CDP:CloudHubパターン

提供:AWS-CloudDesignPattern
移動: 案内, 検索
寄贈したアーキテクト

VPN拠点の設置

目次

解決したい課題

 複数拠点間でのVPN(仮想プライベートネットワーク)接続をフルメッシュ型で構築すると、拠点が増えるに従い各拠点のVPNルーターへの設定も煩雑になり、メンテナンスコストが増大する。この問題を解決するためにスター型でVPNを構築すると、各拠点のVPNルーターはVPNハブに接続するだけでよくなる。しかしVPNハブに障害が起こると、すべてのVPN接続に影響を与えてしまうので、VPNハブの可用性が重要な課題となる。

クラウドでの解決/パターンの説明

 従来のVPNハブは、可用性を高めるためにVPNに利用する通信機器を冗長構成にするなど、高額な初期投資を必要としてきた。またVPN接続の利用量にかかわらず設備維持の固定費がかかってしまい、コスト効率も悪い。クラウドにはVPN機能を提供するものもあり、VPNハブとして利用することもできる。可用性の高いクラウド基盤を従量課金で利用することになるので、可用性が高くコスト効率もよい複数拠点間のVPN接続を容易に構築することができる。

実装

 VPC(仮想プライベートクラウド)のサービスの中にVPN接続機能を提供している。このVPCをVPNハブとして複数の拠点から接続することで、複数拠点間のVPN接続が実現できる。

  • VPCを構築し、VPNハブとなるVirtual Private Gatewayを設定する。
  • 各拠点用に、Customer Gatewayを設定し、Virtual Private Gatewayと接続するようVPN Connectionを設定する。
  • 各拠点のVPNルーターを設定し、VPNハブに接続する。

構造

6wNg0ISJczU5Pz1m-23B8A.png

利点

  • 各拠点はVPCに対してVPN接続できれば、他の拠点に対する設定なしに通信できる。
  • VPNハブをクラウドという可用性が高く運用効率のよいインフラに乗せることで、VPN全体の信頼性を上げることができる。
  • VPC上に仮想ルーターの一つであるVyatta(EC2)を立ち上げ、そこからHubとなるVGW(Virtual Private Gateway)に接続することで、VPC間をVPN接続することも可能である。[関連ブログ 1]
  • また同一リージョン内のVPC間通信であればVPC Peering機能を使用することで異なるAWSアカウント間においてもVPC間の通信を実施することが可能であり、より低レイテンシ・低コストでのVPC間通信が可能となる。[関連ブログ 2]

注意点

  • VPC以外のどこの拠点と通信するにしても必ずVPCを通過することになり課金されてしまう。
  • VPNゲートウェイに接続しているネットワーク(拠点)はお互いに通信できてしまうので、アクセス制限が必要なら各拠点のVPNルーターで行う必要がある。[関連ブログ 3]

その他

関連ブログ

  1. suz-lab - blog の「"Vyatta on EC2"でCloudHubパターン(CDP)」( http://blog.suz-lab.com/2013/08/vyatta-on-ec2cloudhubcdp.html )
  2. AWS Solutions Architect ブログ の「VPC Peeringの使いどころとTips等々」( http://aws.typepad.com/sajp/2014/04/vpc-peering-tips.html )
  3. suz-lab - blog の「他社のVPCへのVPNアクセスはOpenVPN経由にして自社ネットワークを守る」( http://blog.suz-lab.com/2012/09/vpcopenvpn-vpcopenvpncentos6-mac10.html )
個人用ツール
名前空間
変種
操作
CDPメニュー
ツールボックス