awsのvpn gatewayとは？基本構成と役割をわかりやすく解説

はじめに

本資料の目的

本資料はAWSのVPN Gatewayについて分かりやすく解説することを目的としています。難しい技術用語は最小限にし、実際の利用シーンを交えて説明します。

VPN Gatewayとは

VPN Gatewayは、クラウド上のVPCと会社のネットワーク（オンプレミス）など外部ネットワークを安全に接続するためのゲートウェイ機能です。IPsecという暗号化技術で通信を保護し、主にSite-to-Site VPNで利用します。

どんなときに使うか

例えば、社内のデータセンターとAWSのリソースを常時つなぎたいときに使います。支店やリモート拠点とVPCをつなぐ場合や、災害対策として別拠点へ通信路を確保するときにも有効です。

おもな構成要素（概略）

• VPC側の終端：仮想プライベートゲートウェイ（Virtual Private Gateway）やトランジットゲートウェイ（Transit Gateway）が代表例です。
• オンプレ側の終端：ルーターやファイアウォールが対応します。

以降の章で用語や役割、具体的な用途、基本構成イメージ、関連サービスとの違いを順に説明します。

用語と役割

はじめに

AWSの「VPN Gateway」は、VPC側に置く通信の出入り口を指します。主にVirtual Private Gateway（VGW）とTransit Gateway（TGW）があります。

主な用語

• Virtual Private Gateway（VGW）: 単一のVPCに対して作るVPNの終端です。オンプレ側とIPsecトンネルを張り、VPCのプライベートIP同士を接続します。
• Transit Gateway（TGW）: 複数のVPCやオンプレ拠点をまとめるハブです。多拠点接続やルーティング集約に向きます。
• カスタマーゲートウェイ（CGW）: オンプレ側のルーターやファイアウォールを指します。IPsecでVGW/TGWと接続します。
• IPsecトンネル: 通信を暗号化して安全に運ぶための経路です。通常、冗長で2本張ります。
• ルートテーブル: 送る先を決める設定です。VPC側とTGW側の両方で経路を設定します。

役割と動き方（具体例付き）

• サイト間接続: オンプレ拠点A（192.168.10.0/24）とVPC（10.0.1.0/24）をVGWで接続します。ルートを設定すると、互いに通信できます。
• ハブ＆スポーク: 複数VPCと複数拠点をTGWで集約し、中央でルーティング管理します。拠点追加が楽になります。
• 冗長化と可用性: 通常は2本のIPsecを張り、片方障害でも接続を維持します。
• セキュリティと認証: トンネルは暗号化と事前共有鍵や証明書で保護します。

具体例を交えて役割を理解すると、設計や運用が分かりやすくなります。

主な用途

概要

VPN Gatewayは、拠点間で安全にネットワークをつなぐための終端装置として使います。オンプレミスのデータセンターや支社ネットワークとクラウドのVPCをトンネルで結び、社内システムやデータのやり取りを保護します。クラウド間の接続（たとえばAzureや他クラウドとAWSを結ぶ）でも終端として利用します。

具体的な利用例

• データセンターとVPCの接続
• 本番DBをオンプレに残したまま、アプリをVPC側で動かす場合に使います。トラフィックを暗号化して安全に同期できます。
• 支社や拠点の接続
• 支社ごとのネットワークをVPCに接続して、社内サービスを一元化します。拠点が増えても個別に安全に接続できます。
• クラウド間接続
• Azureや他のクラウドと安全にデータ連携する際に、AWS側の終端としてVPN Gatewayを立てます。短期的な接続や検証環境で便利です。

運用で気を付ける点

• 冗長化とフェイルオーバーを設定して、接続断を防ぎます。
• 暗号化や認証方式を確認して、通信の安全性を担保します。
• 必要に応じてルートの自動交換（例: BGP）を使うと運用が楽になります。

基本の構成イメージ

概要

VPCに仮想プライベートゲートウェイ（VGW）またはTransit Gateway（TGW）を接続し、オンプレ側ルーターをカスタマーゲートウェイとして登録します。VPCとオンプレの間にIPsecトンネルを2本作り、ルートテーブルで経路を振り分けて冗長化します。

構成図（イメージ）

• VPC（例: 10.0.0.0/16）
• VGW/TGW（クラウド側の接続ポイント）
• カスタマーゲートウェイ（オンプレの外向きIPを登録）
• VPN接続 x2（IPsecのトンネルA、トンネルB）
• オンプレネットワーク（例: 192.168.0.0/16）

各要素の役割

• VGW/TGW: クラウド側でトンネルを受ける装置です。
• カスタマーゲートウェイ: オンプレ側ルーター情報をクラウドに教えるための設定です。
• VPNトンネル: 暗号化した通信路で、2本にすることで片方故障時に切り替えます。
• ルートテーブル: VPC内からどの経路でオンプレへ送るか決める場所です。

冗長化のポイント

• トンネルは別経路・別機器で用意すると可用性が上がります。
• ルーティングは静的経路かBGPで自動切替を選べます（例: BGPなら経路障害時の復旧が早い）。

設定の流れ（簡単）

1. VGW/TGWをVPCにアタッチ
2. カスタマーゲートウェイを登録
3. VPN接続を2本作成（それぞれ設定情報を取得）
4. オンプレ側ルーターにトンネル設定を反映
5. VPCのルートテーブルへオンプレ宛の経路を追加
6. 動作確認（疎通・冗長切替の検証）

注意点

• PSKやIKEの設定値、MTUやNATの挙動を合わせること。
• 監視とログを用意し、フェイルオーバー時の挙動を確認してください。

関連サービスとの違い（ざっくり）

以下では、AWS Site-to-Site VPN（拠点間VPN）とAWS Client VPN（クライアントVPN）の違いをわかりやすく説明します。

終端と接続対象

• Site-to-Site VPN: 拠点ネットワーク同士を接続します。VPC側の終端は仮想プライベートゲートウェイやTransit Gatewayです。ルーターやファイアウォールと組み合わせて拠点間を常時接続します。
• Client VPN: 個々の端末（リモートユーザー）が接続します。VPC側の終端はClient VPNエンドポイントで、ユーザーごとにセッションを張ります。

主な用途（具体例）

• Site-to-Site: 本社と支社、データセンターとVPCを常に接続しておく用途に向きます。例えば、拠点間でファイル共有や社内システムを常時利用するケースです。
• Client VPN: 出張先や在宅ワークの個人が社内リソースに安全にアクセスする用途に適します。ノートPCから社内の管理画面にログインする場面が該当します。

認証・管理の違い

• Site-to-Site: 通常は機器同士の事前共有キーやルーター設定で認証します。接続は恒久的で、運用はネットワーク管理者が中心です。
• Client VPN: ユーザー認証（証明書・Active Directory連携など）を使います。ユーザーごとのアクセス制御やログ管理がしやすいです。

運用面の違い

• スケール: Site-to-Siteは拠点数に応じて設定を増やします。Client VPNは同時接続ユーザー数で考えます。
• 接続の性質: Site-to-Siteは常時接続を前提に安定性を重視します。Client VPNはオンデマンドでの接続・切断が基本です。

用途と運用の前提が違うため、導入時は接続対象（拠点か個人か）と運用のしやすさで選ぶとよいです。