すべてのプロダクト
Search

このプロダクト

    VPN Gateway:VPN Gateway インスタンス

    ドキュメントセンター

    VPN Gateway:VPN Gateway インスタンス

    最終更新日:Oct 18, 2025

    IPsec-VPN 接続を確立する前に、まず VPN Gateway インスタンスをデプロイする必要があります。

    仕組み

    VPN Gateway インスタンスは、Virtual Private Cloud (VPC) とオンプレミスのデータセンター間のミドルウェアとして機能します。トラフィックフローは次のように管理されます:

    • VPC からオンプレミスのデータセンターへ:

      1. パケットの受信: VPC ルートエントリは、トラフィックを VPN Gateway インスタンスに転送します。

      2. 暗号化とカプセル化: VPN Gateway インスタンスは IPsec 暗号化を適用し、自身のパブリック IP をソース、データセンターのパブリック IP を宛先としてパケットをカプセル化します。

      3. データセンターへの転送: オンプレミスのデータセンターのゲートウェイデバイスは、パケットを受信、復号、復元し、ソースと宛先の IP をそれぞれのプライベートアドレスに変換し、ローカルポリシーに従ってルーティングします。

    • オンプレミスのデータセンターから VPC へ:

      1. 暗号化されたトラフィックの受信: VPN Gateway インスタンスは、自身のパブリック IP で IPsec-VPN 接続をリッスンし、データセンターから暗号化されたデータを受け入れます。

      2. パケットの復号と復元: インスタンスはパケットを非カプセル化し、VPC 用に復元します。

      3. ルーティングと転送: 復元されたパケットは、ルーティングポリシーに基づいて VPN Gateway インスタンスによって VPC 内の宛先インスタンスに転送されます。

    VPN Gateway インスタンスの作成

    新しく作成された VPN Gateway インスタンスは、デュアルトンネルモードの IPsec-VPN 接続のみをサポートします。既存のシングルトンネル VPN Gateway インスタンスがある場合は、IPsec-VPN 接続をデュアルトンネルモードにアップグレードして、高可用性を確保し、最新の機能を利用できるようにしてください。

    コンソール

    コンソールを使用して VPN Gateway インスタンスを作成するには、VPN Gateway 購入ページに移動し、次のパラメーターを設定します:

    • リージョン: VPC と同じリージョンを選択します。

    • ゲートウェイタイプ: ゲートウェイが IPsec-VPN 接続に業界標準の商用暗号アルゴリズムを使用するように、[標準] を選択します。

    • ネットワークタイプ: [パブリック] を選択して、IPsec-VPN 接続にパブリック IP アドレスを割り当てます。プライベート接続の場合は、プライベート IPsec-VPN 接続を使用し、それをトランジットルーターにバインドします

    • トンネル: [デュアルトンネル] を選択して可用性を高めます。

      • 関連付けられた VPC と、異なるアベイラビリティゾーンにある 2 つの vSwitch を選択します。IPsec-VPN が有効になると、システムは各 vSwitch に Elastic Network Interface (ENI) を作成します。これらの ENI は、IPsec-VPN 接続と VPC 間のトラフィックインターフェイスとして機能し、各 ENI は 1 つの IP アドレスを消費します。

      • 単一のアベイラビリティゾーンのみをサポートするリージョンでは、ゾーンレベルのディザスタリカバリは不可能です。IPsec-VPN 接続の高可用性を維持するには、同じゾーン内の 2 つの異なる vSwitch を選択します。

        単一ゾーンのみをサポートするリージョン

        中国 (南京 - ローカルリージョン)、タイ (バンコク)、韓国 (ソウル)、フィリピン (マニラ)、UAE (ドバイ)、メキシコ。

      • 関連付けられた vSwitch は、VPN Gateway インスタンスの作成後は変更できません。

    • 最大帯域幅: サポートされる最大帯域幅はリージョンによって異なります。10 Mbit/s または 5 Mbit/s を選択した場合、オンプレミスのデータセンターから VPN Gateway インスタンスへのインバウンドピーク帯域幅は 10 Mbit/s に制限されます。

    • [IPsec-VPN] を有効にし、[SSL-VPN] を無効にします。

      作成時に IPsec-VPN が有効になっていない場合は、後でコンソールで VPN Gateway インスタンスを見つけ、[機能設定] 列の [有効化] をクリックして有効にできます。

    API

    API を使用して VPN Gateway インスタンスを作成するには、CreateVpnGateway 操作を呼び出し、必須パラメーターを指定します。

    VPN Gateway インスタンスのアップグレード

    VPN Gateway インスタンスは、機能の強化、互換性の向上、およびサードパーティデバイスとの相互運用性の向上のために定期的に更新されます。古いバージョンを実行すると運用上のリスクが生じる可能性があるため、ネットワークの安定性を確保し、利用可能なすべての機能にアクセスするために、最新バージョンへのアップグレードが推奨されます。

    • アップグレードチェック: 詳細ページで [アップグレード] ボタンのステータスを確認して、VPN Gateway インスタンスのバージョンを確認します。新しく作成されたインスタンスは、デフォルトで最新バージョンです。

    • アップグレードの期間とコスト:

      • アップグレードには通常約 10 分かかります。

        重要

        アップグレード中、VPN Gateway インスタンスは利用できなくなり、既存の接続はすべて中断されます。サービスへの影響を最小限に抑えるために、メンテナンスウィンドウ中にアップグレードをスケジュールしてください。

      • このプロセスは無料です。

    • アップグレードの制限:

      • VPN Gateway インスタンスに IPsec-VPN 接続がない場合、アップグレード後もその設定は変更されません。

      • VPN Gateway インスタンスに IPsec-VPN 接続がある場合:

        • 複数の CIDR ブロックで設定され、IKEv1 を使用している接続の場合、アップグレードする前に IKE バージョンを IKEv2 に変更するか、CIDR ブロックを個別の IPsec-VPN 接続に分割してください。そうしないと、アップグレードは失敗します。

        • [ポリシーベースのルートテーブル]」または「[宛先ベースのルートテーブル]」機能がサポートされていないことを示すプロンプトが表示される場合、または VPN Gateway インスタンスが 2019 年 3 月 21 日より前に作成され、アップグレードされていない場合、古いバージョンでは IPsec-VPN 接続にトラフィックセレクターを設定するだけで、ルート設定は不要であったことに注意してください。ただし、最新バージョンではルート設定が必須です。したがって、VPN Gateway インスタンスをアップグレードした後は、IPsec-VPN 接続が正しく機能するように、必ず必要なルートを設定してください。

        • その他の場合、アップグレード後も IPsec-VPN 接続の設定は変更されません。

    コンソール

    1. VPN Gateway コンソールにログオンします。トップナビゲーションバーで、VPN Gateway インスタンスがデプロイされているリージョンを選択します。

    2. ターゲットインスタンスの ID を見つけてクリックし、詳細ページにアクセスしてから、[アップグレード] をクリックしてアップグレードプロセスを開始します。

    VPN Gateway インスタンスの削除

    VPN Gateway インスタンスを削除する前に、関連付けられた IPsec-VPN 接続SSL サーバー、または IPsec サーバーがないことを確認してください。

    コンソール

    ターゲット VPN Gateway インスタンスの [操作] 列で、[削除] をクリックします。

    API

    DeleteVpnGateway 操作を呼び出して、指定された VPN Gateway インスタンスを削除します。

    クォータと制限

    • オンプレミスのデータセンターと VPN Gateway インスタンス間のインバウンドおよびアウトバウンドトラフィックのピーク帯域幅は、IPsec-VPN トンネルモードとインスタンスの指定されたピーク帯域幅によって異なります。

      IPsec-VPN トンネルモード

      VPN Gateway ピーク帯域幅

      ピークアウトバウンド帯域幅

      ピークインバウンド帯域幅

      デュアルトンネル

      > 10 Mit/s

      VPN Gateway インスタンスのピーク帯域幅

      VPN Gateway インスタンスのピーク帯域幅

      ≤ 10 Mit/s

      VPN Gateway インスタンスのピーク帯域幅

      10 Mbit/s

      シングルトンネル

      > 100 Mit/s

      VPN Gateway インスタンスのピーク帯域幅

      VPN Gateway インスタンスのピーク帯域幅

      ≤ 100 Mit/s

      VPN Gateway インスタンスのピーク帯域幅

      100 Mbit/s

    • VPN Gateway インスタンスでサポートされる最大ピーク帯域幅はリージョンによって異なります。

      最大

      リージョン

      1,000 Mbit/s

      中国 (杭州)、中国 (上海)、中国 (青島)、中国 (北京)、中国 (張家口)、中国 (フフホト)、中国 (ウランチャブ)、中国 (深圳)、中国 (河源)、中国 (広州)、中国 (成都)、中国 (香港)、シンガポール、日本 (東京)、マレーシア (クアラルンプール)、インドネシア (ジャカルタ)、タイ (バンコク)、韓国 (ソウル)、フィリピン (マニラ)、米国 (シリコンバレー)、米国 (バージニア)、ドイツ (フランクフルト)、英国 (ロンドン)、メキシコ

      500 Mbit/s

      中国 (南京 - ローカルリージョン)、UAE (ドバイ)、SAU (リヤド - パートナーリージョン)

      SAU (リヤド - パートナーリージョン) リージョンはパートナーによって運営されています。

    課金

    • インスタンス料金: VPN Gateway インスタンスには、インスタンス料金とトラフィック料金の両方が発生します。

    • 設定変更: 既存の VPN Gateway インスタンスで IPsec-VPN を有効にすると、現在の課金サイクルの残りの期間について、その機能の差額が課金されます。

    • バージョンアップグレード: VPN Gateway インスタンスのアップグレードは無料です。