オンプレとVPCを接続するTransitGatewayとVPNの料金を比較する

「オンプレとVPCをVPNで閉域網接続したいんだけど、新しくリリースされたTransitGatewayってのもあるじゃん。費用的にどう違うん?」


AWSにはオンプレとVPCを直接VPN接続できるサービスがあります。

[Amazon VPC] ハードウェアVPN接続についてまとめてみた | DevelopersIO

これに対して、TransitGatewayが東京リージョンで利用可能になったことで、オンプレとの接続にTransitGatewayを使うことが選択肢の一つになってきました。

[アップデート] AWS Transit Gateway が東京リージョンで利用可能になりました! #reinvent | DevelopersIO

VPN直接続とTransitGatewayのどっちを選んだらいいんじゃい。という疑問もわいてくることかと思います。

この2つの料金を比較する機会があったので本記事はその備忘録です。

前提の確認

話を簡単にするために、プライベートIPアドレスはAWS側は10.0.0.0/8の範囲を使用し、オンプレ側は172.16.0.0/12の範囲を使用し、構成に応じて適切にルーティングされているものとしてください。

本記事は、2019/05/23時点での東京リージョンを前提に比較しています。
現在の料金については、AWS公式のドキュメントを参考にしてください。

VPN料金

1時間あたり$0.05

AWS VPN の料金 – アマゾン ウェブ サービス

TransitGateway料金

アタッチメント毎に1時間あたり$0.07
(※処理データ1GBあたり、$0.02かかりますが、今回は固定費の比較ということで考慮外とします。)

AWS Transit Gateway の料金 – アマゾン ウェブ サービス

図にするとこんな感じの考え方になります。

ケース1:オンプレ1・VPC1個の場合

まずはシンプルなケースから考えてみます。

①料金:$0.05/h

②料金:$0.19/h(=$0.07×2+$0.05)

1個ずつの接続であれば、わざわざTransitGatewayを使う必要はありません。高いだけです。

ちょっと視点を変えてみましょう。この構成に新しいVPCを追加する状況を考えてみます。

ケース1+α:オンプレ1・VPC1個の環境に相互接続可能なVPCを1個追加する場合

VPCを1個追加する時に必要な接続を赤色で示しています。

①料金:$0.10/h(=$0.05×2)

②料金:$0.26/h(=$0.07×3+$0.05)

固定料金としてはケース1と同様、VPNの方が安いです。
しかし、①の構成にVPCを追加する場合、オンプレ側でVPN接続作業が発生します。

自社でやるにしろ別の会社に委託するにしろ、オンプレ側の作業にはいくらか時間とお金がかかかることになるかと思います。

VPC新規構築の発生頻度、オンプレ側作業の時間的コストと金額的コストを勘案して、①と②の固定費の差額を許容できるか?という点がTransitGatewayを導入する際のポイントになると思います。

ケース2:オンプレ1・VPC50個の場合

①料金:$2.50/h(=$0.05×50)

②料金:$3.62/h(=$0.07×51+$0.05)

固定料金としてはVPNの方が安いです。
安いんですが…。VPC同士を相互接続するためにVPC Peeringをめちゃくちゃたくさん設定しなければいけません。
50個の各VPCが残り49個のVPCと接続する必要があるので2450個のVPC Peeringを設定する必要があります。
ちょっとこの作業は勘弁して欲しいですね…。

この環境にさらにVPC追加ってことになったら、また各VPCに対してVPC Peeringしていく必要があります。泣きそう。

このツラい作業を札束で殴って簡略化してくれるのがTransitGatewayです。
TransitGatewayの場合、各VPCをTransitGatewayにつなぎさえすればVPC間の相互接続ができます。

相互接続したいVPCの数が多い場合は、多少固定費が高くてもTransitGatewayを導入するメリットがあると思います。

ケース3:オンプレ10・VPC1個の場合

①料金:$0.50/h(=$0.05×10)

②料金:$1.27/h(=$0.07×11+$0.05×10)

VPNをTransitGatewayに接続すると高いです。
VPNの料金とTransitGatewayにアタッチする料金ダブルで費用がかかります。

しかし、VPN構成にするとVPCを新しく追加しようと思ったときにしんどいことになります。

新しいVPCを追加する場合、オンプレ側10個に対して新しいVPCにVPN接続作業が発生します。 ネットワークの構成も複雑になってなんだかごちゃごちゃします。

将来的にVPCを追加する見込みがある場合、多少固定費が高くてもTransitGatewayを導入するメリットがあると思います。

余談ですが、先日のアップデートでVPN接続をTransitGatewayに移行できるようになりました。
ダウンタイムは発生いたしますが、VPN直接続からTransitGatewayへ移行しやすくなったのではないかと思います。
詳しくは弊社ブログをご参照ください。

Virtual Private GatewayとのVPN接続をTransit Gatewayに移行できるようになりました

おわりに

オンプレとVPCの数が少なければ、TransitGatewayを使わずに直接VPN接続で問題ないと思います。

基本的に月額固定費はTransitGatewayの方が高いです。追加でデータ転送料金もかかります。

しかし、接続数が多くなるにつれてネットワーク構成が複雑になり、 VPC追加作業自体が大きなコストとなる可能性があります。

そういう場合、TransitGatewayを使用した方が良いケースの方が多いかと思います。

よくわからないからオンプレとAWSの接続をお任せしたいという方は、どうぞお気軽にクラスメソッドまでご相談ください。