翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# AWS Site-to-Site VPN アーキテクチャシナリオ
<a name="site-site-architectures"></a>

次に、1 つ以上のカスタマーゲートウェイデバイスを使用して複数の VPN 接続を作成するシナリオを示します。

**同じカスタマーゲートウェイデバイスを使用した複数の VPN 接続**  
同じカスタマーゲートウェイデバイスを使用して、オンプレミスの場所から他の VPC に追加の VPN 接続を作成できます。それらの VPN 接続ごとに同じカスタマーゲートウェイ IP アドレスを再利用できます。

**単一の仮想プライベートゲートウェイへの複数のカスタマーゲートウェイデバイス (Site-to-Site VPN CloudHub)**  
複数のカスタマーゲートウェイデバイスから。単一の仮想プライベートゲートウェイに対して、複数の VPN 接続を確立できます。これにより、複数のロケーションを AWS VPN CloudHub に接続できます。詳細については、「[VPN CloudHub を使用した AWS Site-to-Site VPN 接続間の安全な通信](VPN_CloudHub.md)」を参照してください。複数の地理的ロケーションにカスタマーゲートウェイエバイスがある場合、各デバイスは、ロケーションに固有の一意な IP 範囲のセットをアドバタイズする必要があります。

**2 番目のカスタマーゲートウェイデバイスを使用した冗長 VPN 接続**  
カスタマーゲートウェイデバイスが使用できなくなった場合に接続が失われるのを防ぐために、2 番目のカスタマーゲートウェイデバイスを使用して、2 番目の VPN 接続を設定できます。詳細については、「[フェイルオーバー用の冗長 AWS Site-to-Site VPN 接続](vpn-redundant-connection.md)」を参照してください。1 つの場所に冗長なカスタマーゲートウェイデバイスを確立した場合は、両方のデバイスが同じ IP 範囲をアドバタイズする必要があります。

Site-to-Site VPN の一般的なアーキテクチャは以下のとおりです。
+ [単一および複数の VPN 接続](Examples.md)
+ [フェイルオーバー用の冗長 AWS Site-to-Site VPN 接続](vpn-redundant-connection.md)
+ [VPN CloudHub を使用した VPN 接続間の安全な通信](VPN_CloudHub.md)

# AWS Site-to-Site VPN 単一および複数の VPN 接続の例
<a name="Examples"></a>

次の図に単一および複数の Site-to-Site VPN 接続を示します。

**Topics**
+ [単一の Site-to-Site VPN 接続](#SingleVPN)
+ [トランジットゲートウェイを使用した単一の Site-to-Site VPN 接続](#SingleVPN-transit-gateway)
+ [複数の Site-to-Site VPN 接続](#MultipleVPN)
+ [トランジットゲートウェイを使用した複数の Site-to-Site VPN 接続](#MultipleVPN-transit-gateway)
+ [との Site-to-Site VPN 接続Direct Connect](#vpn-direct-connect)
+ [Direct Connect とのプライベート IP Site-to-Site VPN 接続](#private-ip-direct-connect)

## 単一の Site-to-Site VPN 接続
<a name="SingleVPN"></a>

VPC には仮想プライベートゲートウェイが関連付けられていて、オンプレミス (リモート) ネットワークにはカスタマーゲートウェイが使用されています。カスタマーゲートウェイデバイスは、VPN 接続を有効にするように設定する必要があります。VPC ルートテーブルを更新して、VPC からユーザーネットワークに向けてのトラフィックが仮想プライベートゲートウェイに流れるようにします。

![\[オンプレミスネットワークへの仮想プライベートゲートウェイと VPN 接続がアタッチされた VPC。\]](http://docs.aws.amazon.com/ja_jp/vpn/latest/s2svpn/images/vpn-how-it-works-vgw.png)


このシナリオを設定するステップについては、「[の使用を開始する AWS Site-to-Site VPN](SetUpVPNConnections.md)」を参照してください。

## トランジットゲートウェイを使用した単一の Site-to-Site VPN 接続
<a name="SingleVPN-transit-gateway"></a>

VPC にはトランジットゲートウェイがアタッチされていて、オンプレミス (リモート) ネットワークにはカスタマーゲートウェイデバイスが使用されています。カスタマーゲートウェイデバイスは、VPN 接続を有効にするように設定する必要があります。VPC ルートテーブルを更新して、VPC からユーザーネットワークに向けてのトラフィックがトランジットゲートウェイに流れるようにする必要があります。

![\[トランジットゲートウェイを使用した単一の Site-to-Site VPN 接続\]](http://docs.aws.amazon.com/ja_jp/vpn/latest/s2svpn/images/vpn-how-it-works-tgw.png)


このシナリオを設定するステップについては、「[の使用を開始する AWS Site-to-Site VPN](SetUpVPNConnections.md)」を参照してください。

## 複数の Site-to-Site VPN 接続
<a name="MultipleVPN"></a>

VPC には仮想プライベートゲートウェイがアタッチされていて、複数のオンプレミスの場所への複数の Site-to-Site VPN 接続があります。ルーティングを設定して、VPC からユーザーネットワークに向けてのトラフィックが仮想プライベートゲートウェイにルーティングされるようにします。

![\[複数の Site-to-Site VPN レイアウト\]](http://docs.aws.amazon.com/ja_jp/vpn/latest/s2svpn/images/branch-offices-vgw.png)


単一の VPC に対して複数の Site-to-Site VPN 接続を作成する場合、2 番目のカスタマーゲートウェイを設定して、外部にある同一の場所への冗長な接続を作成できます。詳細については、「[フェイルオーバー用の冗長 AWS Site-to-Site VPN 接続](vpn-redundant-connection.md)」を参照してください。

このシナリオを使用して、複数の地理的位置への Site-to-Site VPN 接続を作成し、サイト間の安全な通信を提供することもできます。詳細については、「[VPN CloudHub を使用した AWS Site-to-Site VPN 接続間の安全な通信](VPN_CloudHub.md)」を参照してください。

## トランジットゲートウェイを使用した複数の Site-to-Site VPN 接続
<a name="MultipleVPN-transit-gateway"></a>

VPC にはトランジットゲートウェイがアタッチされていて、複数のオンプレミスの場所への複数の Site-to-Site VPN 接続があります。ルーティングを設定して、VPC からユーザーネットワークに向けてのトラフィックがトランジットゲートウェイにルーティングされるようにします。

![\[トランジットゲートウェイを使用した複数の Site-to-Site VPN 接続\]](http://docs.aws.amazon.com/ja_jp/vpn/latest/s2svpn/images/branch-offices-tgw.png)


1 つのトランジットゲートウェイに対して複数の Site-to-Site VPN 接続を作成する場合、2 番目のカスタマーゲートウェイを設定して、外部にある同一の場所への冗長な接続を作成できます。

このシナリオを使用して、複数の地理的位置への Site-to-Site VPN 接続を作成し、サイト間の安全な通信を提供することもできます。

## との Site-to-Site VPN 接続Direct Connect
<a name="vpn-direct-connect"></a>

VPC には仮想プライベートゲートウェイがアタッチされており、 経由でオンプレミス (リモート) ネットワークに接続しますAWS Direct Connect Direct Connect パブリック仮想インターフェイスを設定して、仮想プライベートゲートウェイを介してネットワークとパブリック AWS リソース間の専用ネットワーク接続を確立できます。VPC からのネットワークへのトラフィックが仮想プライベートゲートウェイと Direct Connect 接続にルーティングされるように、ルーティングを設定します。

![\[との Site-to-Site VPN 接続Direct Connect\]](http://docs.aws.amazon.com/ja_jp/vpn/latest/s2svpn/images/vpn-direct-connect.png)


Direct Connect と VPN 接続の両方が同じ仮想プライベートゲートウェイに設定されている場合、オブジェクトを追加または削除すると、仮想プライベートゲートウェイが「アタッチ中」状態になる場合があります。これは、中断とパケット損失を最小限に抑えるために、Direct Connect と VPN 接続を切り替える内部ルーティングに変更が加えられようとしていることを示しています。これが完了すると、仮想プライベートゲートウェイは「アタッチ済み」状態に戻ります。

## Direct Connect とのプライベート IP Site-to-Site VPN 接続
<a name="private-ip-direct-connect"></a>

プライベート IP Site-to-Site VPN を使用すると、パブリック IP アドレスを使用せずに、オンプレミスネットワークと AWS 間の Direct Connect トラフィックを暗号化できます。Direct Connect 経由のプライベート IP VPN は、AWS とオンプレミスネットワーク間のトラフィックを安全かつプライベートに確保し、お客様は規制およびセキュリティの義務を遵守できます。

![\[Direct Connect とのプライベート IP Site-to-Site VPN 接続\]](http://docs.aws.amazon.com/ja_jp/vpn/latest/s2svpn/images/private-ip-dx.png)


詳細については、ブログ記事「[Introducing AWS Site-to-Site VPN Private IP VPNs](https://aws.amazon.com/blogs/networking-and-content-delivery/introducing-aws-site-to-site-vpn-private-ip-vpns/)」を参照してください。

# VPN CloudHub を使用した AWS Site-to-Site VPN 接続間の安全な通信
<a name="VPN_CloudHub"></a>

複数の AWS Site-to-Site VPN 接続がある場合は、 AWS VPN CloudHub を使用してサイト間の安全な通信を提供できます。これで、サイトは VPC のリソースのみとではなく、相互に通信できます。VPN CloudHub は、VPC の有無にかかわらず使用できるシンプルなハブアンドスポークモデルで動作します。この設計は、複数のブランチオフィスと既存のインターネット接続があり、これらのサイト間でプライマリ接続またはバックアップ接続を実現するために、便利でコストを抑えられる可能性のあるハブアンドスポークモデルを実装したいと考えている場合に適しています。

## 概要:
<a name="vpn-cloudhub-overview"></a>

VPN CloudHub アーキテクチャを次の図に示します。破線は、VPN 接続を介してルーティングされるリモートサイト間のネットワークトラフィックを示しています。サイト間で IP 範囲が重複することは許可されません。

![\[CloudHub のアーキテクチャー図\]](http://docs.aws.amazon.com/ja_jp/vpn/latest/s2svpn/images/AWS_VPN_CloudHub-diagram.png)


このシナリオでは、次の操作を行います。

1. 単一の仮想プライベートゲートウェイを作成します。

1. ゲートウェイのパブリック IP アドレスを持つ複数のカスタマーゲートウェイを作成します。カスタマーゲートウェイの一意のボーダーゲートウェイプロトコル (BGP) 自律システム番号 (ASN) を使用する必要があります。

1. 各カスタマーゲートウェイから一般的な仮想プライベートゲートウェイに動的にルーティングされる Site-to-Site VPN 接続を作成します。

1. 仮想プライベートゲートウェイにサイト固有のプレフィックス (10.0.0.0/24、10.0.1.0/24 など) をアドバタイズするように、カスタマーゲートウェイデバイスを設定します。これらのルーティングアドバタイズメントが受信され、各 BGP ピアに再アドバタイズされることで、サイト間でのデータの送受信か可能になります。これを行うには、Site-to-Site VPN 接続の VPN 設定ファイルでネットワークステートメントを使用します。ネットワークステートメントは、使用するルーターの種類によって少し違いがあります。

1. サブネットルートテーブルのルートを設定して、VPC のインスタンスがサイトと通信できるようにします。詳細については、「[(仮想プライベートゲートウェイ) ルートテーブルでルート伝播を有効にする](SetUpVPNConnections.md#vpn-configure-routing)」を参照してください。ルートテーブルに集約ルート (10.0.0.0/16 など) を設定できます。カスタマーゲートウェイデバイスと仮想プライベートゲートウェイ間により具体的なプレフィックスを使用します。

仮想プライベートゲートウェイ Direct Connect への接続を使用するサイトは、 AWS VPN CloudHub の一部にすることもできます。例えば、ニューヨーク本社で VPC への Direct Connect 接続を確立しながら、ブランチオフィスで VPC への Site-to-Site VPN 接続を使用できます。ロサンゼルスとマイアミのブランチオフィスは、 AWS VPN CloudHub を使用して、相互に、および本社との間でデータを送受信できます。

## 料金
<a name="vpn-cloudhub-pricing"></a>

 AWS VPN CloudHub を使用するには、一般的な Amazon VPC Site-to-Site VPN 接続料金を支払います。各 VPN が仮想プライベートゲートウェイに接続されている間は、1 時間ごとに接続料金が発生します。 AWS VPN CloudHub を使用してあるサイトから別のサイトにデータを送信する場合、サイトから仮想プライベートゲートウェイにデータを送信するコストはかかりません。仮想プライベートゲートウェイからエンドポイントに中継されるデータに対しては、標準の AWS データ転送料金のみがかかります。

たとえば、ロサンゼルスとニューヨークのそれぞれにサイトがあり、両方のサイトに、仮想プライベートゲートウェイへの Site-to-Site VPN 接続が存在する場合は、Site-to-Site VPN 接続ごとに支払いが発生します (0.05 USD/時間の場合、合計 0.10 USD/時間)。また、各 Site-to-Site VPN 接続を通過するロサンゼルスからニューヨーク (およびその逆) に送信するすべてのデータの標準 AWS データ転送料金を支払います。Site-to-Site VPN 接続を介して仮想プライベートゲートウェイに送信されるネットワークトラフィックは無料ですが、Site-to-Site VPN 接続を介して仮想プライベートゲートウェイからエンドポイントに送信されるネットワークトラフィックは、標準の AWS データ転送レートで請求されます。

詳細については、「[Site-to-Site VPN 接続料金](https://aws.amazon.com/vpn/pricing/)」を参照してください。

# フェイルオーバー用の冗長 AWS Site-to-Site VPN 接続
<a name="vpn-redundant-connection"></a>

カスタマーゲートウェイデバイスが使用できなくなった場合に接続が失われるのを防ぐために、2 番目のカスタマーゲートウェイデバイスを追加して、VPC および仮想プライベートゲートウェイへの 2 番目の Site-to-Site VPN 接続を設定できます。冗長な VPN 接続とカスタマーゲートウェイデバイスを使用すれば、1 つのデバイスでメンテナンスを実行しながら、2 番目の VPN 接続を通してトラフィックの送信を継続することができます。

2 つの VPN 接続は、以下の図のようになります。各 VPN 接続には、独自のトンネルと独自のカスタマーゲートウェイがあります。

![\[同じオンプレミスネットワークの 2 つのカスタマーゲートウェイへの冗長な VPN 接続。\]](http://docs.aws.amazon.com/ja_jp/vpn/latest/s2svpn/images/Multiple_Gateways_diagram.png)


このシナリオでは、次の操作を行います。
+ 同じ仮想プライベートゲートウェイを使用し、新しいカスタマーゲートウェイを作成して、2 番目の Site-to-Site VPN 接続をセットアップします。2 番目の Site-to-Site VPN 接続用カスタマーゲートウェイの IP アドレスは、パブリックにアクセス可能である必要があります。
+ 2 つ目のカスタマーゲートウェイデバイスを設定します。どちらのデバイスも、同じ IP 範囲を仮想プライベートゲートウェイにアドバタイズする必要があります。当社は BGP ルーティングを使用してトラフィックのパスを特定しています。1 つのカスタマーゲートウェイデバイスが失敗した場合、仮想プライベートゲートウェイが、すべてのトラフィックを動作中のカスタマーゲートウェイデバイスに送信します。

動的にルーティングされる Site-to-Site VPN 接続では、ボーダーゲートウェイプロトコル (BGP) を使用して、カスタマーゲートウェイと仮想プライベートゲートウェイ間で情報をルーティングします。静的にルーティングされる Site-to-Site VPN 接続では、カスタマーゲートウェイのユーザー側でリモートネットワークの静的ルートを入力する必要があります。BGP でアドバタイズされ、静的に入力されたルート情報によって、双方のゲートウェイで使用可能なトンネルが判別され、障害発生時にトラフィックが再ルーティングされます。BGP (使用可能な場合) で提供されるルーティング情報を使用して使用可能なパスを選択するようネットワークを設定することをお勧めします。正確な設定はネットワークのアーキテクチャーによって異なります。

カスタマーゲートウェイと Site-to-Site VPN 接続の作成および設定の詳細については、「[の使用を開始する AWS Site-to-Site VPN](SetUpVPNConnections.md)」を参照してください。