Amazon VPC同士の接続パターンまとめ (Whitepaper参照)

2020年最新のホワイトペーパーから「VPC同士の接続パターン図説」を、日本語訳で1ページに抜粋してまとめてみました。
2020.07.27

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

どうも、ちゃだいん(@chazuke4649)です。

前回、日本語訳ページが提供されていない AWS Whitepapers を参考に、「顧客拠点から Amazon VPCへの接続パターン」というテーマで1ページにまとめてました。

今回は、同様の方法で、「Amazon VPC同士の接続パターン」というテーマで1ページにまとめてみました。

概要

参照したWhitepaper

バージョン

  • 日付: 2020年6月6日
  • 変更内容: ホワイトペーパーの更新
  • 説明: AWS Transit GatewayとAWS Client VPNのオプションを追加し、全体を通して図と情報を更新しました。

Document revisions - Amazon Virtual Private Cloud Connectivity Options

参照した章

※このWhitepaperから以下項目のみ抜粋しています。

  • Amazon VPC-to-Amazon VPC connectivity options(※このページは作成していません)
    • 1.VPC peering
    • 2.AWS Transit Gateway
    • 3.Software Site-to-Site VPN
    • 4.Software VPN-to-AWS Managed VPN
    • 5.AWS Managed VPN
    • 6.AWS PrivateLink

1. VPCピアリング

VPCピアリング接続は、2つのVPC間のネットワーク接続であり、同じVPCのように各VPCのプライベートIPアドレスを使用してルーティングを行うことができます。VPCピアリング接続は、独自のVPC間または別のAWSアカウントのVPCで作成できます。VPCピアリングは、リージョン間ピアリングもサポートします。

リージョン間VPCピアリングを使用するトラフィックは常にグローバルAWSバックボーンに留まり、パブリックインターネットを通過しないため、一般的なエクスプロイトやDDoS攻撃などの脅威ベクトルが減少します。

図13-VPCからVPCへのピアリング

AWSはVPCの既存のインフラストラクチャを使用してVPCピアリング接続を作成し、個別の物理ハードウェアに依存しません。したがって、VPC間の潜在的な単一障害点やネットワーク帯域幅のボトルネックは発生しません。さらに、VPCルーティングテーブル、セキュリティグループ、ネットワークアクセスコントロールリストを利用して、VPCピアリング接続を利用できるサブネットまたはインスタンスを制御できます。

2. AWS Transit Gateway

AWS Transit Gatewayは、ハブアンドスポークアーキテクチャを使用してリージョンのAWS VPCルーティング構成を統合する、高可用性でスケーラブルなサービスです。各スポークVPCは、他の接続されたVPCにアクセスするためにTransit Gatewayに接続するだけで済みます。異なるリージョン間のTransit Gatewayは相互にピアリングして、リージョン間のVPC通信を可能にすることができます。次の図に示すように、多数のVPCがあるTransit Gatewayは、VPCピアリングを介したVPC間の通信管理を簡素化します。

図14-AWS Transit Gateway

AWS Transit Gatewayトラフィックは常にグローバルAWSバックボーンに留まり、パブリックインターネットを通過することはないため、一般的なエクスプロイトやDDoS攻撃などの脅威ベクトルが減少します。

3. ソフトウェア サイト間VPN

Amazon VPCは、柔軟なネットワークルーティングを提供します。これには、複数のVPCをより大きな仮想プライベートネットワークに接続するために2つ以上のソフトウェアVPNアプライアンス間に安全なVPNトンネルを作成する機能が含まれるため、各VPCのインスタンスはプライベートIPアドレスを使用してシームレスに相互に接続できます。このオプションは、好みのVPNソフトウェアプロバイダーを使用してVPN接続の両端を管理したい場合にお勧めします。このオプションでは、各VPCに接続されたインターネットゲートウェイを使用して、ソフトウェアVPNアプライアンス間の通信を行います。

図15-ソフトウェアのサイト間VPN VPC間ルーティング

Amazon EC2で動作するソフトウェアVPNアプライアンスを作成した複数のパートナーとオープンソースコミュニティのエコシステムから選択できます。この選択に加えて、構成、パッチ、アップグレードなどのソフトウェアアプライアンスを管理する責任があります。

この設計では、ソフトウェアVPNアプライアンスが単一のAmazon EC2インスタンスで実行されるため、ネットワーク設計に潜在的な単一障害点が導入されることに注意してください。追加情報については、「付録A:ソフトウェアVPNインスタンスの高レベルHAアーキテクチャ」を参照してください。

4. ソフトウェアVPN to AWSマネージドVPN

Amazon VPCは、AWS管理VPNとソフトウェアVPNオプションを組み合わせて複数のVPCを接続する柔軟性を提供します。この設計では、ソフトウェアVPNアプライアンスと仮想プライベートゲートウェイの間に安全なVPNトンネルを作成でき、各VPCのインスタンスがプライベートIPアドレスを使用して互いにシームレスに接続できるようにします。次の図に示すように、このオプションでは、1つのAmazon VPCで仮想プライベートゲートウェイを使用し、別のAmazon VPCでインターネットゲートウェイとソフトウェアVPNアプライアンスの組み合わせを使用します。

図16-ソフトウェアVPNからAWSマネージドVPN VPC間のルーティング

この設計は、ネットワーク設計に潜在的な単一障害点をもたらすことに注意してください。追加情報については、「付録A:ソフトウェアVPNインスタンスの高レベルHAアーキテクチャ」を参照してください。

5. AWSマネージドVPN

Amazon VPCには、インターネットを介してリモートネットワークをAmazon VPCに接続するためのIPsec VPNを作成するオプションがあります。複数のVPN接続を利用して、ルーターから、Amazon VPC間でインターネットまたはAWS Direct Connect経由でトラフィックをルーティングできます。

図17-AWSマネージドVPN VPC-to-VPCルーティング

図18-AWS Direct Gateway VPCからVPCへのルーティング

トラフィックはネットワーク上のルーターを通過する必要があるため、このアプローチはルーティングの観点からは最適ではありませんが、ローカルおよびリモートネットワーク上のルーティングを制御および管理するための多くの柔軟性、およびVPN接続を再利用する潜在的な機能を提供します。

AWS PrivateLinkを使用すると、VPCのプライベートIPアドレスを介して、一部のAWSサービス、他のAWSアカウントでホストされるサービス(通称:エンドポイントサービス )、およびサポートされるAWS Marketplaceパートナーサービスに接続できます。インターフェイスエンドポイントは、VPCのサブネット内のElastic Network InterfaceとIPアドレスを使用して、VPC内に直接作成されます。つまり、VPCセキュリティグループを使用して、エンドポイントへのアクセスを管理できます。

図19-AWS PrivateLink

AWSネットワーク内で別のVPCによって提供されるサービスを安全に使用したい場合、このアプローチをお勧めします。すべてのネットワークトラフィックはグローバルAWSバックボーンにとどまり、パブリックインターネットを通過しません。

終わりに

前回は「顧客拠点からVPCへの接続パターン」、今回は「VPC同士の接続パターン」でした。誤字脱字などあればご指摘いただけるとありがたいです。

それではこの辺で。ちゃだいん(@chazuke4649)でした。