社内やオンプレからAWSにつなぐ(Client VPN、拠点間VPN、Direct Connect)
ビジネスのQCD(Quality、Cost、Delivery)を改善するためにはAWSなどのパブリッククラウドを利活用することが有効です。しかしながら、要件によってはオンプレミスのサーバーも優れていることがあり、いきなりすべてのシステムをAWS等に移行することも難しいのが実情です。
そのような場合、AWSと自社データセンターを合わせて運用するハイブリッドクラウドの構成が採用されます。ハイブリッドクラウドの構成について重要な点は、AWSとデータセンターの接続方法になります。
本記事では、AWSと自社データセンターの接続方法や、それぞれのメリット・デメリットについて解説します。
目次
AWSと自社データセンターの接続方法:VPN
AWSと自社データセンターを接続する最も簡単な方法は、インターネット回線を利用することです。この方法は初期投資や設定がほとんどない一方、データの盗み見や情報の改ざんなどセキュリティ上の懸念がぬぐえません。そこで、インターネット上で仮想的な専用線セキュリティを強化するために採用されているのが「VPN(Virtual Private Network)」という接続方法です。
VPNとは?
VPNとは、通信を暗号化することである拠点と拠点の間やPCから拠点の接続を、あたかも社内LAN内にいるかのように安全に接続することができる技術です。VPNの種類には、大きく分けて以下の2つがあります。
- リモートアクセスVPN:社外からデータセンターなどの拠点に接続するVPNです。社員が自宅や外出先から、安全に社内のネットワークやシステムにアクセスすることができます。リモートワークなど、不特定多数の場所からVPN接続を行いたい場合はこちらを利用するといいでしょう。
- 拠点間VPN:データセンターとデータセンター、オフィスとデータセンターなど、ある拠点と拠点の間を接続するVPNです。拠点間のネットワークを仮想的な専用線で接続する方式です。物理的な回線を敷設するよりも早く導入することができます。
AWSでは、リモートアクセスVPNと拠点間VPNについてそれぞれサービスが提供されています。
AWS Client VPNとは?
Client VPNとは、AWSが提供するリモートアクセスVPNサービスです。AWSのクラウドサービスやオンプレミス環境に安全にアクセスできるようにします。Client VPNは、スマートデバイスやPCなどのクライアント端末にVPNクライアント(VPN接続を実現するためのソフトウェア)をインストールすることで、インターネットを経由してAWSのクラウドサービス、つまりVPC(Virtual Private Cloud)やオンプレミス環境に接続することができます。
メリットとデメリットは?
メリットとしては、様々な接続形態に対応できる形式です。端末や場所を選ばないため、リモートワークやタブレットから仕事をする場合など、様々なワークスタイルに対応できます。一方デメリットとしては、VPNクライアントの設定や操作が、ITリテラシーのあるユーザーに限られる可能性があります。
AWS Client VPNの料金
AWS Client VPNの料金は下記2点の利用量に応じた従量課金制です。
- AWS Client VPNエンドポイントの料金…エンドポイントがVPCに接続する時間に応じて料金が発生します。実際のVPN接続の利用有無にかかわらず発生します。
- 接続時間に応じた料金…実際にユーザーが接続している料金となります。
見積もりの際には、エンドポイントの数や、利用者の利用時間を事前に計算することが必要です。
Site-to-Site VPNとは?
AWS Site to Site VPNはAWSが提供する、拠点間VPNサービスです。オンプレミスや社内データセンターとAWSのVPCを安全に接続できるようにします。AWS側に仮想プライベートゲートウェイ (VPN Gateway)を構築し、オンプレミス側のルーターとの間の通信を暗号化します。VPN Gatewayはフルマネージドサービスとなっており、ユーザー側で数クリックで構築ができるほか、大半の運用保守が不要です。
メリットとデメリットは?
メリットとしては、複数の拠点をAWSのVPCに安全に接続できることです。また、AWS Transit Gatewayというサービスを利用することで、AWSのさまざまなリージョン間で接続を利用できるため、拡張性にも優れています。デメリットとしては、拠点間の通信を暗号化するため、通信速度が遅くなる可能性があります。
AWSネットワークを安心、安全に設計するスタイルズのAWSセキュリティサービスはこちら→
AWS Site-to-Site VPNの料金
Client VPNと同様、こちらも利用量に応じた従量課金となっています。具体的には以下に課金が発生します。
- VPN接続にて転送されるデータ…接続した拠点間を流れるデータ量に応じて課金がされます。
- 接続時間…1時間ごとに料金が加算されます。なお、1時間未満の接続の場合は、1時間とカウントされます。
利用前には接続時間を見積もるといいでしょう。データ量については事前の見積もりは難しいですが、監視などを行うことで日々データ量を可視化し、把握することが重要です。
AWSとオンプレミスの接続方法:AWS Direct Connect
VPNは仮想的に専用線を敷設する方法でしたが、通信事業者が構築した物理的ネットワークを利用する接続方法もあります。物理的にインターネットから分離された回線であるため、不正アクセスなどが非常に困難となっており、安全性が高いのが特徴です。また、VPNと比較してネットワークの帯域がある程度保証される点もメリットがあります。AWSではDirect Connectというサービスが提供されています。
メリットとデメリットは?
メリットとしては、セキュリティ面と接続品質面があげられます。インターネットを経由しないため、安全で高速で安定した接続を実現できる点が特徴的です。AWSのクラウドサービスとオンプレミス環境のデータをリアルタイムに同期する場合や、大量のデータをやり取りする場合はDirectConnectを選択するといいでしょう。
デメリットとしては、専用の通信業者による設定が必要となるため、導入に向けて時間がかかることがあげられます。具体的な手順については下記の通りです。
- ユーザー側で、AWS Direct Connectパートナーへ専用線接続の申し込みを行う
- AWS Direct Connectパートナーから、専用線を敷設が完了した旨連絡を受ける
- ユーザー側でAWS Direct Connectの接続設定を行う
接続から利用開始に向けてはおおむね2週間~1か月かかると考えていいでしょう。そのため、ただちに安全な接続を利用したい場合はVPN関連のサービスを選択する必要があります。
AWS Direct Connectの料金
AWS Direct Connectにおいては、初期費用が掛かるケースがあります。DirectConnectはAWSが指定する業者(パートナー)を利用して敷設する必要がありますが、パートナーとサービス内容によっては工事費用などの初期費用が必要になるケースが存在します。また、パートナーのネットワークから社内LANへの専用線についても。別途料金が必要です。
次に、ランニング費用についてです。こちらについては利用量に応じた従量課金となっており、以下に応じて課金が発生します。
- データ転送料金…AWSから外部へ送信されるデータ量に応じて料金が発生します。
- ポート時間料金…DirectConnectを利用するためには、接続のための「ポート」が必要になります。このポート利用時間に応じて課金が発生します。課金量についてはパートナーとサービス内容によってそれぞれ異なるため、利用開始前に確認が必要です。
AWSネットワークを安心、安全に設計するスタイルズのAWSセキュリティサービスはこちら→
まとめ
AWSにセキュアに接続するためにはVPNと専用線を利用する方法がありますが、それぞれにはコストやスピード面で大きな違いが生じます。業務の適正に応じて適切な方法を選択するようにしてください。また、利用前に詳細な料金を見積もるには、接続スタイルや要件によって複雑な計算が必要になります。導入に向けては専用のベンダーに相談し、着実に導入することがおすすめです。