クラウド間VPN くらうどかんぶいぴーえぬ
VPNIPsecクラウド間接続トンネリングセキュリティ
クラウド間VPNについて教えて
簡単に言うとこんな感じ!
AWSとAzureなど異なるクラウド同士をインターネット経由で「秘密のトンネル」でつなぐ仕組みだよ。専用線より安く、でもそこそこ安全にクラウド間通信できるよ!
クラウド間VPNとは
クラウド間VPN(Cloud-to-Cloud VPN)とは、異なるクラウドプロバイダーのVPC同士を、IPsecトンネルを使ってプライベートネットワークのように接続する技術です。通信はインターネット回線を使いますが、IPsecによって暗号化されているため、第三者に内容を盗み見られる心配はありません。
専用線(AWS Direct Connect、Azure ExpressRouteなど)と比較すると、品質や帯域の保証はありませんがコストが大幅に安く、設定が比較的容易という特徴があります。トラフィックが少ない・品質要件が緩いシステムや、開発・検証環境では十分な選択肢です。
接続の仕組み
[AWS VPC] [Azure VNet]
├─ VPN Gateway(AWS側) ├─ VPN Gateway(Azure側)
│ パブリックIP: x.x.x.x │ パブリックIP: y.y.y.y
│ │
└─────── IPsecトンネル(インターネット)──────┘
通信は AES-256 などで暗号化、IKEv2でセッション確立設定に必要な情報
| 設定項目 | 説明 |
|---|---|
| ピアIP | 接続先VPN GatewayのパブリックIPアドレス |
| 事前共有鍵(PSK) | 双方で設定する共通のパスワード |
| 暗号化アルゴリズム | AES-256-CBC など(双方で揃える必要あり) |
| DHグループ | 鍵交換の強度(Group 14以上推奨) |
| BGP設定 | 動的ルーティングの場合(ASN・ピアアドレス) |
各クラウドのVPNサービス
| クラウド | サービス名 | 特徴 |
|---|---|---|
| AWS | Site-to-Site VPN | 2つのトンネルで冗長化、BGP対応 |
| Azure | VPN Gateway | Basic〜VpnGw5まで性能帯域で選択 |
| GCP | Cloud VPN | Classic VPN / HA VPN(高可用性) |
歴史と背景
IPsec VPNはもともとオンプレミス間や拠点間接続(Site-to-Site VPN)として使われてきた技術です。クラウド各社が自社VPCに対してVPN GatewayサービスをAPIで提供するようになったことで、クラウド間での利用が現実的になりました。初期はIPsecの設定が複雑でしたが、現在は各社のコンソールやIaC(Terraform等)で比較的容易に設定できます。
VPN vs 専用線の比較
関連用語
- マルチクラウドネットワーキング — クラウド間ネットワーク全般
- オンプレ〜クラウド間のネットワーク — オンプレとの接続
- TLS — VPNと並ぶ暗号化プロトコル