AWS Direct Connect と Site to Site VPNの違い
Direct Connect と Site to Site VPN はどちらも「オンプレミス環境とAWSを接続する」サービスです。
どちらもVGW(Virtual Private Gateway)を利用しますが、通信の性能・コスト・準備期間という点で異なります。
AWS Direct Connect (DX)
インターネットを介さずに、オンプレミス環境とAWSを専用線で接続するサービスです。
占有型では1Gbpsか10Gbpsのポート速度がサポートされており、それ以外は共有型を利用します。
また、追加でVIF(仮想インターフェイス)を構成すると、安価で独立したネットワーク環境を実現することも可能です。
<特徴>
1. 物理専用線でプライベート接続
(インターネットを経由しないため安全です)
2. 高速なネットワーク帯域で安定した通信
(他ユーザーの影響で通信が混み合うということがありません)
3. データ転送量の削減
(インターネットへのデータ転送料を約1/3に抑えられることがあります)
4. 即座に利用することはできない
(申込から使えるようになるまで数週間かかることがあります)
5. ユーザー自身で冗長化する必要がある
(Direct Connectを2回線用意する, 接続ポイントで複数拠点を使う, 障害時用にSite to Site VPNを用意する..etc)
Site to Site VPN
オンプレミス環境とAWS (VGW, Transit Gateway)の間にVPNトンネルを提供するサービスです。
<特徴>
1. 仮想専用線でプライベート接続
(VPNなので通常のインターネット回線より安全です)
2. 短期間で導入可能
(VPNを構成すれば即座に利用できます)
3. 導入コストが低い
(Direct Connectに比べ導入コストが低いです)
4. 高可用性
(VPNトンネルは冗長性が確保されています)
Direct Connect ゲートウェイ
Direct Connectの追加機能で「オンプレミス環境と複数VPC (異なるリージョン可)」を接続する際に用いられます。
さらにVPCピアリング, AWS Transit Gateway と組み合わせることで、1つオンプレミス環境と複数VPCのネットワーク構成をシンプルにすることも可能です。
VPC ピアリング
2つのVPC間でプライベート接続を行うサービスです。
VPCは独立したネットワークなので本来直接的に通信することはできませんが、VPCピアリング接続をすることでインターネットを経由せずにVPC間で直接通信することができます。
<特徴>
1. データの転送が容易に
(複数アカウント間でVPCをピアリングしネットワークを作成できます)
2. 異なるVPCからのアクセスを許可
(他のVPCからユーザーのVPC内リソースへのアクセスを許可できます)
3. リージョンを越えたピア接続が可能
(EC2やLambdaなどのリソースをGatewayやVPNを使うことなくやり取りできます)
4. IPアドレスの重複はNG
(ピア接続ではプライベートIPアドレスを利用するため重複してはいけません)
Transit Gateway
複雑なピア関係なしに中央のハブとして、オンプレミス環境と複数VPCを接続するサービスです。
<特徴>
1. 複数VPCを一括管理
(追加したVPCを細かく設定する手間が省けます)
2. リージョンを越えたピア接続が可能
(Transit Gatewayに接続されたすべてを瞬時に世界展開できます)
おまけ
VPCエンドポイント
VPCとAWSの各種サービスをプライベートに接続する仮想デバイスです。
VPCエンドポイントには、ルートテーブルにターゲットを追加する「ゲートウェイ型」と、インターネットを経由せずAPIアクセスを行う「インターフェイス型(Privatelink)」の2種類があります。
<対応サービス>
・ゲートウェイエンドポイント:S3, DynamoDBのみ
・インターフェイスエンドポイント: S3, DynamoDB以外(例外はこちら)
