翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# ハイブリッド接続
<a name="hybrid-connectivity"></a>

 このセクションでは、クラウドリソースをオンプレミスデータセンターに安全に接続する方法について説明します。ハイブリッド接続を有効にするには、次の 3 つの方法があります。
+  **One-to-one の接続** — この設定では、VPC ごとに VPN 接続や Direct Connect プライベート VIF が作成されます。これは、Virtual Private Gateway (VGW) を使用して実現されます。このオプションは少数の VPCs に最適ですが、お客様が VPCs をスケールすると、VPC ごとのハイブリッド接続の管理が難しくなる可能性があります。
+  **エッジ統合** — この設定では、お客様は複数の VPCs。すべての VPCsこれらのハイブリッド接続を共有します。これは、 AWS Transit Gateway と Direct Connect ゲートウェイを使用して実現されます。
+  **フルメッシュハイブリッド統合** — この設定では、お客様は CloudWAN を使用して複数の VPCsを 1 つのエンドポイントに統合します AWS Transit Gateway。これは、コードで表される 1 つ以上の AWS アカウントでのネットワーキングに対するポリシーベースの完全なアプローチです。現時点では、エッジ接続 Direct Connect に を使用するには、Transit Gateway を CloudWAN にピアリングする必要があります。

# VPN 
<a name="vpn"></a>

 AWS への VPN をセットアップするには、さまざまな方法があります。

![\[Site-to-Site VPN オプションを示す図\]](http://docs.aws.amazon.com/ja_jp/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/images/aws-vpn-options.png)

+  **オプション 1: Transit Gateway で VPN 接続を統合する** — このオプションは、Transit Gateway の Transit Gateway VPN アタッチメントを活用します。Transit Gateway は、site-to-siteの IPsec ターミネーションをサポートしています。お客様は Transit Gateway への VPN トンネルを作成し、それにアタッチされた VPCs にアクセスできます。Transit Gateway は、静的 VPN 接続と BGP ベースの動的 VPN 接続の両方をサポートします。Transit Gateway は、VPN アタッチメントで[等コストマルチパス](https://en.wikipedia.org/wiki/Equal-cost_multi-path_routing) (ECMP) もサポートしています。各 VPN 接続のスループットは、トンネルあたり最大 1.25 Gbps です。ECMP を有効にすると、VPN 接続全体でスループットを集約できるため、 はデフォルトの最大制限である 1.25 Gbps を超えてスケールできます。このオプションでは、[Transit Gateway の料金](https://aws.amazon.com/transit-gateway/pricing/)と[Site-to-Site VPN 料金](https://aws.amazon.com/vpn/pricing/)に対して料金が発生します。AWS では、このオプションを VPN 接続に使用することをお勧めします。詳細については、[AWS Transit Gateway を使用した VPN スループットのスケーリング](https://aws.amazon.com/blogs/networking-and-content-delivery/scaling-vpn-throughput-using-aws-transit-gateway/)に関するブログ記事を参照してください。
+  **オプション 2: Amazon EC2 インスタンスで VPN を終了する** — このオプションは、エッジケースで特定のベンダーソフトウェア機能セット ([Cisco DMVPN](https://www.cisco.com/c/en/us/products/collateral/security/dynamic-multipoint-vpn-dmvpn/data_sheet_c78-468520.html) や汎用ルーティングカプセル化 (GRE) など) が必要な場合や、さまざまな VPN デプロイ間で運用の一貫性が必要な場合に、お客様が活用します。エッジ統合にはトランジット VPC 設計を使用できますが、トランジット VPC に関する [VPC から VPC への接続](vpc-to-vpc-connectivity.md)セクションの重要な考慮事項はすべてハイブリッド VPN 接続に適用できることに注意してください。高可用性の管理はお客様の責任であり、EC2 インスタンスとベンダーソフトウェアのライセンスおよびサポート費用のお支払いとなります。
+  **オプション 3: 仮想プライベートゲートウェイ (VGW) で VPN を終了する** — この AWS Site-to-Site VPN サービスオプションを使用すると、VPC ごとに 1 つの VPN 接続 (冗長 VPN トンネルのペアで構成される) を作成する 1 one-to-one の接続設計が可能になります。 ****これは AWS への VPN 接続を開始するのに最適な方法ですが、VPCs の数をスケールすると、VPN 接続の数の増加を管理することが難しくなる可能性があります。したがって、Transit Gateway を活用したエッジ統合設計は、最終的にはより良い選択肢になります。VGW への VPN スループットはトンネルあたり 1.25 Gbps に制限されており、ECMP ロードバランシングはサポートされていません。料金の観点から見ると、AWS VPN 料金に対してのみお支払いいただきます。VGW の実行には料金はかかりません。詳細については、[Site-to-Site VPN 仮想プライベートゲートウェイの](https://docs.aws.amazon.com/vpn/latest/s2svpn/how_it_works.html)[Site-to-Site VPN 「 ](https://aws.amazon.com/vpn/pricing/)料金表」および「」を参照してください。
+ **オプション 4: クライアント VPN エンドポイントで VPN 接続を終了する** — AWS Client VPN は、オンプレミスネットワーク内の AWS リソースとリソースに安全にアクセスできるマネージドクライアントベースの VPN サービスです。クライアント VPN では、OpenVPN または AWS が提供する VPN クライアントを使用して、任意の場所からリソースにアクセスできます。クライアント VPN エンドポイントを設定することで、クライアントとユーザーは接続して Transport Layer Security (TLS) VPN 接続を確立できます。詳細については、[AWS Client VPN のドキュメント](https://docs.aws.amazon.com/vpn/latest/clientvpn-admin/what-is.html)を参照してください。
+  **オプション 5: AWS クラウド WAN で VPN 接続を統合する** — このオプションはこのリストの最初のオプションに似ていますが、CloudWAN ファブリックを使用して、ネットワークポリシードキュメントを介してプログラムで VPN 接続を設定します。

# Direct Connect 
<a name="direct-connect"></a>

インターネット経由の VPN は開始するための優れたオプションですが、本番環境のトラフィックではインターネット接続の信頼性が損なわれる可能性があります。この信頼性が低いため、多くのお客様は を選択します[Direct Connect](https://aws.amazon.com/directconnect/)。 Direct Connect は、インターネットを使用して AWS に接続する代わりに使用できるネットワークサービスです。を使用すると Direct Connect、以前はインターネット経由で転送されていたはずのデータが、施設と AWS 間のプライベートネットワーク接続を介して配信されます。多くの場合、プライベートネットワーク接続は、インターネットベースの接続よりもコストを削減し、帯域幅を増やし、より一貫したネットワークエクスペリエンスを提供します。 Direct Connect を使用して VPCs に接続する方法はいくつかあります。

![\[を使用してオンプレミスのデータセンターを接続する方法を示す図 Direct Connect\]](http://docs.aws.amazon.com/ja_jp/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/images/connect-on-premises.png)

+  **オプション 1: VPC にアタッチされた VGW へのプライベート仮想インターフェイス (VIF) を作成する** — Direct Connect 接続ごとに 50 VIFs を作成し、最大 50 VPCs に接続できます (1 つの VIF は 1 つの VPC への接続を提供します）。VPC ごとに 1 つの BGP ピアリングがあります。この設定での接続は、Direct Connect ロケーションが所在する AWS リージョンに制限されます。VIF と VPC の one-to-one のマッピング (グローバルアクセスの欠如) により、これはランディングゾーンの VPCs にアクセスする最も望ましくない方法になります。
+ **オプション 2: 複数の VGWs に関連付けられた Direct Connect ゲートウェイへのプライベート VIF を作成する (各 VGW は VPC にアタッチされます) **— Direct Connect ゲートウェイはグローバルに利用可能なリソースです。Direct Connect ゲートウェイは、任意の リージョンに作成し、 GovCloud (中国を除く) を含む他のすべての リージョンからアクセスできます。Direct Connect Gateway は、1 つのプライベート VIF を介して、任意の AWS アカウントで最大 20 個の VPCs に (VGWs 経由で) グローバルに接続できます。これは、ランディングゾーンが少数の VPCs (10 個以下の VPCs) で構成されている場合や、グローバルアクセスが必要な場合に最適です。Direct Connect 接続ごとに、Direct Connect Gateway ごとに 1 つの BGP ピアリングセッションがあります。Direct Connect ゲートウェイは、北/南トラフィックフロー専用であり、VPC-to-VPCは許可されません。詳細については、 Direct Connect ドキュメントの[「仮想プライベートゲートウェイの関連付け](https://docs.aws.amazon.com/directconnect/latest/UserGuide/virtualgateways.html)」を参照してください。このオプションでは、Direct Connect ロケーションが置かれている AWS リージョンへの接続は制限されません。 Direct Connect ゲートウェイは北/南トラフィックフロー専用であり、VPC-to-VPCは許可されません。このルールの例外は、アタッチされた VPCs 間でスーパーネットがアドバタイズされる場合です。 VGWs Direct Connect この場合、VPCs は Direct Connect エンドポイントを介して相互に通信できます。詳細については、[Direct Connect ゲートウェイのドキュメント](https://docs.aws.amazon.com/directconnect/latest/UserGuide/direct-connect-gateways-intro.html)を参照してください。
+  **オプション 3: Transit Gateway に関連付けられた Direct Connect ゲートウェイへのトランジット VIF を作成する **— Transit VIF を使用して、Transit Gateway インスタンスを Direct Connect ゲートウェイに関連付けることができます。 は、すべてのポート速度で Transit Gateway への接続をサポートする Direct Connect ようになり、高速接続 (1Gbps 以上) が必要ない場合に、Transit Gateway ユーザーにコスト効率の高い選択肢を提供します。これにより、Transit Gateway に接続する速度が 50、100、200、300、400、500 Mbps で Direct Connect を使用できます。Transit VIF を使用すると、単一のトランジット VIF および BGP ピア接続を介して、異なる AWS リージョンと AWS アカウント間で、ゲートウェイごとに最大 6 つの Transit Gateway インスタンス Direct Connect （数千の VPCs に接続できます) にオンプレミスデータセンターを接続できます。これは、複数の VPCs を大規模に接続するためのオプションの中で最も簡単な設定ですが、[Transit Gateway のクォータ](https://docs.aws.amazon.com/vpc/latest/tgw/transit-gateway-limits.html)に注意する必要があります。注意すべき重要な制限の 1 つは、トランジット VIF 経由で Transit Gateway からオンプレミスルーターにアドバタイズできる[プレフィックスは 200](https://docs.aws.amazon.com/directconnect/latest/UserGuide/limits.html) 個のみです。上記のオプションでは、Direct Connect の料金がかかります。このオプションでは、Transit Gateway アタッチメントとデータ処理料金も支払います。詳細については、[Direct Connect の Transit Gateway Associations ドキュメント](https://docs.aws.amazon.com/directconnect/latest/UserGuide/direct-connect-transit-gateways.html)を参照してください。
+  **オプション 4: Direct Connect パブリック VIF 経由で Transit Gateway への VPN 接続を作成する **— パブリック VIF を使用すると、パブリック IP アドレスを使用してすべての AWS パブリックサービスとエンドポイントにアクセスできます。Transit Gateway で VPN アタッチメントを作成すると、AWS 側で VPN エンドポイントの 2 つのパブリック IP アドレスを取得します。これらのパブリック IPsには、パブリック VIF 経由でアクセスできます。パブリック VIF では、必要な数の Transit Gateway インスタンスへの VPN 接続を作成できます。パブリック VIF 経由で BGP ピアリングを作成すると、AWS は [AWS パブリック IP 範囲](https://docs.aws.amazon.com/general/latest/gr/aws-ip-ranges.html)全体をルーターにアドバタイズします。特定のトラフィックのみを許可するには (VPN 終了エンドポイントへのトラフィックのみを許可するなど）、ファイアウォールのオンプレミス施設を使用することをお勧めします。このオプションは、ネットワークレイヤーで Direct Connect を暗号化するために使用できます。
+  **オプション 5: プライベート IP VPN Direct Connect を使用して 経由で Transit Gateway への VPN 接続を作成する** — プライベート IP VPN は、お客様がプライベート IP アドレスを使用して Direct Connect 経由で AWS Site-to-Site VPN 接続をデプロイできるようにする機能です。この機能を使用すると、パブリック IP アドレスを必要とせずに Direct Connect 接続を介してオンプレミスネットワークと AWS 間のトラフィックを暗号化できるため、セキュリティとネットワークプライバシーを同時に強化できます。プライベート IP VPN は Transit VIFs 上にデプロイされるため、Transit Gateway を使用して、顧客の VPCs とオンプレミスネットワークへの接続をより安全でプライベート、スケーラブルな方法で一元管理できます。
+ **オプション 6: Transit VIF 経由で Transit Gateway への GRE トンネルを作成する** – Transit Gateway Connect アタッチメントタイプは GRE をサポートします。Transit Gateway Connect を使用すると、SD-WAN ネットワーク仮想アプライアンスと Transit Gateway の間に IPsec VPNs を設定することなく、SD-WAN インフラストラクチャを AWS にネイティブに接続できます。GRE トンネルは、Transit Gateway Connect をアタッチメントタイプとして、Transit VIF 経由で確立でき、VPN 接続よりも高い帯域幅パフォーマンスを提供します。詳細については、ブログ記事[「Simplify SD-WAN connectivity with AWS Transit Gateway Connect](https://aws.amazon.com/blogs/networking-and-content-delivery/simplify-sd-wan-connectivity-with-aws-transit-gateway-connect/)」を参照してください。

「Transit VIF to Direct Connect Gateway」オプションは、Direct Connect 接続ごとに AWS リージョン 1 つの BGP セッションを使用して、特定のポイント (Transit Gateway) のすべてのオンプレミス接続を統合することができるため、最適なオプションであるように見えるかもしれません。ただし、このオプションに関する制限と考慮事項によっては、ランディングゾーンの接続要件に合わせてプライベート VIF とトランジット VIFs の両方を使用する場合があります。

次の図は、VPCs、非常に大量のデータをオンプレミスのデータセンターからメディア VPC に転送する必要があるエッジユースケースにプライベート VIF を使用するサンプル設定を示しています。プライベート VIF は、Transit Gateway のデータ処理料金を回避するために使用されます。ベストプラクティスとして、冗長[性を最大化](https://aws.amazon.com/directconnect/resiliency-recommendation/)するには、2 つの異なる Direct Connect ロケーションに少なくとも 2 つの接続が必要です。合計 4 つの接続が必要です。接続ごとに 1 つの VIF を作成し、合計で 4 つのプライベート VIFs と 4 つのトランジット VIFs。 Direct Connect 接続へのバックアップ接続として VPN を作成することもできます。

「Create GRE tunnels to Transit Gateway over a Transit VIF」オプションを使用すると、SD-WAN インフラストラクチャを AWS にネイティブに接続できます。これにより、SD-WAN ネットワーク仮想アプライアンスと Transit Gateway の間に IPsec VPNs を設定する必要がなくなります。

![\[ハイブリッド接続のサンプルリファレンスアーキテクチャを示す図\]](http://docs.aws.amazon.com/ja_jp/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/images/hybrid-connectivity-ra.png)


ネットワーク管理境界の境界を有効にする Direct Connect リソースを作成するには、 ネットワークサービスアカウントを使用します。Direct Connect 接続、Direct Connect ゲートウェイ、および Transit Gateway はすべて、ネットワークサービスアカウントに存在することができます。ランディングゾーンと接続を共有する Direct Connect には、 を介して Transit Gateway を他の アカウント AWS RAM と共有します。

## Direct Connect 接続の MACsec セキュリティ
<a name="macsec-security-dc"></a>



お客様は、[特定の場所で](https://aws.amazon.com/directconnect/locations/) 10 Gbps および 100 Gbps の専用接続の Direct Connect 接続で MAC Security Standard (MACsec) 暗号化 (IEEE 802.1AE) を使用できます。[この機能](https://docs.aws.amazon.com/directconnect/latest/UserGuide/MACsec.html)を使用すると、お客様はレイヤー 2 レベルでデータを保護でき、Direct Connect はpoint-to-point暗号化を提供します。Direct Connect MACsec 機能を有効にするには、[MACsec の前提条件](https://docs.aws.amazon.com/directconnect/latest/UserGuide/direct-connect-mac-sec-getting-started.html#mac-sec-prerequisites)が満たされていることを確認します。MACsec はリンクをhop-by-hop保護するため、デバイスには Direct Connect デバイスとの直接レイヤー 2 の隣接関係が必要です。ラストマイルプロバイダーは、接続が MACsec で動作することを確認するのに役立ちます。詳細については、[「AWS Direct Connect 接続への MACsec セキュリティの追加](https://aws.amazon.com/blogs/networking-and-content-delivery/adding-macsec-security-to-aws-direct-connect-connections/)」を参照してください。

## Direct Connect 障害耐性に関する推奨事項
<a name="resiliency-recommendations"></a>

を使用すると Direct Connect、オンプレミスネットワークから Amazon VPCs と AWS リソースへの回復力の高い接続を実現できます。お客様が複数のデータセンターから接続して、単一ポイントの物理的な位置の障害を排除することがベストプラクティスです。また、ワークロードのタイプに応じて、冗長性のために複数の Direct Connect 接続を使用することをお勧めします。

AWS では、 Direct Connect Resiliency Toolkit も提供しています。これにより、接続ウィザードに複数の冗長モデルが提供されます。これにより、サービスレベルアグリーメント (SLA) の要件に最適なモデルを決定し、それに応じて Direct Connect 接続を使用してハイブリッド接続を設計できます。詳細については、[Direct Connect 「障害耐性に関する推奨事項](https://aws.amazon.com/directconnect/resiliency-recommendation/)」を参照してください。

## Direct Connect SiteLink
<a name="direct-connect-sitelink"></a>

 以前は、オンプレミスネットワークのsite-to-siteリンクの設定は、ダークファイバーやその他のテクノロジー、IPSEC VPNs を介した直接回路ビルドアウトを使用するか、""、MetroEthernet、レガシー T1 回路などのテクノロジーを備えたサードパーティーの回路プロバイダーを使用することによってのみ可能でした。SiteLink の導入により、お客様は Direct Connect ロケーションで終了するオンプレミスロケーションに対してsite-to-site直接接続を有効にできるようになりました。Direct Connect 回路を使用すると、VPC 経由でトラフィックをルーティングすることなくsite-to-site接続を提供でき VPCs 、AWS リージョンを完全にバイパスできます。

 これで、 Direct Connect ロケーション間の最速パスでデータを送信することで、グローバルネットワーク内のオフィスとデータセンター間に、グローバルで信頼性が高く、pay-as-you-go接続を作成できるようになりました。

![\[diagram Direct Connect SiteLink\]](http://docs.aws.amazon.com/ja_jp/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/images/direct-connect-sitelink.png)


 SiteLink を使用する場合は、まず、世界中の 100 を超える Direct Connect ロケーションのいずれかでオンプレミスネットワークを AWS に接続します。次に、それらの接続に仮想インターフェイス (VIFs) を作成し、SiteLink を有効にします。すべての VIFsされると、それらの間でデータの送信を開始できます。 Direct Connect データは、高速で安全で信頼性の高い AWS グローバルネットワークを使用して、 Direct Connect 送信先までの最短パスをたどります。SiteLink AWS リージョン を使用するには、 にリソースは必要ありません。

 SiteLink を使用すると、DXGW は SiteLink が有効な VIFs を介してルーターから IPv4/IPv6 プレフィックスを学習し、BGP のベストパスアルゴリズムを実行し、NextHop や AS\$1Path などの属性を更新して、これらの BGP プレフィックスをその DXGW に関連付けられた SiteLink が有効な残りの VIFs に再アドバタイズします。VIF で SiteLink を無効にすると、DXGW はこの VIF を介して学習したオンプレミスプレフィックスを他の SiteLink 対応 VIFs にアドバタイズしません。SiteLink 無効 VIF からのオンプレミスプレフィックスは、DXGW に関連付けられた AWS Virtual Private Gateway (VGWs) または Transit Gateway (TGW) インスタンスなどの DXGW Gateway 関連付けにのみアドバタイズされます。

![\[Sitelink トラフィックフローの例を示す図\]](http://docs.aws.amazon.com/ja_jp/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/images/full-mesh-connectivity.png)


 SiteLink を使用すると、お客様は AWS グローバルネットワークを使用して、高帯域幅と低レイテンシーでリモートロケーション間のプライマリまたはセカンダリ/バックアップ接続として機能し、動的ルーティングを使用して、相互に、および AWS リージョンリソースと通信できるロケーションを制御できます。

 詳細については、[「Introducing Direct Connect SiteLink](https://aws.amazon.com/blogs/networking-and-content-delivery/introducing-aws-direct-connect-sitelink/)」を参照してください。