すべてのプロダクト
Search

このプロダクト

    VPN Gateway:関連付けモードの選択:VPN Gateway または Transit Router

    ドキュメントセンター

    VPN Gateway:関連付けモードの選択:VPN Gateway または Transit Router

    最終更新日:Mar 12, 2026

    IPsec-VPN は、VPN Gateway と Transit Router の 2 つの関連付けモードをサポートしており、それぞれスケールと可用性要件に基づいて異なるネットワークアーキテクチャに適しています。

    クイック決定ガイド

    1. 接続する必要がある VPC の数はいくつですか?

      • 単一の VPCVPN Gateway を選択

      • 複数の VPC (同一リージョンまたはクロスリージョン) → Transit Router を選択

    2. ECMP 負荷分散が必要ですか?

      • 不要 (アクティブ/パッシブディザスタリカバリで十分) → VPN Gateway がニーズを満たします

      • トラフィックを複数のリンクで同時に転送する必要がある場合は、Transit Router を選択します。

    3. 帯域幅の要件はどのくらいですか?

      • 1 Gbps 以下 → どちらのオプションも機能します

      • 1~2 GbpsTransit Router を選択 (単一接続は最大 2 Gbps をサポート)

      • 2 Gbps を超えるTransit Router + 複数の ECMP 接続を選択して帯域幅をスケーリング

    4. SSL-VPN が必要ですか?

      • リモートアクセスに SSL-VPN が必要VPN Gateway (クラシック) を選択

      • どちらも不要 → 上記の基準に基づいて決定

    機能比較

    比較項目

    VPN Gateway

    Transit Router

    ユースケース

    オンプレミスネットワークがクラウド内の単一の VPC に接続

    オンプレミスネットワークがクラウド内の複数の VPC に接続

    サポートされている暗号化アルゴリズム

    • IKE/IPsec 暗号化 AES128、AES192、AES256、DES、3DES、AES128-GCM-16 (拡張版 VPN Gateway のみ)、AES256-GCM-16 (拡張版 VPN Gateway のみ)

    • IKE/IPsec 認証: SHA1、MD5、SHA256、SHA384、SHA512

    • IKE/IPsec 暗号化 AES128、AES192、AES256、DES、3DES

    • IKE/IPsec 認証: SHA1、MD5、SHA256、SHA384、SHA512

    トンネルモード

    デュアルトンネル (アクティブ/パッシブ)

    一部のレガシー VPN Gateway インスタンスは、シングルトンネル IPsec-VPN 接続のみをサポートしています。デュアルトンネルモードへのアップグレードを推奨します。

    デュアルトンネル (ECMP)

    レガシーのシングルトンネル IPsec 接続には高可用性がありません。ネットワーク接続に影響を与えることなく、それらを削除して再作成することを推奨します。新しい IPsec 接続はデフォルトでデュアルトンネルモードになります。

    高可用性メカニズム

    アクティブ/パッシブ切り替え: トラフィックはデフォルトでプライマリトンネルを使用し、障害発生時には自動的にセカンダリトンネルにフェイルオーバーします

    ECMP 負荷分散: 両方のトンネルが同時にトラフィックを転送し、相互バックアップとして機能します

    IPsec 接続あたりの最大帯域幅

    拡張版: 1 Gbps (接続ごとに専用)

    クラシック版: すべての接続で共有、最大 1 Gbps (一部のリージョンでは 500 Mbps)

    2 Gbps (トンネルあたり最大 1 Gbps)

    レガシーのシングルトンネル接続は最大 1 Gbps をサポートします

    帯域幅のスケーリング

    クラシック版はスケーリングできません。拡張版は複数の IPsec 接続をサポートします

    最大 32 の接続によるマルチ接続 ECMP をサポートし、負荷分散を実現します

    1 秒あたりのパケット数 (pps)

    VPN Gateway インスタンスあたり 120,000 pps (すべての接続で共有)

    トンネルあたり 120,000 pps (デュアルトンネルモード)

    レガシーのシングルトンネル接続: 接続あたり 120,000 pps

    SSL-VPN

    従来のサポート

    サポートされていません

    BGP 動的ルーティングエントリ

    拡張版: 200、クラシック版: 50

    トンネルあたり 1,000、合計 2,000

    説明

    拡張版とクラシック版 VPN Gateway の違い:

    • 拡張版: IPsec 接続あたり 1 Gbps の専用帯域幅、ポリシーベースルーティングまたは中国暗号アルゴリズムはサポートされていません。

    • クラシック版: すべての接続で共有される帯域幅 (最大 1 Gbps)、ポリシーベースルーティングと中国暗号アルゴリズムをサポートしています。

    • 新規デプロイメントには、拡張版の使用を推奨します。詳細については、「VPN Gateway タイプを選択」をご参照ください。

    トンネルモードの選択

    デュアルトンネルモード (推奨)

    デュアルトンネルは現在のデフォルトモードであり、新しい IPsec 接続を作成すると自動的に有効になります。

    • 各 IPsec 接続には、異なるゾーンにデプロイされた 2 つのトンネルが含まれます

    • ゾーンレベルのディザスタリカバリとリンク冗長性を提供します

    • VPN Gateway に関連付けられている場合はアクティブ/パッシブモードを使用し、Transit Router に関連付けられている場合は ECMP モードを使用します

    重要

    両方のトンネルをアクティブとして構成します。単一のトンネルのみを使用すると、冗長性が失われ、 SLA が無効になります。

    シングルトンネルモード (レガシーのみ)

    シングルトンネルモードは以前のバージョンからのものです。新しい IPsec 接続はシングルトンネルモードをサポートしなくなりました。

    • レガシー VPN Gateway インスタンスのみがシングルトンネル IPsec 接続を持つ場合があります

    • ゾーンレベルのディザスタリカバリ機能がありません

    • デュアルトンネルモードへのアップグレードを強く推奨します

    ネットワークタイプの選択

    Transit Router に関連付けられた IPsec 接続を作成する際に、ネットワークタイプを選択します。

    ネットワークタイプ

    説明

    ユースケース

    インターネット

    インターネット経由で IPsec トンネルを確立します

    Express Connect 回線が利用できない場合、または Express Connect + VPN をアクティブ/パッシブバックアップとして使用する場合

    プライベートネットワーク

    既存の Express Connect プライベートネットワーク経由で IPsec トンネルを確立し、トラフィックを暗号化します

    すでに Express Connect 回線がある場合、コンプライアンスにより暗号化された伝送が必要な場合

    ルーティング方法の選択

    IPsec-VPN は、クラウドトラフィックがご利用のオンプレミスデータセンターに転送される方法を決定する 3 つのルーティング方法をサポートしています。

    BGP 動的ルーティング (推奨)

    最も柔軟なオプションです。クラウドとご利用のオンプレミスゲートウェイは、BGP を使用してルートを自動的に学習し、公開します。ご利用のネットワークが変更された場合、ルートは自動的に更新されます。

    メリット:

    • ルートは自動的に学習および収束されます。手動でのルートテーブルのメンテナンスは不要です。

    • ネットワークトポロジーの変更 (サブネットの追加や削除など) に自動的に適応します

    • 障害発生時にルートを自動的に切り替え、より高速な回復を実現します

    • 中規模から大規模なネットワークやマルチサイトシナリオに最適です

    要件:

    • ご利用のオンプレミスゲートウェイデバイスは BGP をサポートしている必要があります

    • 各トンネルに BGP ASN と BGP ピア IP を構成する必要があります

    静的宛先ベースルーティング (シンプルなシナリオ)

    ご利用のローカル CIDR ブロックを指す静的ルートを手動で構成します。シンプルかつ直接的で、サブネットが少ない安定したネットワークトポロジーに最適です。

    メリット:

    • シンプルな構成。BGP 依存関係はありません。

    • 小規模ネットワークや PoC (概念実証) デプロイメントに適しています

    制限事項:

    • ご利用のオンプレミスネットワークが変更された場合、ルートを手動で更新する必要があります

    • 拡張版 VPN Gateway は最大 50 ルート、クラシック版は最大 30 ルートをサポートしています

    ポリシーベースルーティング (詳細な制御、クラシック VPN Gateway のみ)

    送信元および宛先 CIDR ブロックに基づくルーティングポリシーにより、異なるトラフィックがどの IPsec 接続を使用するかを正確に制御できます。

    メリット:

    • 送信元および宛先アドレスに基づく詳細なルーティング制御を可能にします

    • 複数の接続間でのトラフィック分割に最適です

    制限事項:

    • クラシック VPN Gateway のみでサポートされており、拡張版ではサポートされていません

    • ポリシーベースルートのデフォルト制限は 20 です

    • 構成とメンテナンスの複雑さが増します

    ルーティング方法の比較

    基準

    BGP 動的ルーティング

    静的宛先ベースルーティング

    ポリシーベースルーティング

    ルート管理

    自動学習

    手動構成

    手動構成

    サポートされている関連付けモード

    VPN Gateway、Transit Router

    VPN Gateway、Transit Router

    クラシック VPN Gateway のみ

    推奨レベル

    強く推奨

    シンプルなシナリオに適しています

    送信元および宛先アドレスに基づく詳細なルーティング制御など、特定のニーズにのみ対応

    決定のまとめ

    VPN Gateway の選択

    • 単一の VPC に接続する

    • SSL-VPN (クライアント-サイト間) リモートアクセスが必要な場合 (クラシック VPN Gateway を選択)

    • 可用性のためにアクティブ/パッシブディザスタリカバリのみが必要な場合

    Transit Router の選択

    • 複数の VPC (同一リージョンまたはクロスリージョン) に接続する

    • ECMP ベースの高可用性と負荷分散が必要な場合

    • Express Connect 回線経由でトラフィックを暗号化する必要がある場合

    • 接続あたり 1 Gbps を超える帯域幅が必要な場合

    • 複数のサイト間で完全な相互接続性を備えた大規模ネットワークを運用する場合

    • 多数の BGP ルート (最大 2,000) を処理する必要がある場合