Site-to-Site VPN は、オンプレミス環境と AWS の VPC を IPsec トンネルで安全に接続するマネージド型の VPN サービスです。
オンプレミス側の CGW(Customer Gateway) と、AWS 側の VGW(Virtual Private Gateway) または Transit Gateway Attachment の間に、冗長トンネルを 2 本確立することで、高い可用性を実現します。
ルーティングは、BGP(Border Gateway Protocol) を利用した動的ルーティングと、静的ルーティング の両方式に対応しており、BGPを利用することで経路の自動収束やフェイルオーバーを効率的に行うことができます。
Direct Connect バックアップ 構成としても活用でき、専用線障害時には Site-to-Site VPN 経由で自動的に通信を継続することが可能です。これにより、暗号化された閉域接続を短時間で構築でき、段階的なクラウド移行や災害対策(DR)用途にも有効です。
重要用語
ユースケース
| オンプレとVPCのセキュア接続 | 社内ネットワークとVPCをIPsec VPNトンネルで接続し、インターネット経由でも暗号化された安全な通信を実現する。 |
| 小規模拠点とAWSの接続 | 地方拠点や小規模オフィスなどからVPNルーターを介してAWSに接続し、クラウド上の業務システムを利用できるようにする。 |
| Direct Connectのバックアップ回線 | Direct Connect障害時の冗長経路としてVPN接続を用意し、専用線が使えない状況でも最低限の通信を継続できるようにする。 |
ベストプラクティス
| トンネルの冗長化 | 2本のVPNトンネルを両方利用するようルーティングを設定する。 |
| ログとメトリクスの監視 | CloudWatchでトンネル状態を監視し、アラームを設定する。 |
| キープアライブと再接続設定 | オンプレ側機器の設定も含めて安定した接続を維持する。 |
高可用性・バックアップ・リトライ
| 高可用性・バックアップ・リトライ設計のポイント |
|---|
| 【デフォルト】冗長VPN接続(自動で2つのトンネル) |
| VPN接続自体を複数作成 |
セキュリティ
| 関連サービス | 設定内容 |
|---|---|
| CloudTrail(操作履歴の記録・監査・追跡) | 【自動記録】 作成・更新・削除・設定変更は自動記録される。(コントロールプレーンAPI) データ操作は追跡できない(データプレーンAPI) |
| Config(リソースの構成状態・設定変更を記録) | 【Configが有効な場合】 VPN接続/トンネル設定の変更履歴・状態監査 |
| GuardDuty(脅威を自動検出) | 【GuardDutyが有効な場合】 VPN接続設定変更のAPI異常検知 |
ログ・監視
標準メトリクス
| メトリクス名 | 説明 |
|---|---|
| TunnelDataIn | トンネル受信データ量 |
| TunnelDataOut | トンネル送信データ量 |
| TunnelPacketsIn | トンネル受信パケット数 |
| TunnelPacketsOut | トンネル送信パケット数 |
| TunnelState | トンネル状態 |
制限値(固定値/ハードリミット/ソフトリミット)
| ハードリミット | 制限値 |
|---|---|
| VPN接続あたりのトンネル数 | 2 |
| トンネルあたりの帯域幅 | 最大1.25 Gbps |
| ソフトリミット | 制限値 |
|---|---|
| Site-to-Site VPN接続数/VPC | 10 |
| BGPルート数 | 100(伝播)、1,000(受信) |
AWS CLIのサンプルコード
CloudFormationのサンプルコード
Terraformのサンプルコード
料金計算
| 課金項目 | 説明 |
|---|---|
| VPN接続 | VPN接続の時間課金 |
| データ転送 | VPN接続経由のデータ転送量 |