AWSネットワーキングの中核 VPC
AWSネットワーキングの中核となるのは Amazon VPC (Virtual Private Cloud) です。これはAWSアカウント内に構築される論理的に分離された仮想ネットワークであり、オンプレミスでのネットワーク構築と比較して、物理機器の調達や配線が不要で、コストや手間を大幅に削減できる点が特徴です。
VPCの基本については、以下の記事に記載しています。
VPC間の接続・外部接続パターン
複数のVPCやオンプレミス環境を接続するために、要件(コスト、規模、IP重複の有無など)に応じて以下のサービスを選択します。
| 接続方式 | 特徴とメリット | 注意点・制約 |
| VPCピアリング | 2つのVPCを直接接続する方法。ゲートウェイを介さず、帯域幅のボトルネックや単一障害点がないため高品質な通信が可能。コストが最も低い。 | IPアドレス範囲(CIDR)が重複していると接続不可。また、推移的な接続(A-B間、B-C間がつながっていてもA-C間はつながらない)はできない。 |
| AWS Transit Gateway | ハブ&スポーク型の接続。数千のVPCやオンプレミスを一元的に接続・管理できる。3つ以上のネットワークを接続する場合に推奨される。 | ピアリングよりもコストが高くなる傾向がある(アタッチメント料金+データ処理料)。 |
| AWS PrivateLink | インターネットを経由せず、AWSネットワーク内で特定のサービス間を接続する。IPアドレスが重複しているVPC間でも通信が可能。 | 片方向通信が基本であり、双方向にするには構成が複雑でコストが増大する。 |
| VPN接続 | インターネット上の暗号化トンネル(IPsecなど)を通じて、VPCとオンプレミス拠点を接続する(Site-to-Site VPN)。 | インターネットを経由するため、専用線(Direct Connect)に比べると品質が不安定になる可能性がある。 |
VPCピアリング
VPCピアリング接続は、2つのVPC(Virtual Private Cloud)間をプライベートネットワークで直接接続し、あたかも同じネットワーク内にあるかのように通信させる機能です。
この機能は、物理的なハードウェアやゲートウェイ・VPNデバイスを介さず、AWSの既存インフラストラクチャを利用して接続を確立するため、「単一障害点(SPOF)がなく、帯域幅のボトルネックが発生しない」という非常に強力な特徴を持っています,。
AWS Transit Gateway
AWS Transit Gatewayは、多数のVPCやオンプレミスネットワークを単一のゲートウェイに接続し、中央集約型(ハブアンドスポーク型)の構成でルーティングを管理するサービスです。
VPCピアリングが1対1の接続であるのに対し、Transit Gatewayは「1対多」あるいは「多対多」の接続を一元管理できる点が最大の特徴です。
ハイブリッドクラウド
AWS PrivateLink
選択
実践例
コスト
コメント