前回記事では、AWSのVPCについて概要を書きましたが、
今回はVPCの外部通信について、どういった種類のAWSサービス内容があるのか、ざっと見ていきます。
前回の記事はこちら。
もくじ
2.VPC間の通信
参考文献
1.VPCで通信を行うための各種コンポーネント・サービス
Amazon VPC単体は、閉じたネットワークである。
そのため、インターネット通信接続はもちろん、VPC同士の通信やオンプレミス環境への専用接続等を実現したい場合、それぞれ必要なコンポーネントの設置・サービス利用が必要である。
AWSの主な通信コンポーネント・サービスは以下の通りである。
コンポーネント・サービス | 用途・説明 |
---|---|
VPC Peering (VPCピアリング) |
2つのVPC間の通信 |
Internet Gateway (インターネットゲートウェイ) |
インターネットとの相互通信 |
Egress-Only Internet Gateway (下り専用インターネットゲートウェイ) |
インターネットへのアウトバンド通信(IPv6のみサポート) |
AWS VPN | VPCとオンプレミス環境のVPN通信 |
AWS Direct Connect | VPCとオンプレミス環境の物理専用線による通信 |
NAT Gateway (NATゲートウェイ) |
プライベートサブネットとパブリックサブネットの通信 |
AWS PrivateLink、VPCエンドポイント | VPCとAWS内の各種サービスとの通信 |
Transit Gateway (トランジットゲートウェイ) |
各種接続の中央ハブ(接続設定の集約管理機能) |
以降、本記事では、VPCの各種通信方法について簡単に紹介する。
2.VPC間の通信
AWSでは、独立した2つのVPC同士の接続が可能である。
VPC同士の接続には、VPCピアリング機能を利用する。
◎VPCピアリング
VPCピアリングでは、2つの独立したAmazon VPC間で、プライベートな通信を行える。
※図はAWS公式ドキュメントより引用
VPCピアリングの特徴は以下の通り。
・IPv4通信、IPv6通信の双方に対応
・VPC間で相互接続が可能
・VPCは異なるリージョンに存在していてもよい
・AWSの別アカウントのVPCとも接続できる
VPCピアリングの使用料は以下の通り。
・VPCピアリング接続の確立自体は無料
・VPCピアリング接続間のデータ転送には料金がかかる
3.インターネットとの通信
AWSでは、VPCとインターネットの通信接続も、もちろんサポートされている。
パブリックサブネット内のリソースとインターネットとの直接通信、
NATを介してプライベートサブネット内のリソースとインターネットとの間接的な通信が可能である。
◎インターネットゲートウェイ
インターネットゲートウェイは、パブリックサブネット内のリソースとインターネットとの通信に用いる。
ただしインターネット通信の前提として、パブリックサブネット内に、
グローバルIP(パブリックIP)を付与されたリソース(EC2インスタンス等)が必要である。
インターネットゲートウェイの主な特徴は以下の通り。
・IPv4通信、IPv6通信の双方に対応
・デフォルトでインバウンド通信、アウトバンド通信の双方向可
なお、インターネットゲートウェイの作成は無料である。
◎下り専用インターネットゲートウェイ
下り線用インターネットゲートウェイ(Egress-Only Internet Gateway)は、
名前の通り、インターネットとの下り専用通信に用いる。
下り線用インターネットゲートウェイの主な特徴は以下の通り。
・IPv6のみサポート
・インターネット→インスタンス方向の通信は開始できない
4.オンプレミス環境との通信
◎AWS VPN
AWS VPN(Virtural Private Network)とは、インターネット経由のVPNにより、
AWS環境と他のネットワーク(オンプレミス環境等)を、仮想的な専用線で接続するサービスである。
VPNとは、オープンな公共回線(ここではインターネット)において、
暗号化したデータをやりとりすることで、あたかも専用線で通信している状態を実現する技術である。
AWSに限らず、広く一般的に利用されている。
AWSでもVPNの技術を用いて、AWS環境とオンプレミス環境等、
特定のネットワークとの通信を、仮想的な専用線で行えるようになっている。
VPNの良いところは、VPN対応のルータ(※)さえあれば、安価で簡単に仮想の専用線を実現できる点にある。
ただし、インターネット経由の接続になるため、
速度や安定性がインターネットの状態に左右されるのが難点である。
(※)オンプレミス環境側に置くルータは、AWS用語では「カスタマーゲートウェイ」と呼ばれる。
仮想的に専用線を実現するAWS VPNに対し、物理的に(実際に)専用線を引き込むのが、次に説明するAWS Direct Connectである。
◎AWS Direct Connect
AWS Direct Connectとは、AWS環境とオンプレミス環境等を、
物理的な専用線(標準のイーサネット光ファイバケーブル)で接続するサービスである。
物理ケーブルでの接続となるため、設置作業は大掛かりで、時間的・金銭的コストがかかるデメリットがある。
一方で、メリットとして、専用線を用いるため、インターネットを経由せずに済み、ネットワークの安定・高速化が見込める。
AWSへのアクセスを有効にするためには、仮想インタフェースの作成が必要となる。
仮想インタフェースは、以下3つから、用途に応じて適切な種類を選択する。
仮想インタフェース | 説明 |
---|---|
プライベート仮想インタフェース | Amazon VPCに接続する場合(プライベートIPアドレスを用いる) |
パブリック仮想インタフェース | AWSの全パブリックサービス(VPC非対応のサービス)に接続する場合(パブリック(グローバル)IPアドレスを用いる) |
トランジット仮想インタフェース | トランジットゲートウェイ(後述)にアクセスする場合 |
5.プライベートサブネットからの通信
ここまで紹介したVPCピアリング、インターネットとの通信、オンプレミス環境との通信は、
いずれもVPC内のパブリックサブネットとの通信手法である。
プライベートサブネットからは、外部へ直接通信できない。
そのため、プライベートサブネット内のインスタンスと、各種ネットワークとを接続したい場合、
NATゲートウェイをパブリックサブネットに設置し、通信を中継させる必要がある。
◎NATゲートウェイ
NATゲートウェイの主な特徴は以下の通り。
・IPv4通信、IPv6通信の双方に対応
・複数のアベイラビリティゾーン(AZ)内のリソースで、1つのNATゲートウェイの共有が可能。ただし信頼性観点から、AZ毎のNATゲートウェイ設置が推奨される
・接続タイプはパブリック(デフォルト)、プライベートの2種類
接続タイプ | 接続対象 |
---|---|
パブリックタイプ | インターネット(アウトバンドのみ可) |
プライベートタイプ | 他のVPCまたはオンプレミス環境 |
NATゲートウェイの使用料は以下課金額の合算となる。
・設置時間に応じて課金
・処理データ1GB毎に課金
6.VPCとAWS内の各種サービスとの通信
ここまで紹介してきた通り、VPCと、VPC外で通信する場合は、
通常はインターネットやAWS Direct Connect、AWS VPNなどを経由する必要がある。
しかし、AWSには、VPCに対応しているサービス(EC2等)と、対応していないサービス(S3等)が存在する。
AWS内の、VPCと、VPC非対応のサービスとが通信するために、
わざわざインターネットやAWS Direct Connect、AWS VPNを利用するのは手間である。
そこで例外的に、VPCと、VPC非対応のサービスの通信においては、
AWS PrivateLinkというサービスを利用することができる。
◎AWS PrivateLinkとVPCエンドポイント
AWS PrivateLinkは、名前の通りプライベートな通信線である。
AWS PrivateLinkを用いることで、VPCと、AWS内のVPC非対応サービス間での通信を実現できる。
AWS PrivateLinkのサービスを利用するためには、「VPC エンドポイント」というコンポーネントを、VPC内に設置する必要がある。
VPCエンドポイントはプライベートIPアドレスを持ち、VPCと、VPC非対応のAWSサービスとを中継してくれる。
※図はAWS公式ドキュメントより引用
VPCエンドポイントの使用料は以下課金額の合算となる。
・設置時間に応じて課金(リージョンによって時間単位の課金額が異なる)
・月毎の処理データ量に応じて課金
7.トランジットゲートウェイ
トランジットゲートウェイは、VPCやオンプレミスネットワークを1つに取りまとめ、たがいに接続する接続点を提供するサービスである。
本記事で紹介してきた様々なゲートウェイやネットワークサービスについて、
数が多くなってくると、個々に作成して管理するのは非常に煩雑である。
トランジットゲートウェイを用いれば、複数のネットワークを統合的に管理できるようになる。
トランジットゲートウェイの使用料は以下課金額の合算となる。
・時間毎の接続数に応じて課金
・通信データ量に応じて課金
参考文献
本記事は、前回記事に引き続き、以下の2冊と、AWS公式ドキュメントを参考にしています。
どちらも基本を学ぶ上でお勧めなので、これからAWSを学ぼうという方はぜひ!(*^^*)
①図解即戦力 Amazon Web Servicesのしくみと技術がこれ1冊でしっかりわかる教科書
(小笠原種高著/技術評論社出版/2019年)
②AWSの基本・仕組み・重要用語が全部わかる教科書 (見るだけ図解)
(川畑光平、菊地貴彰、真中俊輝著/SB Creative出版/2022年)
今回は以上!
次回はAmazon VPCシリーズ最終として、ACLやセキュリティまわりについて書く予定です。