AWS認定資格 WEB問題集&徹底解説

クラウドプラクティショナー

AWS VPN の概要と試験出題ポイントは?

AWSサービスの一つであるAWS VPNはどんな内容なのでしょうか?また、AWS認定資格のクラウドプラクティショナー(CLF)に合格するためには、サービスのどんなポイントを押さえておけばよいのでしょうか?
ここでは、そんなあなたの疑問に回答していきたいと思います

AWS VPN 徹底解説 | AWS認定試験の頻出ポイントまとめ

1. サービス概要

AWS VPNには大きく2つのサービスがあります。AWS Site-to-Site VPN(オンプレミス/データセンターとVPCを接続)とAWS Client VPN(個人デバイスからVPCへのリモートアクセス)です。

Site-to-Site VPNはインターネット経由のIPsec暗号化トンネルを使ってオンプレミスネットワークとAWS VPCを接続します。Direct Connectと比べて即座に設定でき低コストですが、帯域と安定性はインターネット品質に依存します。

2. 主な特徴と機能

2.1 Site-to-Site VPN の構成要素

  • Virtual Private Gateway(VGW): AWSサイドのVPNエンドポイント。VPCにアタッチ。
  • Customer Gateway(CGW): オンプレミスサイドのVPNデバイス設定(IPアドレス・ルーティング設定)。
  • VPN接続: VGWとCGWを結ぶIPsec VPNトンネル。2本のトンネル(異なるAZのVGWエンドポイント)が自動作成されて冗長化。

2.2 ルーティング

  • スタティックルーティング: オンプレミスのCIDRを手動で設定。シンプルだが変更に手動対応が必要。
  • BGP(動的ルーティング): ルートを自動交換。フェイルオーバー時の自動ルート切り替えが可能。推奨。

2.3 Transit Gateway VPN

複数のVPCにVPN接続する場合はTransit Gatewayに接続を集約します(VGWではなくTGWにCGWを接続)。スケーラブルなマルチVPC VPN構成が可能です。

2.4 アクセラレーテッドSite-to-Site VPN

AWS Global Acceleratorの静的Anycast IPを使ったVPN接続。トラフィックが最寄りのAWSエッジロケーションに入り、AWSバックボーンで転送されるため、インターネット経由よりも低レイテンシ・安定性が向上します。

2.5 Client VPN

AWS Client VPNはOpenVPNベースのリモートアクセスVPNサービスです。個人デバイスからVPC内リソースへのセキュアなアクセスを提供。Cognito/Active Directory認証に対応。

3. アーキテクチャおよび技術要素

  1. オンプレミスVPNデバイス(ファイアウォール・ルーター)がAWSのVGWに向けてIPsec VPNトンネルを確立。
  2. 2本のトンネル(異なるAZのエンドポイント)で自動冗長化。片方のトンネルが切断されても通信継続。
  3. ルーティング: BGPでオンプレのルートをVGWに広告→VPCルートテーブルに自動伝播。
  4. VPN帯域は1.25Gbps/接続(複数接続でECMPを利用して帯域を束ねることでスループット向上可能)。

4. セキュリティと認証・認可

  • IPsec暗号化: AES-256とSHA-2で通信を暗号化。
  • IKEv1/IKEv2: IKE(Internet Key Exchange)でキーを安全に交換。IKEv2推奨。
  • CloudTrail連携: VPN接続の作成・変更をCloudTrailで記録。

5. 料金形態

  • VPN接続時間: 時間課金(VPN接続1本あたり)。
  • データ転送: AWSからオンプレミスへのアウトバウンドデータ転送料金(インバウンドは無料)。
  • アクセラレーテッドVPN: 追加でGlobal Accelerator利用料金。

6. よくあるアーキテクチャ・設計パターン

  • Direct Connectのバックアップ: Direct Connect障害時のフォールバックとしてSite-to-Site VPNを設定。BGPのAS-PATHでDirect Connectを優先ルートに設定。
  • マルチVPC接続(Transit Gateway): Transit GatewayにVPN接続を集約し複数VPCへのルーティングを一元化。
  • リモートワーカーアクセス(Client VPN): AWS Client VPNで社員の個人デバイスからVPC内の開発・運用リソースへセキュアに接続。

7. 設定・デプロイ手順(ハンズオン例)

  1. VPCコンソールで「Customer Gateway」を作成(オンプレVPNデバイスのパブリックIPを登録)。
  2. 「Virtual Private Gateway」を作成してVPCにアタッチ。
  3. 「Site-to-Site VPN接続」を作成(VGW・CGW・ルーティングタイプ・IKEv2を指定)。
  4. 構成ファイルをダウンロードしてオンプレのVPNデバイスに設定。
  5. VPCルートテーブルに「ルートの伝播」を有効化してオンプレのルートを自動反映。

8. 試験で問われやすいポイント

8.1 VPNの冗長化

  • Q: Site-to-Site VPN接続には何本のトンネルが作成されるか?
    A: 2本(異なるAZのVGWエンドポイントに対して自動的に2つのIPsecトンネルが作成されて冗長化)。

8.2 Direct ConnectとVPNの使い分け

  • Q: 今すぐ安価にオンプレとVPCを接続したい場合は?
    A: Site-to-Site VPN(即日設定可能・安価)。大容量・低レイテンシが必要な本番環境はDirect Connect。

8.3 アクセラレーテッドVPN

  • Q: VPN接続を安定・低レイテンシにするための機能は?
    A: アクセラレーテッドSite-to-Site VPN(AWS Global Acceleratorを使ってAWSバックボーン経由で転送)。

8.4 Transit Gateway + VPN

  • Q: 複数VPCへのVPN接続を効率化するには?
    A: Transit GatewayにVPN接続を集約し、TGWルーティングで複数VPCへトラフィックを分散。ECMPで帯域を束ねてスループット向上も可能。
広告

お役立ち情報

姉妹サイト

アンケート

サイト情報