VPC へのハードウェア仮想プライベートゲートウェイの追加
デフォルトでは、Virtual Private Cloud (VPC) 内に起動されるインスタンスとユーザー独自のネットワークとの通信はできません。
VPC から独自のネットワークへのアクセスを可能にするには、仮想プライベートゲートウェイを VPC に関連付け、カスタムルートテーブルを作成して、セキュリティグループ規則を更新します。
VPN 接続という用語は一般的な用語ですが、Amazon VPC のドキュメントにおいては、VPN 接続は VPC とユーザー独自のネットワーク間の接続を指します。
AWS は、インターネットプロトコルセキュリティ (IPsec) VPN 接続をサポートしています。
現在、VPN 接続による IPv6 トラフィックはサポートされていません。
http://docs.aws.amazon.com/ja_jp/AmazonVPC/latest/UserGuide/VPC_VPN.html
カスタマーゲートウェイ
カスタマーゲートウェイは、VPN 接続のユーザー側にある物理的なデバイスまたはソフトウェアアプリケーションです。
VPN 接続を作成すると、VPN 接続のユーザー側からトラフィックが生成されると VPN トンネルが開始されます。
仮想プライベートゲートウェイはイニシエータではないため、カスタマーゲートウェイがトンネルを開始する必要があります。
VPN 接続でアイドル時間 (通常は 10 秒ですが設定によって異なる) が生じた場合、トンネルがダウンすることがあります。
アイドル時間が生じないように、ネットワーク監視ツール (IP SLA など) を使用してキープアライブ ping を生成できます。
仮想プライベートゲートウェイ
仮想プライベートゲートウェイは、VPN 接続の Amazon 側にある VPN コンセントレータです。
VPN接続に必要なもの
VPN 接続で Amazon VPC を使用するには、ユーザー自身またはネットワーク管理者が物理的なアプライアンスをカスタマーゲートウェイとして指定し、設定する必要があります。
VPN 事前共有キーおよび VPN 接続の設定に関連したその他のパラメータを含む必須の設定情報は、Amazon から提供されます。
| 項目 | 用途 | コメント |
|---|---|---|
| カスタマーゲートウェイのタイプ (例: Cisco ASA、Juniper J-Series、Juniper SSG、Yamaha) | 返される情報 (カスタマーゲートウェイの設定に使用する) の形式を指定します。 | 当社でテスト済みのデバイスの詳細については、https://aws.amazon.com/vpc/faqs/#C9を参照 |
| カスタマーゲートウェイの外部インターフェイスの、インターネットでルーティング可能な IP アドレス (静的) | カスタマーゲートウェイを作成して設定するために使用されます。YOUR_UPLINK_ADDRESS と呼ばれます。 | パブリック IP アドレスの値は静的な値である必要があります。カスタマーゲートウェイが NAT トラバーサル (NAT-T) が有効になっているネットワークアドレス変換 (NAT) の内側にある場合は、NAT デバイスのパブリック IP アドレスを使用し、UDP ポート 4500 をブロックしないようにファイアウォールルールを調整します。 |
| 動的にルーティングされる VPN 接続を作成する場合は、カスタマーゲートウェイのボーダーゲートウェイプロトコル (BGP) 自律システム番号 (ASN)。 | カスタマーゲートウェイを作成して設定するために使用されます。YOUR_BGP_ASN と呼ばれます。 | ネットワークに割り当てられている既存の ASN を使用できます。既存の ASN がない場合は、プライベート ASN (64512 から 65534 までの範囲) を使用できます。 |
| VPC への VPN 接続を通してアドバタイズする内部ネッ ワーク IP の範囲。 | 静的ルーターを指定するために使用されます。 | - |