AWS VGW / DGW / TGW の比較

Cloud , Networking , Partners
2022年4月20日

3 つの AWS ネットワークゲートウェイを比較し、お客様のビジネスに最適なオプションの選択をお手伝いします。

トランジットゲートウェイ (TGW)

このようなオプションの中から、自社のユースケースに合ったものを探すのは難しい場合があります。このブログ記事では、どのソリューションがビジネスに適しているかを簡単に判断できるように、各サービスについて詳しく説明します。

まず、サービスごとに提供する機能に特徴があるため、ワークロードの要件を考慮することをお勧めします。以下の表に概要を示します。

ここでは、各サービスに固有の利点を分類し、AWS ネットワークゲートウェイがのように変化してきたかを考察します。

comparison table

仮想プライベートゲートウェイ (VGW)

VGW の登場により、同じリージョン内の同じアカウントで複数の VPC がDirect Connect を共有できるようになりました。それ以前は、VPC ごとに Direct Connect プライベート仮想インターフェイス (VIF) を 1:1 で関連付ける必要があり、コストや管理費の面から上手く拡張できませんでした。 VGW は、両方の VPC が同じリージョン内の同一アカウントにある限り、各 VPC 用の新規 Direct Connect 回線に要する経費を削減するソリューションになりました。この構成は、Direct Connect またはサイトツーサイト VPN で使用できます。

ユースケース:
同じリージョン内の複数の VPC が同じ Direct Connect を共有する。

Direct Connect ゲートウェイ (DGW)

DGW は、VGW 機能をベースに構築され、あるリージョン内の VPC を別のリージョン内の Direct Connect に接続する機能を追加します。CIDR アドレスは重複できません。また、トラフィックは VPC-A から Direct Connect ゲートウェイおよび VPC-B へはルーティングされません。トラフィックのルーティングは、必ず VPC-A —> Direct Connect —-> データセンタールーター —-> Direct Connect —> VPC-B の順になります。

ユースケース:
複数の VPC が同じ Direct Connect を共有する複数のリージョンにまたがる。

トランジットゲートウェイ (TGW)

トランジットゲートウェイは、AWS の以前のオファリングに比べ拡張されたルーティングサービスを提供します。トランジットゲートウェイの初期リリースでは Direct Connect をサポートしていなかったため、サイトツーサイト VPN が必要でしたが、このような制限は適用されなくなりました。ただし、各 VPN セッションのスループットは今でも 1.25Gbps に制限されています。この制限を超えて拡張する場合、望ましい総帯域幅に到達するには複数の VPN 接続を追加し、すべての VPN 接続全体でマルチパストラフィックに ECMP を活用する必要があります。ECMP を使えば、1.25 Gbps を超える拡張が可能です。

TGW と AWS Resource Access Manager を併用すると、1 つのトランジットゲートウェイを複数の AWS アカウントにまたがって使用できます。TGW はリージョン間ピアリングもサポートするようになりました。複数の経路テーブルを追加すると、CIDR の重複も可能になります。TGW で複数の経路テーブルを活用できることで VRF (Virtual Routing and Forwarding) のような機能がもたらされ、ルーティングドメインを分離してトラフィックをセグメント化することができます。TGW の大きな利点は、VGW や DGW で見られたように、VPN 上でデータをオンプレミスルーターまで U ターンさせて AWS に戻す必要なく、VPC 間でルーティングできることです。サポートされるリージョンのリストは、「AWS のよくある質問 (FAQ)」ページを参照してください。

ユースケース:
同じリージョン内の複数の VPC が同じ Direct Connect を共有する異なる AWS アカウントにまたがる。

AWS と Megaport

Megaport のソフトウェア定義ネットワーク (SDN) を使用することで、AWS 接続を効率化し、オンデマンドプロビジョニング、セキュリティ強化、ネットワークパフォーマンスの向上を実現することができます。

Megaport のソフトウェア定義ネットワーク (SDN) を使用する際には、 Megaport Cloud Router (MCR) を使って AWS インスタンスを他のクラウドプロバイダーに接続し、 Megaport Virtual Edge (MVE) 上で SD-WAN 統合パートナーの 1 つとブランチからクラウドへの AWS 接続も実現できます。

Megaport のソフトウェア定義ネットワークを利用した AWS サービスへの接続や、お客様のビジネスに適したネットワークアーキテクチャの設計に関する詳細については、こちらから当社のチームにお問い合わせください。

ゼロトラストネットワークアーキテクチャを採用すべきか?

Networking

ゼロトラストネットワークアクセスとは何か、その仕組みはどうなっているかを考察しながら、貴社がゼロトラストアーキテクチャを採用すべきかどうかついて見ていきます。組織がリモートワークをサポートするプロセスやモデルへと移行する際は、セキュリティを最優先事項とすべきです。そこで登場するのが、安全が確認されるまですべてのユーザーを潜在的な脅威と見なす「ゼロトラスト」アプローチです。ゼロトラストネットワークアクセス (ZTNA) は、このトレンドの中核を担う機能です。 Gartner® は次のように述べています。「2024 年末までに、企業の 10% が、自社所有のキャンパス LAN でネットワークアクセス制御 (NAC) や組み込み型スイッチングセキュリティ機能を ZTNA に切り替えることが予想される。これは 2021 年のほぼゼロパーセントからの増加となる。」1 Gartner® による 2022 年予測の詳細については、当社のブログ記事をご覧ください。クラウド業界において急速に大きな話題となっているのがゼロトラストです。ZTNA を使いこなしたいという場合は、以下で ZTNA の仕組みと、ゼロトラストアーキテクチャの採用を検討すべきかどうかについてご覧ください。 ZTNA とは? ゼロトラストネットワークアクセス (ZTNA) とは、企業のアプリケーションの周りに、アイデンティティやコンテキストに基づいた論理的なアクセス境界を作成するプロダクトまたはサービスです。簡単に言えば、すべてのエンドポイントを敵対的なものとして取り扱うネットワーク設定です。この設定は、アプリケーションが検知されないように保護し、アクセスを許可された限定的なエンティティ (通常は組織のリモート従業員) に制限するものです。トラストブローカーがこれらの制限を制御し、アクセスが許可される前に各エンティティのアイデンティティ、コンテキスト、ポリシー遵守状況を確認します。さらに、これらのエンティティは、サイバー脅威に対するネットワークの露出を最小限に抑えるために、セッション中に許可されたアプリケーションからネットワーク内の別の場所に移動することを禁止されています。 ZTNA を実現するために、企業のネットワークチームは、ほとんどのネットワークスイッチングや管理機能セットで見られるフィルタリング、プロファイリング、エンドツーエンドセグメンテーションなどのセキュリティ機能を組み込まずに企業ネットワークを編成します。その代わりに、こうした機能をクラウドサービスに置き換え、そこからアプリケーション認証と承認のリクエストをパブリッククラウドの Points of Presence (PoP) に送信します。つまり、セキュリティ管理プロセスがクラウドに移管されるということです。ZTNA がネットワークに与える負荷の増大によって生じる、アプリの可用性、帯域幅、パフォーマンスの低下の可能性を軽減する役割は、ローカルゲートウェイが担います。企業のネットワークに ZTNA アプローチを採用することは、アダプティブトラストモデルと呼ばれる、条件付きではくケースごとに信頼性が付与されるモデルにつながります。このアプローチにより、特にハイブリッド型やリモートワーク型の職場では、サイバー攻撃の可能性が大幅に低減されます。

Twilio Interconnect、エンタープライズグレードのパフォーマンス強化に Megaport を使用

プライベート接続は、Twilio の製品の安全性とパフォーマンスを強化します。Twilio Interconnect により、顧客によるプライベートクラウドの選択がこれまでになく簡単になりました。 Twilio は、主要なカスタマーエンゲージメントプラットフォームのひとつで、音声、SMS、および E メールをカスタマーサービスに統合する強力な API を開発者に提供していることは、おそらくご存じでしょう。公開 (NYSE:TWLO) 会社の製品は、Stripe、Airbnb、Lyft、Coca-Cola、その他多くの企業により、パーソナライズされたやりとりおよびグローバルコミュニケーションを強化するために使用されています。しかし、企業が Twilio ネットワークに直接接続して、Twilio の製品のエンタープライズグレードを確保できる、会社のインフラストラクチャソリューション、Twilio Interconnect についてはご存じないかと思います。Twilio Interconnect では、物理的なクロスコネクトまたは暗号化された VPN トンネルを使用して、接続することができます。また、Megaport’s Network as a Service (NaaS) など、サードパーティのエクスチェンジを使用することもできます。プライベート接続に関する顧客リクエストへの対応 2016 年 Twilio は、規制およびネットワークパフォーマンスを理由にプライベート接続を求める企業顧客と通信事業者のリクエストに応えて、Twilio Interconnect の最初のバージョンを設計しました。発端の一部は、顧客と通信事業者による Megaport を使用して、Twilio のネットワークにプライベート接続して欲しいという依頼でした。 Twilio の Super Network のディレクターであるアレックス・セバー氏は、次のように述べています。「Twilio へのオンボーディングはできるだけシンプルにしたいと思います。そのため、お客様とは一般的に遠隔でつながります。」「サードパーティエクスチェンジに関しては、Megaport が優先プロバイダーのひとつと言えます。なぜなら、彼らの顧客ベースが当社のものととても良く合っているからです。クラウドネイティブに関しては…すぐに拡張したいです。ロータッチモデルのようなもので。」 Twilio は、わずか 7 つの Points of Presence (PoP) を使用して、100 をかなり上回る数々の国で運用しています。また、世界の利用者に迅速かつ簡単に接続する機能を拡張するために、Megaport のような企業と提携しています。