MENU

AWS/Azureとオンプレ接続のネットワーク設計【実例・VPN・ExpressRoute】

NW(CCNA)
  • URLをコピーしました!

企業ネットワークでは、AWS や Azure をオンプレミス環境と安全に接続し、ハイブリッド構成を構築するケースが一般的になっています。本記事では、AWS と Azure の接続方式(VPN / Direct Connect / ExpressRoute)の違い、設計ポイント、冗長化構成までを実務レベルで解説します。

目次

クラウドとオンプレ接続の基本アーキテクチャ

クラウドとオンプレを接続する方式は大きく 2 種類に分類されます。

  • VPN接続(IPsec) … 低コスト・導入が簡単・インターネット経由
  • 専用線接続(Direct Connect / ExpressRoute) … 高信頼・高帯域・低遅延

用途や予算に応じて選択する必要があります。

AWS とオンプレ接続の構成パターン

1. AWS Site-to-Site VPN(最も手軽な構成)

オンプレ側のルータまたはファイアウォールと、AWS のVirtual Private Gateway(VGW)を IPsec で接続する方式です。

  • インターネット経由のため低コスト
  • 基本帯域は 1Gbps 未満(実効は 200〜400Mbps 程度)
  • BGP による経路交換が可能

ベストプラクティス

  • VPN トンネルは 2本(AWS が自動で2つ用意)
  • オンプレ側も冗長ルータを用いて二重化が望ましい
  • 重要トラフィックは専用線と組み合わせる(後述)

2. AWS Direct Connect(高品質な専用線)

オンプレから AWS との間に閉域網を構築できます。

  • 低遅延・高帯域(1Gbps〜100Gbps)
  • 通信がインターネットを経由しない
  • ハイブリッド構成で最も安定

Direct Connect Gateway を利用することで複数リージョンの VPC にアクセス可能です。

ベストプラクティス

  • Direct Connect の冗長回線(デュアル接続)を必須化
  • VPN と併用することで災害時フェイルオーバも可能
  • BGP のメトリック調整で優先経路を制御

Azure とオンプレ接続の構成パターン

1. Azure VPN Gateway(手軽で柔軟)

Azure 側の VPN Gateway とオンプレを IPsec で接続する構成です。

  • Site-to-Site IPsec 接続
  • BGP によるルート交換に対応
  • SKU によりスループットが大きく異なる

ベストプラクティス

  • Gateway SKU は最初から上位を選定(VpnGw2/3以上)
  • Active-Active 構成を採用して冗長化
  • NVA(仮想FW)と組み合わせる場合は経路設計を明確にする

2. ExpressRoute(閉域網の高品質接続)

Azure とオンプレをキャリア網で接続します。

  • インターネット非経由
  • SLAが高く重要システム向け
  • 帯域保証(50Mbps〜10Gbps)

ベストプラクティス

  • ペア回線構成(Primary/Secondary)を必須採用
  • VPN Gateway の IPsec をバックアップ経路に追加
  • 経路フィルタリングと BGP コミュニティによる制御

AWS と Azure の接続比較

項目AWSAzure
簡易VPNSite-to-Site VPNVPN Gateway
専用線Direct ConnectExpressRoute
冗長化DCは2本必須・VPN併用推奨ERはPrimary/Secondary必須
クロスリージョン接続DX Gatewayで対応ER Global Reach で対応

よくある実装例

実例1:まずは VPN で開始し、後から専用線に移行

オンプレ ー IPsec VPN ー AWS/Azure
オンプレ ー Direct Connect / ExpressRoute(追加)

段階的導入ができ、最も現実的な構成です。

実例2:拠点数が多い場合の Hub & Spoke 構成

クラウドを中心ハブとし、オンプレ複数拠点を接続する方式です。

  • Azure Hub & Spoke
  • AWS Transit Gateway

ルーティングやセキュリティの一元管理が可能です。

実例3:アクティブ/スタンバイ冗長構成

  • 優先:Direct Connect / ExpressRoute
  • バックアップ:IPsec VPN

クラウド連携で最も一般的な冗長構成です。

設計時に考慮すべきポイント

1. 経路制御の明確化(BGP設計)

  • 優先経路とバックアップ経路のメトリック調整
  • オンプレ側の経路集約
  • ループ防止(AS Path / Local Preference)

2. セキュリティ設計

  • NVA / FW の導入(FortiGate, PaloAlto, Cisco etc.)
  • インバウンド/アウトバウンドの最小化
  • ログの中央管理(SIEM連携)

3. IPアドレス設計

  • オンプレとクラウドのアドレス重複を禁止
  • RFC1918の推奨範囲を明確に設計
  • 将来の拡張(VPC/VNet追加)を考慮した体系化

4. 帯域・遅延の要件確認

オンプレアプリの要件によっては VPN では不足することがあります。

  • 大量ファイル転送 → 専用線
  • VDI / リアルタイム通信 → 専用線推奨

まとめ

AWS・Azure とオンプレ接続は、VPN・Direct Connect・ExpressRoute の組み合わせで柔軟なハイブリッド構成が実現できます。特に、専用線とVPNを併用した「二重化構成」は、実務でも最も安定した方式です。

本記事を参考に、自社の要件(帯域・コスト・信頼性)に合わせて最適な接続方式を選定していただければと思います。

NW(CCNA)
目次