AWSにおけるVGWの基本と設定方法

そもそもVGWとは何か

「VGW」とは、「仮想プライベートゲートウェイ」の略称です。しかしながら、「VGW」と聞いて、すぐにその内容を連想できる方は少ないのではないでしょうか。

「VGW」は、企業内のネットワークからAWS上のシステムを利用する際、まるで自分のPCネットワーク内部にあるかのように「VPN」を利用できる仕組みです。

この「VGW」を理解するには、AWSのVPN利用方法についての理解が不可欠です。まずは、VGWを用いるAWSのVPNの仕組みについて紹介して行きましょう。

企業のクラウド利用の課題をAWSで解決

AWSのようなクラウドに企業の情報システムを移すことで、各支店やテレワークの自宅からも接続できるようになるため、仕事の面で便利になるイメージがあるのではないでしょうか。

しかし、何の対策もなく企業の情報システムをインターネットに公開するのは危険です。さらに、各支店のネットワークは本社経由でインターネットに接続する企業が多く、クラウド上のシステムはレスポンスが悪いなど、デメリットばかりが目立ちます。

これではクラウドのメリットが台無しです。

そこでAWSのクラウドを利用すれば、企業の情報システムを、各拠点から社内LANのように安全に運用できるようになります。

Amazon VPCを使うには

AWSのようなクラウドは、インターネットさえ繋がっていればどこからでも接続できる点がメリットですが、企業の情報システムをそのようなクラウドに設置することはリスクが高く、実現が難しいという側面があります。

しかし、クラウド上に特定のネットワークからしか接続できない仮想ネットワークを構築できれば、安全対策ができます。さらに接続経路を暗号化すれば、社内LANと同程度の安全なシステムをクラウド上に構築できます。

AWSで仮想的なネットワークを構築し、Amazon EC2のサーバーを稼働させるサービスが「Amazon VPC(Amazon Virtual Private Cloud)」です。

さらにAWSでは、Amazon VPCに暗号化されたVPN(Virtual Private Network)でAmazon VPCに接続するための機能も提供しています。なお、今回紹介するVGWは、Amazon VPCに接続するための仕組みです。

Amazon VPCに接続するには

Amazon VPCは、Amazon EC2のインスタンスを仮想的な閉じたネットワークに接続しているので、インターネットからは接続できません。そこで、Amazon VPCの外から接続するために専用のゲートウェイを設置します。

企業のLANからAWSに接続してAmazon VPCを利用する場合に設置するのがVGW(仮想プライベートゲートウェイ)です。

VGWは、企業のLANからAWSに接続するためのサービス、「AWS Direct Connect」に接続して利用します。

今回紹介するVGWを理解するには、AWSのクラウド内に作った仮想的なサーバー環境のAmazon VPCと、企業の各拠点のルーターとAWSに接続するためのAWS Direct Connectについても知っておくと良いでしょう。

AWSにおけるVGWの位置付け

AWSにおけるVGWの位置付けは、クラウド上に仮想的な企業のデータセンターを構築するAmazon VPCに接続するための手段の1つです。ただし、Amazon VPCに接続する方法はVGWだけではありません。

ここからは、Amazon VPCに接続する方法としての「AWSにおけるVGWの位置付け」について見て行きましょう。

企業内のネットワークから接続する場合はVGW

企業のネットワークからAmazon VPCを利用するには、各拠点のLANとAWSを直接接続するサービスを利用します。

次に、回線速度と暗号化によるセキュリティを確保し、さらにAmazon VPCの企業LAN向けのゲートウェイに接続します。

そこで、企業の各拠点のLANとAWSとをVPNで接続するサービスがAWS Direct Connectです。

また、Amazon VPCの企業LAN向けのゲートウェイが、本記事で紹介しているVGW(仮想プライベートゲートウェイ)です。

ただし、このVGWを作ればすぐに接続できる訳ではありません。Amazon VPC内のサーバーを企業の社内LANから接続できるように、ルーティングの情報も必要です。

VGWを設置する場合は必ず設定してください。

インターネットから接続する場合はIGW

ここまでで、AWSのクラウドに企業の情報システムを設置したとしても、会社のLANからしか接続できないのでは、現代では不便で使いものにならないでしょう。

その点、AWSではAmazon VPCにインターネットから接続するための、特別な仕組みを用意しています。

Amazon VPCをインターネットに接続した自宅などからアクセスする場合に利用する仕組みがIGW(インターネットゲートウェイ)です。

なお、安全に接続するにはVPN接続が必要です。IGWを経由してAmazon VPCのサーバーに接続する場合は、AWS クライアント VPNなどを利用してみてください。

VGWを設定するには

VGW(仮想プライベートゲートウェイ)の生成・削除・修正といった設定は、専用の管理コンソール、または、コマンドラインやAPIから操作します。

続いて、管理コンソールを使った、VGW(仮想プライベートゲートウェイ)の設定手順について説明します。

AWS Direct Connectの利用が前提

VGW(仮想プライベートゲートウェイ)はAWS Direct Connectの機能の一部です。そして、AWS Direct Connectを使用することでAWSアカウントを利用してAmazon VPCに接続できます。

つまり、VGWを利用するには、事前にAWS Direct Connectを設定しておく必要があるということです。

なお、AWS Direct Connectは、企業の本社または地方拠点とAWSとを、光ケーブルで直接接続するサービスです。そして最寄のリージョンに接続すれば、AWS内のネットワークを利用して、異なるリージョンに設置されたAamzon EC2のサーバーなども利用できます。

さらに、Amazon VPCにより作成したインターネットに非公開のサーバーをAWS Direct Connectに接続するための仕組みがVGWです。

VGWを設定する

VGW(仮想プライベートゲートウェイ)を利用するには、専用の管理コンソールからの設定が必要です。まずは、AWSのマネジメントコンソールにログインし、VGWの管理画面に移動してください。

なお、AWSには多くのサービスがあるので、機能一覧から探すのは面倒です。

検索枠に「Virtual Private Gateways」を指定して検索することで、AWS Direct Connectの機能の中にある仮想プライベートゲートウェイの設定画面を見つけられます。

そして、この画面の「仮想プライベートゲートウェイを作成する」ボタンを押すと、VGWを作成できます。

VGWをAmazon VPCにアタッチする

上記の手順で作成したVGWは、先ほどと同じ管理コンソールの「ゲートウェイの関連付け」でAmazon VPCにアタッチします。

なお、VGWを設定する場合は、すでにAmazon VPCがあることが前提です。先にAmazon VPCを設定した後にVGWをアタッチしてください。

さらに、アタッチを解除する際も同じ管理画面で操作します。なお、違うAmazon VPCがある場合は、この管理画面で切り替えることも可能です。

さらにVGWをAmazon VPCにアタッチしたら、ルートテーブルにDirect Connectを使用して接続するためのルートを追加設定してください。

AWSのサービスでVGWを監視するには

VGW(仮想プライベートゲートウェイ)を設定したら、それで終わりではありません。自社の装置だけの閉じた環境ではないだけに、トラブル対策が重要です。

異変に気付いたら、すぐに対策しましょう。そのためにはVGWを監視する仕組みが重要です。

VGWを監視する仕組みとして、Amazon CloudWatchのVPNトンネルモニタリング機能を活用することで実現できます。

なお、Amazon CloudWatchは、AWS リソースと AWS で実行するアプリケーションのモニタリングサービスです。

AWS Direct Connectの監視機能を利用し、VGWを監視して行きましょう。