SJ blog
architecture
A

信頼度ランク

S 公式ソース確認済み
A 成功実績多数・失敗例少数
B 賛否両論
C 動作未確認・セキュリティリスク高
Z 個人所感

Site-to-Site VPN vs Direct Connect — 可用性・速度・コスト・セキュリティ比較

オンプレミスとAWSを接続するSite-to-Site VPNとDirect Connectの詳細比較、Direct Connect Gateway、Transit VIF、VPN + DXの冗長構成、帯域幅オプションを解説。

#AWS #VPN #DirectConnect #ハイブリッド #SAA

一言結論

コストと即時性ならVPN、安定した低レイテンシと高帯域が求められる本番ワークロードにはDirect Connectが適しており、障害対策としてVPN+DXの冗長構成が最も信頼性の高いハイブリッド接続パターンだ。

2つの接続オプションの基本

オンプレミスとAWS VPCを接続する主要な方法として、Site-to-Site VPNとAWS Direct Connectがある。

特徴Site-to-Site VPNDirect Connect
接続形態インターネット経由の暗号化トンネル専用物理回線
セットアップ時間数時間数週間〜数ヶ月
帯域幅最大1.25Gbps(BGPあたり)1Gbps/10Gbps/100Gbps
レイテンシ変動あり(インターネット経由)低く安定
暗号化AES-256(デフォルト)なし(別途設定が必要)
SLAなし99.9%/99.99%(接続タイプによる)
コスト安価($0.05/時間)高価(ポート料金+データ転送)

Site-to-Site VPNの仕組み

オンプレミス → インターネット → AWS VPN endpoint(Virtual Private Gateway)

VPNトンネル: IPsec を使った暗号化
BGP または 静的ルーティング で経路交換

特徴:
- 2本のIPsecトンネル(冗長性のため)
- 各トンネルは1.25Gbpsが上限
- カスタマーゲートウェイ(CGW)側の設定が必要
# Virtual Private Gateway の作成
aws ec2 create-vpn-gateway \
  --type ipsec.1 \
  --amazon-side-asn 64512

# Customer Gateway の作成(オンプレのVPN機器情報)
aws ec2 create-customer-gateway \
  --type ipsec.1 \
  --public-ip 203.0.113.12 \
  --bgp-asn 65000

# VPN接続の作成
aws ec2 create-vpn-connection \
  --type ipsec.1 \
  --customer-gateway-id cgw-xxx \
  --vpn-gateway-id vgw-xxx \
  --options '{"StaticRoutesOnly": false}'

VPN CloudHub(複数拠点接続)

複数のオフィスをAWSを中継して接続するパターン。

東京オフィス ─┐
大阪オフィス ─┤→ Virtual Private Gateway → VPC(トランジットとして機能)
福岡オフィス ─┘

VPN CloudHubを使うと、オフィス間の通信もAWSのVGWを経由できる。

Direct Connectの仕組み

オンプレミス → DXロケーション(専用線設備) → AWS

                AWS Direct Connect ロケーション
                (特定のデータセンター)

DirectConnect接続タイプ:

  • Dedicated Connection: 1/10/100Gbpsの専用ポート
  • Hosted Connection: DXパートナー経由、50Mbps〜10Gbps

Virtual Interface (VIF)の種類

Private VIF:  VPCへの接続(プライベートIPアドレス使用)
Public VIF:   AWSパブリックサービス(S3, DynamoDB等)への接続
Transit VIF:  Transit Gatewayへの接続(複数VPCへの集中管理)

Direct Connect Gateway

Direct Connect Gatewayを使うと、1本のDX接続から複数リージョンのVPCに接続できる。

オンプレミス → Direct Connect → DX Gateway → VPC (東京)
                                            → VPC (大阪)
                                            → VPC (シンガポール)

ただし、DX Gateway経由でVPC同士が通信することはできない(Direct Connect Gatewayは中継点ではない)。

暗号化の追加

Direct Connect自体は暗号化されない。機密データを扱う場合は追加の暗号化が必要だ。

方法1: DX上でVPNトンネルを張る(DX + IPsec VPN)
       → MACsec(Layer2暗号化)も利用可能

方法2: アプリケーションレイヤーでTLS

MACsec(AWS Managed Key):
  Dedicated Connectionのみ対応
  Layer2暗号化で帯域への影響が少ない

冗長構成のパターン

パターン1: デュアルDX(高可用性)

オンプレミス → DX ロケーション1 → AWS
           → DX ロケーション2 → AWS(別の物理パス)

パターン2: DX + VPN(コスト効率と冗長性)

通常時: Direct Connect(高速・低レイテンシ)
DX障害時: Site-to-Site VPN(フォールバック)

BGPメトリクス(AS-PATH prepending等)でDXを優先経路にする設定が必要。

コスト比較

Site-to-Site VPN(東京):
  VPN接続料金: $0.05/時間 ≈ $36.5/月
  データ転送: $0.114/GB(最初の10TB)

Direct Connect(東京, 1Gbps専用):
  ポート料金: $0.30/時間 ≈ $219/月
  データ転送: $0.02/GB(オンプレ→AWS)
             $0.08/GB(AWS→オンプレ)

試験頻出ポイント

シナリオ回答
大量データの転送、低コストDirect Connect(転送料金がVPNより安い)
急ぎで接続(数時間以内)Site-to-Site VPN
DXが落ちた時のフォールバックVPNを追加してBGPで優先度設定
複数リージョンのVPCにDXから接続Direct Connect Gateway
Direct Connectの暗号化MACsec または DX上のIPsec VPN
VPN帯域幅の最大化ECMP(Equal Cost Multi Path)でVPN接続を並列化

まとめ

VPNは素早く安価に接続でき、DXは大帯域・低レイテンシ・安定した接続を提供する。本番環境では「DX(メイン)+VPN(バックアップ)」の冗長構成が推奨される。DX自体は非暗号化のため、規制要件がある場合はMACsecまたはDX上のVPNで暗号化する。