VPN(Virtual Private Network)とは、仮想の専用線を設定することでインターネットを通じてプライベートなネットワークを構築できる技術です。拠点間の安全な接続や、リモート環境からのプライベートな接続に利用されます。
AWS VPNは、データセンターやオフィスにあるネットワークやクライアントデバイスなどをAWS環境のネットワークと接続して安全にネットワークを拡張できるサービスです。ネットワークを保護しながら、柔軟なITリソースの活用をサポートします。その仕組みやメリット、料金などを紹介しましょう。
AWS VPNを知る
前提知識として、AWSアカウントの仮想ネットワークである「Amazon VPC」を紹介し、AWS VPNで提供される2つのサービス「AWSサイト間VPN」と「AWS Client VPN」について説明します。
Amazon EC2のネットワークレイヤー「Amazon VPC」
AWS VPNの説明の前に、前提知識として、AWSアカウント専用の仮想ネットワークである Amazon VPC(Virtual Private Cloud)について説明します。Amazon VPCは、論理的に分離されたネットワークでAWSリソースを動作できるようにするサービスです。
インターネットを通じてアクセス可能なWebサーバーを配備するパブリックサブネットを作成したり、アプリケーションサーバーやデータベースなど、インターネットにアクセスできないプライベートなサブネットを作成できます。Amazon VPCに対してセキュリティの設定を施して、VPC内に展開されたAWSリソースへのアクセスをコントロールするなど、保護することが可能です。
「AWS サイト間 VPN」と「AWS Client VPN」
「AWS サイト間 VPN」は、Amazon VPC または、AWS Transit Gateway(Amazon VPCとオンプレミスネットワークを接続できる、中央ハブとして機能するサービス)と、オンプレミスネットワークなどの間でVPN 接続を作成できるサービスです。社内ネットワークをAWSのクラウド上に拡張するために利用します。
「AWS Client VPN 」は、AWS上に展開されたリソースやオンプレミスネットワークに安全にアクセスできるようにする、クライアント型のマネージドVPNサービスです。リモートワークなどで外部から社内ネットワークやアプリケーションに接続したい場合や、VPN機器の代わりに利用します。一時的なメンバーに対して社内ネットワークへのアクセスを許可するような管理も可能です。
オンプレミス環境など、拠点とAWSをつなぐ「AWS サイト間 VPN」
「AWS サイト間 VPN」は、IPSec(インターネットプロトコルセキュリティ)トンネルを使用して、データセンターやオフィスなどのオンプレミス環境を、Amazon VPCまたはAWS Transit Gatewayを通じてAWSリソースに安全に接続できるマネージドサービスです。仕組みや、使用するメリット、料金体系を紹介しましょう。
「AWS サイト間 VPN」の仕組み
「AWS サイト間 VPN」では、仮想のプライベートゲートウェイを経由して、対応したVPNルーターなどの装置と接続してオンプレミスのネットワークとAmazon VPCと接続します。利用するには、VPNルーターの機種に応じた設定ファイルのダウンロードが必要です。AWSでは、設定ファイルを自動生成するツールも用意しています。
「AWS サイト間 VPN」によって転送されるデータはIPSecトンネル接続によって、機密性を保つことができます。IPSecとは、データストリームのIPパケットを暗号化することで通信を保護する仕組みです。IPSecトンネル接続にはAWS内の複数のアベイラビリティーゾーン(AWSの設備が配備されたデータセンター施設)にまたがる2つのトンネルを利用します。何らかの障害で1つのトンネルがダウンしても継続して利用できるよう冗長化されているのです。
なお、各トンネルは、最大1.25 Gbpsのスループットをサポートしていますが、利用するVPNルーターの性能やネットワークレイテンシなどの要因によって変化します。VPN接続のパフォーマンスに不安がある場合は、AWSで実行するアプリケーションの監視ができる「Amazon CloudWatch」を利用して、ネットワークの状態を観測できます。
また、AWSが持つネットワークインフラを使ってパフォーマンスを高められる「AWS Global Accelerator」と結合してVPN接続の性能を高めることも可能です。これは、オンプレミス環境から最も近いAWSのエッジロケーションにルーティングすることで、インターネット経由でのルーティング時に発生する接続の中断を避け、より高速な接続を実現するものです。
AWS料金が安くなる|請求代行サービス
AWSリセール(請求代行)サービスを解説!
こんなお悩みや疑問はありませんか?
・AWSコストを削減しなければならない
・AWS請求代行を使いたいけれど複雑でわかりにくい
・どうしてAWSが割引になるのかわからないため不安
「AWS サイト間 VPN」のメリット
「AWS サイト間 VPN」を利用する主なメリットは、安全性を保った社内ネットワークの柔軟性や可用性の向上が挙げられます。社内のファイアウォールの背後に「AWS サイト間 VPN」を使ってAmazon VPCを配備し、アプリケーションをAWS側に移行すれば、アプリケーションが利用するリソースを柔軟に拡張・縮退できるようになり、可用性も高まります。
企業ネットワークと接続されていますので、従来のアクセス方法のまま利用できます。また、各地に点在するリモート拠点のネットワークを接続して、組織全体のネットワークの安全性を高めることもできます。
「AWS サイト間 VPN」の料金
多くのAWSサービスと同様に、「AWS サイト間 VPN」の利用料も従量課金になっていますが、その単位はVPN接続時間で、1時間ごとに料金が加算されます。なお、1時間未満の接続の場合は、1時間とカウントされます。また、接続時間以外にVPN接続にて転送されるデータにもデータ転送料がかかります。高速化オプションを利用する場合もAWS Global Acceleratorの接続時間とデータ転送アウトプレミアム (DT-Premium) 料金がかかります。
以上の「AWS サイト間 VPN」の利用料金に関わる要素と、日本国内の利用で、「AWS サイト間 VPN」を1ヶ月間(30日間)利用し、500GBのデータを送信、1,000GBのデータを受信した場合の料金を見積してみましょう(1ドル113円にて換算)。
(1)「AWS サイト間 VPN」 接続料金
1時間あたり0.048ドル×24時間×30日=34.56ドル(約3,905円)
(2)データ転送(送信)料金
最初の1GBは無料となりますので、送信する500GBのうち499GBに料金がかかります。
0.09ドル×499=44.91ドル(約5,074円)
(3)AWS Global Accelerator 接続料金
1時間あたり0.05ドル×24時間×30日=36ドル(約4,068円)
(4)Accelerated サイト間 VPN DT-Premium 料金
1GBあたり0.015ドル×1000GB=15ドル(約1,695円)
高速化オプションなしの場合=(1)+(2)=約8,980円
高速化オプション利用の場合=(1)+(2)+(3)+(4)=約14,743円
料金をコントロール下げるには、夜間など仕事で利用しない時間帯にはVPN接続を切るなどの運用が必要になります。
テレワークにも対応するフルマネージドのVPN「AWS Client VPN」
リモートワークの促進によって多くの社員が外部から社内ネットワークにアクセスすると、VPNルーターの処理が追いつかず、パフォーマンスが低下してしまうという問題があります。「AWS Client VPN」は、このような課題に対処するために、自動的に拡張・縮退できるフルマネージドのVPNサービスです。仕組みや、使用するメリット、料金体系を紹介しましょう。
「AWS Client VPN」の仕組み・メリット
IT管理者は、AWSマネジメントコンソールなどから「AWS Client VPN」のエンドポイントを作成し、そこに接続するネットワークを関連づけます。そして、ユーザーのアクセスを許可するよう認証ルールを設定し、その設定ファイルをエンドユーザーである従業員や関係者に配布します。エンドユーザーはVPNクライアントをパソコンにインストールして、受け取った設定ファイルをクライアントに適用してVPN接続を確立します。
オンプレミス環境にVPN装置を設置して利用する場合、多くの従業員が社外から社内のネットワークにアクセスする際にパフォーマンスの低下を招くことがあります。「AWS Client VPN」であれば、このようなパフォーマンス低下を気にせずVPN接続が可能になり、VPN装置のファームウェアアップデートなどのメンテナンスのために出社する必要もありません。
また、認証ルールの設定によっては、一時的な従業員や外部委託のメンバーとの契約が切れた際にアクセス権を取り消すなどの設定も可能です。なお、AWSとオンプレミスのプライベートな接続が確立されていれば、「AWS Client VPN」によって、AWSとオンプレミス両方にあるアプリケーションに安全にアクセスできるというメリットもあります。
「AWS Client VPN」の料金
「AWS Client VPN」の料金は、エンドポイントの料金と、クライアントVPN接続の料金が1時間単位で料金が発生します。エンドポイントの時間料金は1時間に満たない場合でも1時間分の料金となり、クライアントVPNは1時間に満たない場合は1時間に対して比例配分されます。日本国内で「AWS Client VPN」のエンドポイントを作成し、1つのネットワークに関連付けし、クライアントVPN 接続を10個作成した場合の1時間あたりの料金は次のとおりです。
(1)AWS Client VPN エンドポイントの時間料金
1時間あたり0.15ドル(約16.95円)
(2)クライアントVPN 接続の時間料金
1時間あたり0.05ドル×10個=0.5ドル(約56.5円)
10のクライアントが1時間接続した場合の料金=(1)+(2)=約73円
クライアントVPNを利用するネットワーク数やクライアント数によって変わりますので、料金を下げるには利用実態を観測する必要があるでしょう。
AWS VPNの導入・構築はご相談ください
オンプレミス環境の場合、ITリソースを拡張する際に必要な機器やソフトウェアの見積や調達のための準備期間が必要ですが、AWSなどのクラウドの場合は、必要なときに自由に拡張・縮退できます。AWSのVPN機能も同様で、「AWS サイト間 VPN」を使えばオンプレミス環境のネットワークとAWS環境を安全に接続しながら社内のITリソースを柔軟に拡張することができます。また、リモートワークの増加でVPNルーターの処理能力が問題となるシーンもありますが、「AWS Client VPN」を使えば需要にあわせた対応が可能となります。
AWSプレミアコンサルティングパートナーのNHN テコラスでは、AWSの活用を支援するさまざまなサービスを提供するブランドC-ChorusからAWSの技術サポートやコンサルティングを行なっています。AWS VPN利用に関する疑問などのご相談も受け付けております。また、C-ChorusはAWSが割引価格で利用できるAWSリセール(請求代行)サービスも用意していますので、これからAWSを推進していきたいとお考えの場合は、ぜひご相談ください。
AWSの運用や監視にお困りな方必見!
こんなことを感じていませんか?
・AWS運用のために社内のリソースが足りずに困っている
・障害発生時の対応に不安がある
・運用だけでなく構成のアドバイスもあると嬉しい