前述のアーキテクチャでは、IPsec 接続には暗号化トンネルが 1 つしかなく、トンネルがダウンすると接続が中断されます。 IPsec 接続の可用性を向上させるため、VPN Gateway ではデュアルトンネルモードの IPsec 接続がサポートされるようになりました。デュアルトンネルモードでは、IPsec 接続には、異なるゾーンにデプロイされたアクティブトンネルとスタンバイトンネルがあります。アクティブトンネルに障害が発生した場合、スタンバイトンネルが引き継ぎます。これにより、ゾーンをまたがるディザスタリカバリが実装されます。
制限
以下のリージョンとゾーンでは、デュアルトンネル IPsec 接続がサポートされています。
説明指定したリージョンでデュアルトンネル IPsec 接続をサポートするゾーンをクエリするには、DescribeVpnGatewayAvailableZones オペレーションを呼び出すことができます。 表にリストされているゾーンと DescribeVpnGatewayAvailableZones オペレーションによって返される情報が異なる場合は、DescribeVpnGatewayAvailableZones オペレーションによって返されるゾーンが優先されます。
デフォルトでは、VPN ゲートウェイを購入した後、デュアルトンネル IPsec 接続のみを作成できます。
ただし、サポートされているリージョンにある既存の VPN ゲートウェイの IPsec 接続は、シングルトンネルモードのみをサポートしています。できるだけ早く既存の VPN ゲートウェイをアップグレードして、デュアルトンネルモードを使用することをお勧めします。 VPN ゲートウェイがアップグレードされると、VPN ゲートウェイでシングルトンネル IPsec 接続を作成できなくなります。 詳細については、「VPN ゲートウェイをアップグレードしてデュアルトンネルモードを有効にする」をご参照ください。
デュアルトンネルモードでのネットワーク
シングルトンネル IPsec 接続は、トンネルに障害が発生すると中断される可能性があります。 デュアルトンネルモードでは、IPsec 接続には、異なるゾーンにデプロイされたアクティブトンネルとスタンバイトンネルがあります。アクティブトンネルに障害が発生した場合、スタンバイトンネルが引き継ぎます。
デュアルトンネル VPN ゲートウェイを作成する場合は、VPN ゲートウェイが属する VPC (Virtual Private Cloud) から異なるゾーンにある 2 つの vSwitch を指定する必要があります。 vSwitch は、ゾーンをまたがるディザスタリカバリを実装するデュアルトンネル IPsec 接続を作成するために使用されます。
説明リージョン内の 1 つのゾーンのみがデュアルトンネルモードをサポートしている場合、ゾーンをまたがるディザスタリカバリはサポートされません。 高可用性を実現するために、ゾーン内の 2 つの vSwitch を指定することをお勧めします。 同じ vSwitch を指定できます。
VPN ゲートウェイを作成すると、システムは 2 つのトンネルを作成するために 2 つの IP アドレスを割り当てます。
パブリック VPN ゲートウェイで SSL-VPN を有効にすると、システムはクライアントと VPN ゲートウェイ間の SSL-VPN 接続の確立に使用される追加の IP アドレスを割り当てます。 SSL-VPN 接続と IPsec-VPN 接続は異なる IP アドレスを使用します。
[VPN Gateway] コンソールでデュアルトンネル IPsec 接続を作成する場合は、2 つのトンネルを個別に構成し、各トンネルをカスタマーゲートウェイに関連付ける必要があります。 2 つのトンネルを同じカスタマーゲートウェイに関連付けることができます。
トンネルを構成した後、デュアルトンネル IPsec 接続を確立するために、オンプレミスゲートウェイデバイスに VPN 構成を追加する必要があります。
重要デュアルトンネル IPsec 接続を作成する場合は、2 つのトンネルを構成し、それらが使用可能であることを確認する必要があります。 トンネルの 1 つのみを構成または使用する場合、アクティブ/スタンバイトンネルおよびゾーンディザスタリカバリに基づく IPsec 接続の冗長性はサポートされません。
デュアルトンネルモードでのデータ転送
VPN ゲートウェイからデータセンターへ (図では緑色で表示)
IPsec 接続を作成するときに 1 つのトンネルのみを構成した場合、データはこのトンネルを介して VPN ゲートウェイからデータセンターに転送されます。 トンネルに障害が発生すると、データ転送は中断されます。
2 つのトンネルを構成した場合、データはデフォルトでアクティブトンネルを介して VPN ゲートウェイからデータセンターに転送されます。 アクティブトンネルに障害が発生した場合、スタンバイトンネルが引き継ぎます。 アクティブトンネルが回復すると、アクティブトンネルが引き継ぎます。
データセンターから VPN ゲートウェイへ (図では黒色で表示)
データセンターから VPN ゲートウェイへのトラフィックパスは、オンプレミスゲートウェイデバイスのルート構成によって異なります。
たとえば、データセンターが IPsec 接続を介して VPC に接続されているシナリオでは、データセンターと VPC 間でアクティブトンネルを介してデータを転送できるように、オンプレミスゲートウェイデバイスにルート構成を追加できます。 また、VPC からデータセンターへのデータ転送にアクティブトンネルを指定し、データセンターから VPC へのデータ転送にスタンバイトンネルを指定することもできます。
デュアルトンネルモードのルート構成に関するガイド
次の推奨事項に基づいて、デュアルトンネル IPsec 接続のルートを構成することをお勧めします。
IPsec 接続の 2 つのトンネルに同じルーティングプロトコル (静的または BGP 動的) を構成することをお勧めします。
IPsec 接続で BGP (Border Gateway Protocol) 動的ルーティングを使用する場合、2 つのトンネルの ローカル ASN は同じである必要があります。 2 つのトンネルのピア ASN は異なっていても構いませんが、同じピア ASN を使用することをお勧めします。
VPN ゲートウェイで複数の IPsec 接続が確立されているシナリオでは、次のようになります。
IPsec 接続に静的ルートを構成する場合、異なる接続のポリシーベースまたは宛先ベースのルートの宛先 CIDR ブロックが互いに重複することはできません。 そうしないと、ルートが有効にならない可能性があります。
IPsec 接続に BGP 動的ルーティングを構成する場合、IPsec 接続を介して VPN ゲートウェイにアドバタイズされるルートの宛先 CIDR ブロックは重複できません。 そうしないと、ルートが有効にならない可能性があります。
シングルトンネルモードとデュアルトンネルモードの比較
シングルトンネル IPsec 接続がデュアルトンネル IPsec 接続にアップグレードされた後も、課金方法は変更されず、追加料金は発生しません。
項目 | シングルトンネルモード | デュアルトンネルモード |
各 IPsec 接続のトンネル数 | 1 | 2 |
必要な vSwitch の数 | VPN ゲートウェイを作成するときに、1 つの vSwitch のみ指定する必要があります。 | VPN ゲートウェイを作成するときに、異なるゾーンにある 2 つの vSwitch を指定する必要があります。 |
高可用性 | 高可用性を実現するには、VPN ゲートウェイで複数の IPsec 接続を作成するか、複数の VPN ゲートウェイを作成する必要があります。 | 1 つの IPsec 接続の 2 つのトンネルで高可用性を実現できます。 |
ルートの重み | サポートされています | サポートされていません |
ヘルスチェック | サポートされています | サポートされていません |
VPN ゲートウェイに割り当てられた IP アドレスの数 | VPN ゲートウェイが作成されると、1 つの IP アドレスのみが割り当てられます。 IP アドレスは、IPsec-VPN または SSL-VPN 接続の作成に使用されます。 | IPsec-VPN と SSL-VPN の両方をサポートする VPN ゲートウェイが作成されると、VPN ゲートウェイには 3 つの異なる IP アドレスが割り当てられます。 IPsec-VPN 接続は、2 つの IP アドレスを使用して 2 つのトンネルを作成します。 SSL-VPN 接続は、1 つの IP アドレスを使用してクライアントに接続します。 3 つの IP アドレスは一意です。 |