณ์ต่างๆมีอายุการใช้งานที่มากขึ้นจึงจำเป็นต้องบำรุงรักษา อาจต้องพิจารณาว่าจะเปลี่ยนมาใช้ cloud หรือระบบ on-premises แบบใหม่ดี
และเพื่อเชื่อมต่อระหว่าง cloud และ on-premises ก็ยังมีทางเลือกอีกหนึ่งอย่างก็คือ AWS Direct Connect แต่ก็ต้องเตรียมการหลายขั้นตอนสำหรับการทดสอบระบบ
ในขณะที่ AWS Site-to-Site VPN สามารถทดสอบระบบได้เลย หวังว่าบทความนี้จะมีประโยชน์สำหรับผู้อ่านในการเลือกวิธีการในการเชื่อมต่อระหว่างเครือข่ายครับ

บทความต้นฉบับ

• AWS入門ブログリレー2024〜AWS Site-to-Site VPN編〜(ภาษาญี่ปุ่น)

บทความที่เกี่ยวข้อง

• การใช้งานฟังก์ชัน AWS Site to Site VPN ใน VPC
• Tunnel options for your Site-to-Site VPN connection(ภาษาอังกฤษ)
• AWS VPN pricing(ภาษาอังกฤษ)
• Site-to-Site VPN quotas(ภาษาอังกฤษ)