オンプレミスからS3にアクセスするには色々な方法がありますが、今回は 「AWS Site-to-Site VPN」を使い、オンプレミスとAWS間をVPN接続し、オンプレミスからS3にアクセスするパターンをご紹介します。
オンプレミスとAWSの接続方法
専用線、またはVPNを利用した接続は以下の3つがあります。
・ Direct Connect
・ Client VPN
・ Site-to-Site VPN
「Direct Connect」は専用線を利用した接続になるので最もセキュアかつ安定した通信が行えますが、導入は時間がかかり費用も高額になります。
「Client VPN」、「Site-to-Site VPN」はインターネット回線を利用できるので比較的安価に利用出来ますが、通信の安定性では「Direct Connect」よりは劣ります。
今回はオンプレとAWSを常時接続するイメージで「 Site-to-Site VPN」を利用します。
Site-to-Site VPNの概要
・ VPCに関連付けされたトランジットゲートウェイ、または仮想プライベートゲートウェイを経由しVPCとリモートネットワーク間の安全なアクセスを提供するサービス
・ インターネットプロトコルセキュリティ (IPsec) VPN 接続をサポート
・ プロビジョニングされており、利用可能なVPN接続時間ごとに課金。
・ 高速VPN接続オプションもあり、こちらもプロビジョニングしている時間ごとに課金。
・ VPN自体の料金とは別にデータ転送に対しても課金される点に注意
Site-to-Site VPNのユースケース
・ Direct Connectのバックアップ回線
・ 品質よりもコストを優先したい
・ オンプレミスとAWS間の接続を素早く構築したい、簡単に構築したい
・ テスト用接続
システム構成例
代表的なシステム構成例です。
・ On-Premise(データセンター)からVGW、VPCエンドポイントを経由しS3にアクセスします。
・ オンプレミスからAWSサービスの名前解決をするためにRoute53 Resolverを利用します。
Site-to-Site VPN接続環境の構築
必要となる主な作業です。
■オンプレ側
- カスタマーゲートウェイデバイスを準備
- 物理デバイスまたはソフトウェアデバイス
- 実態はRouterです。AWSではカスタマーゲートウェイ(CGW)と表現
- CGWの設定(ルーティング、ASN等)
- ルーティングは動的、静的が可能だが動的(BGP)が推奨
- AWSでSite-to-Site VPN接続を作成後、サンプル設定ファイルをDLする事が可能
- パスMTU検出(Path MTU Discovery)に対応していないため、予めEnd-to-Endでパケットサイズが1399以下となるよう、MTUを設定
- 証明書による認証を選択した場合、固定IPアドレスは不要
■AWS側
- Site-to-Site VPN接続を作成(接続には承認が必要)
- 仮想プライベートゲートウェイ(VGW)、またはトランジットゲートウェイ(TGW)を作成しVPCにアタッチ
- ルートテーブルに Site-to-Site VPN接続へのルートを追加
- ルートテーブルのルート伝播を有効にするとSite-to-Site VPN ルートを自動的に伝播することが可能
- セキュリティグループの設定
- S3のVPCエンドポイントを作成
- Route53 Resolverを作成。インバウンドエンドポイント、アウトバウンドエンドポイントを設定
参考資料
AWS公式のハンズオンです。
AWS Hands-on for Beginners
Network編#2 Amazon VPC間およびAmazon VPCとオンプレミスのプライベートネットワーク接続
以上
