助け合いフォーラム
正解
オンプレミスのデータセンターに新たにカスタマーゲートウェイを追加し、Site-to-site VPN接続の冗長性を確保する
解説
本設問では、オンプレミスとVPC間の通信における高可用性を確保するために取るべき対策について問われています。
各選択肢を確認していきます。
・オンプレミスのデータセンターに新たにカスタマーゲートウェイを追加し、Site-to-site VPN接続の冗長性を確保する
AWS Site-to-Site VPNで使用する仮想プライベートゲートウェイ(VGW:Virtual Private Gateway)とVPNトンネルは、機器障害に対する高可用性を保つためにAWS側で冗長化されています。一方、カスタマーゲートウェイはオンプレミス内の機器なので、高可用性を保つにはAWSユーザ側で冗長化する必要があります。カスタマーゲートウェイを追加することで単一障害点(※)がない構成にできるため、正しい選択肢です。
※単一障害点(SPOF:Single Point Of Failure) … ある箇所が故障すると、システム全体が機能不全になる箇所
・開発用VPCと本番用VPC間のVPCピアリングを複数設定して、相互通信の可用性を高める
2つのVPC間で同時に複数のVPCピアリングを持つことはできません。また、VPCピアリングはAWS側で管理されており単一障害点は存在せず、ユーザ側で冗長性を意識する必要はないため、誤りです。
・本番用VPCのDirect Connectの代わりに、Site-to-Site VPNを設定する
本番用VPCの通信のために既に複数のDirect Connectが構成されており、単一障害点は存在しないため、誤りです。
・開発用VPCのSite-to-Site VPNのVPNトンネルを複数設定し、VPN接続の冗長性を確保する
VPNトンネルの回線はAWS側で冗長化されており、ユーザ側で冗長化を意識する必要はないため、誤りです。
参考
【AWSへのセキュアな接続】
オンプレミスなどのユーザー環境からAWSへ接続する場合、通常はインターネット回線を経由します。しかしインターネット回線は不特定多数の利用者と回線を共用するため、通信内容の傍受やデータの改ざんなどのリスクがあります。このようなリスクを軽減し、AWSへセキュアに通信できるサービスが「AWS Direct Connect」と「AWS VPN」です。
【AWS Direct Connect】
AWS Direct Connect(DX)はオンプレミスなどのユーザー環境からAWSへ、専用回線を使ってセキュアに接続するサービスです。インターネット回線ではなく専用回線を敷設して使用するので、安定した高速なネットワークで接続できます。
Direct Connectは、Direct ConnectロケーションのDirect ConnectエンドポイントからAWSネットワークへの接続を保証しています。AWSユーザーはDirect Connectロケーション内にルーターを設置し、オンプレミスから専用線を引き込む必要があります。工事費用と時間をかけてでも、安定した通信と強固なセキュリティ環境を求めるケースに適しています。
○AWS Direct Connectロケーション
Direct Connectロケーションとは、オンプレミスとAWSのデータセンターとを相互に接続するポイントのことです。各リージョンに複数用意されており、ユーザーは接続するロケーションを選択できます。東京リージョン(ap-northeast-1)では、東京や大阪など5つのロケーションが用意されています(2022年1月時点)。
○AWS Direct Connectエンドポイント
Direct Connectエンドポイントとは、Direct Connectサービス提供範囲にあるオンプレミス側の終端のルーターのことです。Direct Connectロケーション内に物理的に設置されており、AWSユーザーが設置したルーターと接続します。
【Direct Connectを使用した接続の種類】
Direct Connectにはパブリック接続とプライベート接続があります。パブリック接続はS3やDynamoDBなどのVPC外にあるAWSリソースへの接続に利用します。プライベート接続はVPCに仮想プライベートゲートウェイ(VGW:Virtual Private Gateway)を配置し、VPC内のAWSリソースへ接続します。
【Direct Connectゲートウェイ】
Direct Connectのプライベート接続はDirect Connectエンドポイントと仮想プライベートゲートウェイを1対1で接続するので、通常は1つのVPCにしか接続できません。Direct Connectエンドポイントから複数のVPCに接続したい場合は「Direct Connectゲートウェイ」を利用します。
Direct ConnectゲートウェイはDirect Connectエンドポイントと仮想プライベートゲートウェイの間に配置されて、世界中の各リージョンにある複数のVPCへ接続できるようになります。なお、VPCは他のAWSアカウントのものであっても接続できます。
Direct Connectゲートウェイで接続した複数のVPCは、Direct Connectエンドポイントとの通信は可能ですが、Direct Connectゲートウェイ経由でVPC同士の通信はできません。VPC同士の通信を行う場合は、VPCピアリングもしくはAWS Transit Gatewayを利用します。なおVPCピアリングとTransit Gatewayの詳細は、分野「VPC」を参照してください。
【Direct Connectの高可用性の実現】
Direct Connectでは、オンプレミスから複数のDirect Connectロケーションへの接続をサポートしています。利用しているロケーションの障害に備えて複数のロケーションへ接続することで、可用性を高められるようになっています。
例えば、オンプレミス環境から東京に存在するロケーションと大阪に存在するロケーションへDirect Connectを接続することで、自然災害時の影響を少なくすることが期待できます。
【Direct Connectのサービス提供タイプ】
Direct Connectには、「専用接続」と「ホスト接続」の2つのサービス提供タイプがあります。
・専用接続
物理的に一つの回線を一つのAWSアカウントが専用で使用します。このタイプの接続は1Gbps、10Gbps、100Gbpsの速度で利用できます。このため、大規模なデータ転送、高帯域幅を要求するアプリケーション、高度なセキュリティ要件を満たす必要がある場合に適しています。
・ホスト接続
AWS Direct Connectパートナーによって管理される物理的なDirect Connect接続を複数のAWSユーザーで共有する形態です。このタイプの接続は通常1Gbps以下の速度で提供されます。(例:50Mbps、100Mbps、300Mbps、500Mbps)低から中程度の帯域幅要件の場合に適しており、コスト効率の良い方法でDirect Connectを利用することができます。
【AWS VPN】
AWS VPN(Virtual Private Network)はオンプレミスなどのユーザー環境からAWSへ、インターネットVPN(※)でセキュアに接続するサービスです。AWS VPNではインターネット回線を利用するので、専用回線を敷設するDirect Connectよりも安価に、かつ短い期間で接続を開始できます。
※インターネットVPN … インターネット回線を使って拠点同士を仮想の専用線で接続し、暗号化通信を行う技術のこと。
【AWS VPNの種類】
AWS VPNには「AWS Client VPN」と「AWS Site-to-Site VPN」の2種類の接続方法があります。
■AWS Client VPN
AWS Client VPNは、パソコンなどの端末とVPCのClient VPNエンドポイントを、インターネットVPNで接続するサービスです。OpenVPNというVPNソフトウェアを利用しており、Windows、macOSだけでなくiOSやAndroidにも対応しています。Client VPNは機器の導入等が不要なので、手軽にセキュアな通信でAWSへアクセスできます。
■AWS Site-to-Site VPN
AWS Site-to-Site VPN(サイト間VPN)は、カスタマーゲートウェイ(オンプレミスのルーター)とVPCの仮想プライベートゲートウェイを、インターネットVPNで接続するサービスです。Site-to-Site VPNはインターネット上に仮想の専用線であるVPNトンネルを張り、IPsecという暗号技術を使って通信を保護します。
○AWS Site-to-Site VPNの高可用性の実現
AWS Site-to-Site VPNで使用する仮想プライベートゲートウェイとVPNトンネルは、機器障害に対する高可用性を保つためにAWS側で冗長化されています。一方、カスタマーゲートウェイはオンプレミス内の機器なので、高可用性を保つにはAWSユーザー側で冗長化する必要があります。
○AWS Site-to-Site VPNのネットワーク監視
VPNトンネルを経由したネットワークトラフィック情報は、Amazon CloudWatchで収集できます。CloudWatchには指定した仮想プライベートゲートウェイのVPNトンネルの状態、送受信したバイト数が記録されます。VPNトンネルの状態をCloudWatchで監視すれば、VPNトンネルに異常が発生した場合にアラームを出すことができます。
Site-to-Site VPNの選択肢の違いがわからない
以下2つの回答の違いはないと思います。
・開発用VPCのSite-to-Site VPNのVPNトンネルを複数設定し、VPN接続の冗長性を確保する
と
・オンプレミスのデータセンターに新たにカスタマーゲートウェイを追加し、Site-to-site VPN接続の冗長性を確保する
これだけの表現だと同じ意味かと思いますのこれで正解を導くのは厳しいかと思います。
設問のポイントってここですよね?
同社は、この構成における単一障害点をなくし、可用性を高めたいと考えている
単一障害点をなくすということは、現在単一障害点があるということになりますので、それがどこかが分かればすぐかと思います。
今の構成って
- 開発と本番のVPCはVPCピアリングされている→AWSの内部で冗長化ずみ
- 開発用VPCとオンプレミスDCはSite-to-Site VPN接続している。DC側には「単一の」カスタマーゲートウェイがある→DC側にシングルポイントがある
- 本番用VPCとオンプレミスDCは複数のAWS Direct Connect構成で通信している→Direct Connectの冗長化ずみ
この時点で単一障害点になりうるのは「開発用VPCとオンプレミスDC」です。それを踏まえて
・開発用VPCのSite-to-Site VPNのVPNトンネルを複数設定し、VPN接続の冗長性を確保する
と
・オンプレミスのデータセンターに新たにカスタマーゲートウェイを追加し、Site-to-site VPN接続の冗長性を確保する
前者は「VPNトンネル」を複数設定していますが、そもそも「トンネル」は論理的な接続のことです。論理的なパスを複数作成してもオンプレミス側のカスタマーゲートウェイの数は増えません(論理的なIPsec接続設定を増やすだけです)ので、単一障害点は変わりません。
※参考: https://www.cisco.com/c/ja_jp/support/docs/smb/routers/cisco-rv-series-small-business-routers/Configure-AWS-S2S.pdf
後者は「カスタマーゲートウェイ」という物理的な装置を増やしていますので、現状の「単一のカスタマーゲートウェイ」という単一障害点をなくせる構成変更です。参考の「○AWS Site-to-Site VPNの高可用性の実現」に記述がありますね。
こうしてみてみると、それぞれの選択肢の意味って違うものかと思いますが、どうでしょうか?
コメント
この投稿に対して返信しませんか?