翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# AWS Site-to-Site VPNを使用したプライベート IP Direct Connect
プライベート IP VPN を使用すると、IPsec VPN を にデプロイしてDirect Connect、パブリック IP アドレスや追加のサードパーティー VPN 機器を使用せずにAWS、オンプレミスネットワークと 間のトラフィックを暗号化できます。
を介したプライベート IP VPN の主なユースケースの 1 Direct Connectつは、金融、医療、連邦業界のお客様が規制とコンプライアンスの目標を達成できるように支援することです。経由のプライベート IP VPN は、AWSとオンプレミスネットワーク間のトラフィックが安全でプライベートDirect Connectであることを保証し、お客様が規制とセキュリティの義務に準拠できるようにします。
## プライベート IP VPN の利点
+ **ネットワーク管理と運用の簡素化:** プライベート IP VPN を使用しない場合、お客様はサードパーティーの VPN とルーターをデプロイしてDirect Connect、ネットワーク経由でプライベート VPNsを実装する必要があります。プライベート IP VPN 機能を使用すると、お客様は独自の VPN インフラストラクチャをデプロイして管理する必要はありません。これにより、ネットワークオペレーションが簡素化され、コストが削減されます。
+ **セキュリティ体制の改善:** 以前は、トラフィックの暗号化にパブリックDirect Connect仮想インターフェイス (VIF) を使用する必要がありましたがDirect Connect、VPN エンドポイントにはパブリック IP アドレスが必要です。パブリック IP を使用すると、外部 (DOS) 攻撃の可能性が高まり、その結果、お客様はネットワーク保護のために追加のセキュリティギアをデプロイする必要があります。また、パブリック VIF は、すべてのAWSパブリックサービスとお客様のオンプレミスネットワーク間のアクセスを開き、リスクの重大度を高めます。プライベート IP VPN 機能を使用すると、(パブリック VIFs ではなく)Direct Connectトランジット VIFs での暗号化と、プライベート IPs の設定が可能になります。これにより、暗号化に加えてエンドツーエンドのプライベート接続が提供され、全体的なセキュリティ体制が強化されます。
+ **ルートスケールの向上:** プライベート IP VPN 接続は、現在 200 のアウトバウンドルートと 100 のインバウンドルートの制限があるDirect Connect単独と比べて、より高いルート制限 (5000 のアウトバウンドルートと 1000 のインバウンドルート) を提供します。
## プライベート IP VPN の仕組み
プライベート IP Site-to-Site VPN は、Direct Connectトランジット仮想インターフェイス (VIF) で動作します。Direct Connectゲートウェイとトランジットゲートウェイを使用して、オンプレミスネットワークとAWS VPC を相互接続します。プライベート IP VPN 接続には、AWS側のトランジットゲートウェイとオンプレミス側のカスタマーゲートウェイデバイスに終了ポイントがあります。プライベート IP アドレスは、IPsec トンネルの Transit Gateway とカスタマーゲートウェイデバイスの両端に割り当てることができます。プライベート IP アドレスは、RFC1918 または RFC6598 のプライベート IPv4 アドレス範囲から使用できます。
トランジットゲートウェイにプライベート IP VPN 接続をアタッチします。そして、VPN アタッチメントと、トランジットゲートウェイにアタッチされている VPC (または他のネットワーク) の間でトラフィックをルーティングします。これを行うには、ルートテーブルを VPN アタッチメントに関連付けます。逆方向では、VPC に関連付けられているルートテーブルを使用して、VPC からプライベート IP VPN アタッチメントにトラフィックをルーティングできます。
VPN アタッチメントに関連付けられているルートテーブルは、基盤となるDirect Connectアタッチメントに関連付けられているルートテーブルと同じでも異なってもかまいません。これにより、VPC とオンプレミスのネットワーク間で、暗号化されたトラフィックと暗号化されていないトラフィックの両方を同時にルーティングできます。
VPN を離れるトラフィックパスの詳細については、「*Direct Connectユーザーガイド*」の「[プライベート仮想インターフェイスとトランジット仮想インターフェイスのルーティングポリシー](https://docs.aws.amazon.com/directconnect/latest/UserGuide/routing-and-bgp.html#private-routing-policies)」を参照してください。
## 前提条件
次の表は、Direct Connect でプライベート IP VPN を作成する前の前提条件を示しています。
| Item | Steps | 情報 |
| --- | --- | --- |
| Site-to-Site VPN の Transit Gateway を準備します。 | Amazon Virtual Private Cloud(VPC) コンソールを使用するか、コマンドラインまたは API を使用してトランジットゲートウェイを作成します。 「*Amazon VPC Transit Gateways ガイド*」の「[Transit Gateways](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-transit-gateways.html)」を参照してください。 | トランジットゲートウェイは、VPC とオンプレミスネットワークを相互接続するために使用できるネットワークの中継ハブです。プライベート IP VPN 接続には、新しいトランジットゲートウェイを作成するか、既存のトランジットゲートウェイを使用できます。トランジットゲートウェイを作成するとき、または既存のトランジットゲートウェイを変更する場合は、接続のためのプライベート IP CIDR ブロックを指定します。 プライベート IP VPN に関連付けるトランジットゲートウェイ CIDR ブロックを指定する場合は、CIDR ブロックがトランジットゲートウェイ上の他のネットワークアタッチメントの IP アドレスと重複しないようにしてください。IP CIDR ブロックが重複している場合は、カスタマーゲートウェイデバイスで設定上の問題が発生する可能性があります。 |
| Site-to-Site VPN のDirect Connectゲートウェイを作成します。 | Direct Connect コンソールを使用するか、コマンドラインまたは API を使用して Direct Connect ゲートウェイを作成します。 *Direct Connect*「 ユーザーガイド」の[AWS「Direct Connect ゲートウェイの作成](https://docs.aws.amazon.com/directconnect/latest/UserGuide/create-direct-connect-gateway.html)」を参照してください。 | Direct Connect ゲートウェイを使用すると、複数のAWSリージョンに仮想インターフェイス (VIFs) を接続できます。このゲートウェイは VIF への接続に使用されます。 |
| Site-to-Site VPN の Transit Gateway の関連付けを作成します。 | Direct Connect コンソールを使用するか、コマンドラインまたは API を使用して、Direct Connect ゲートウェイと Transit Gateway 間の関連付けを作成します。 *Direct Connect*[「 ユーザーガイド」の「トランジットゲートウェイDirect Connectとの関連付けまたは関連付け解除](https://docs.aws.amazon.com/directconnect/latest/UserGuide/associate-tgw-with-direct-connect-gateway.html)」を参照してください。 | Direct Connectゲートウェイを作成したら、ゲートウェイのトランジットDirect Connectゲートウェイの関連付けを作成します。許可されたプレフィックスリストで以前に識別されたトランジットゲートウェイのプライベート IP CIDR を指定します。 |
**Topics**
+ [プライベート IP VPN の利点](#private-ip-dx-features)
+ [プライベート IP VPN の仕組み](#private-ip-dx-how)
+ [前提条件](#private-ip-dx-prereqs)
+ [Direct Connect でプライベート IP VPN を作成する](private-ip-dx-steps.md)
# AWS Site-to-Site VPN 経由でプライベート IP を作成する Direct Connect
を使用してプライベート IP VPN を作成するには、 Direct Connect 次の手順に従います。Direct Connect でプライベート IP VPN を作成する前に、Transit Gateway と Direct Connect ゲートウェイを最初に作成しておく必要があります。2 つのゲートウェイを作成したら、2 つのゲートウェイの関連付けを作成する必要があります。次の表にこれらの前提条件の説明を示します。2 つのゲートウェイを作成して関連付けたら、その関連付けを使用して VPN カスタマーゲートウェイと接続を作成します。
## 前提条件
次の表は、Direct Connect でプライベート IP VPN を作成する前の前提条件を示しています。
| Item | Steps | 情報 |
| --- | --- | --- |
| Site-to-Site VPN の Transit Gateway を準備します。 | Amazon Virtual Private Cloud (VPC) コンソールを使用するか、コマンドラインまたは API を使用してトランジットゲートウェイを作成します。 「*Amazon VPC Transit Gateways ガイド*」の「[Transit Gateways](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-transit-gateways.html)」を参照してください。 | トランジットゲートウェイは、VPC とオンプレミスネットワークを相互接続するために使用できるネットワークの中継ハブです。プライベート IP VPN 接続には、新しいトランジットゲートウェイを作成するか、既存のトランジットゲートウェイを使用できます。トランジットゲートウェイを作成するとき、または既存のトランジットゲートウェイを変更する場合は、接続のためのプライベート IP CIDR ブロックを指定します。 プライベート IP VPN に関連付けるトランジットゲートウェイ CIDR ブロックを指定する場合は、CIDR ブロックがトランジットゲートウェイ上の他のネットワークアタッチメントの IP アドレスと重複しないようにしてください。IP CIDR ブロックが重複している場合は、カスタマーゲートウェイデバイスで設定上の問題が発生する可能性があります。 |
| Site-to-Site VPN の Direct Connect ゲートウェイを作成します。 | Direct Connect コンソールを使用するか、コマンドラインまたは API を使用して Direct Connect ゲートウェイを作成します。 *Direct Connect *「 ユーザーガイド」の[AWS 「Direct Connect ゲートウェイの作成](https://docs.aws.amazon.com/directconnect/latest/UserGuide/create-direct-connect-gateway.html)」を参照してください。 | Direct Connect ゲートウェイを使用すると、複数の AWS リージョンに仮想インターフェイス (VIFs) を接続できます。このゲートウェイは VIF への接続に使用されます。 |
| Site-to-Site VPN の Transit Gateway の関連付けを作成します。 | Direct Connect コンソールを使用するか、コマンドラインまたは API を使用して、Direct Connect ゲートウェイと Transit Gateway 間の関連付けを作成します。 *Direct Connect *[「 ユーザーガイド」の「トランジットゲートウェイ Direct Connect との関連付けまたは関連付け解除](https://docs.aws.amazon.com/directconnect/latest/UserGuide/associate-tgw-with-direct-connect-gateway.html)」を参照してください。 | Direct Connect ゲートウェイを作成したら、ゲートウェイのトランジット Direct Connect ゲートウェイの関連付けを作成します。許可されたプレフィックスリストで以前に識別されたトランジットゲートウェイのプライベート IP CIDR を指定します。 |
## Site-to-Site VPN のカスタマーゲートウェイと接続を作成する
カスタマーゲートウェイは、作成するリソースです AWS。オンプレミスネットワーク内のカスタマーゲートウェイデバイスを表します。カスタマーゲートウェイを作成するときは、デバイスに関する情報を に提供します AWS。詳細については、[カスタマーゲートウェイ](how_it_works.md#CustomerGateway)を参照してください。
**コンソールを使用してカスタマーゲートウェイを作成するには**
1. Amazon VPC コンソールの [https://console.aws.amazon.com/vpc/](https://console.aws.amazon.com/vpc/) を開いてください。
1. ナビゲーションペインで、**[カスタマーゲートウェイ]** を選択します。
1. **[カスタマーゲートウェイの作成]**] を選択します。
1. (オプション) [**名前**] には、カスタマーゲートウェイの名前を入力します。これにより、`Name` というキーと指定した値を含むタグが作成されます。
1. [**BGP ASN**] に、カスタマーゲートウェイのボーダーゲートウェイプロトコル (BGP) 自律システム番号 (ASN) を入力します。
1. **IP アドレス**で、カスタマーゲートウェイデバイスのプライベート IP アドレスを入力します。
**重要**
AWS プライベート IP を設定するときは AWS Site-to-Site VPN、RFC 1918 アドレスを使用して独自のトンネルエンドポイント IP アドレスを指定する必要があります。カスタマーゲートウェイルーターと Direct Connect エンドポイント間の eBGP ピアリングにpoint-to-point IP アドレスを使用しないでください。 AWS では、point-to-point接続の代わりに、カスタマーゲートウェイルーターのループバックまたは LAN インターフェイスをソースまたは宛先アドレスとして使用することをお勧めします。
RFC 1918 の詳細については、「[プライベートインターネットのアドレス割り当て](https://datatracker.ietf.org/doc/html/rfc1918)」を参照してください。
1. (オプション) [**デバイス**] に、このカスタマーゲートウェイをホストするデバイスの名前を入力します。
1. **[カスタマーゲートウェイの作成]**] を選択します。
1. ナビゲーションペインで、**[Site-to-Site VPN 接続]** を選択します。
1. [**Create VPN connection**] (VPN 接続の作成) を選択します。
1. (オプション) [**名前タグ**] には、Site-to-Site VPN 接続の名前を入力します。これにより、`Name` というキーと指定した値を含むタグが作成されます。
1. **[Target gateway type]** (ターゲットゲートウェイタイプ) で、**[Transit gateway]** (転送ゲートウェイ) を選択します。次に、以前に特定したトランジットゲートウェイを選択します。
1. **[Customer gateway]** (カスタマーゲートウェイ) で、**[Existing]** (既存) を選択します。次に、前の手順で作成したカスタマーゲートウェイを選択します。
1. カスタマーゲートウェイデバイスがボーダーゲートウェイプロトコル (BGP) をサポートしているかどうかに基づいて、ルーティングオプションのいずれかを選択します。
+ カスタマーゲートウェイデバイスが BGP をサポートしている場合は、[**動的 (BGP が必要)**] を選択します。
+ カスタマーゲートウェイデバイスが BGP をサポートしていない場合は、[**静的**] を選択します。
1. **[トンネル内部 IP バージョン]** で、VPN トンネルが IPv4 トラフィックをサポートするか、IPv6 トラフィックをサポートするかを指定します。
1. (オプション) IP **バージョン内でトンネルに IPv****IPv4** を指定した場合、オプションで、VPN トンネルを介した通信が許可されているカスタマーゲートウェイと AWS サイドの IPv4 CIDR 範囲を指定できます。デフォルトは `0.0.0.0/0` です。
IP バージョン内でトンネルに **IPv6** を指定した場合、オプションで、VPN トンネルを介した通信が許可されているカスタマーゲートウェイと AWS サイドの IPv6 CIDR 範囲を指定できます。 ****両方の範囲のデフォルトは `::/0` です。
1. **[外部 IP アドレスのタイプ]** で、**[PrivateIpv4]** を選択します。
1. **トランスポートアタッチメント ID** で、適切なゲートウェイのトランジット Direct Connect ゲートウェイアタッチメントを選択します。
1. **[VPN 接続の作成]** を選択します。
**注記**
**[Enable acceleration]** (アクセラレーションを有効にする) オプションは、 Direct Connect経由の VPN 接続には適用されません。
**コマンドラインまたは API を使用してカスタマーゲートウェイを作成するには**
+ [CreateCustomerGateway](https://docs.aws.amazon.com/AWSEC2/latest/APIReference/API_CreateCustomerGateway.html) (Amazon EC2 Query API)
+ [create-customer-gateway](https://docs.aws.amazon.com/cli/latest/reference/ec2/create-customer-gateway.html) (AWS CLI)