AWS(Amazon Web Services)はクラウド上のサービスですが、社外に広く公開するオープンなシステムだけでなく、クローズドな社内システムの構築にも利用されます。このような社内システムがオンプレミスに置かれた企業システムとシステム間連携することや、社内ユーザのイントラネット内からの利用があることを想定するとイントラネットとAWS間のクローズドな接続も必要となります。
これはAWSの東京リージョンひとつを利用する場合にはもちろんのこと、DR対策として大阪リージョンに災対サイトを持つ場合も考慮が必要となります。
イントラネットと災対サイトとの接続なし
主サイトとなる東京リージョンとは別に、災対用サイトとして大阪リージョンを利用するだけではDR対策としては不十分です。Direct Connect ロケーションのTY2やCC1が東京(関東)にあるため、大規模な災害時には影響を受ける可能性があります。
災害時にもイントラネットとの接続が保てるようにするには次に示すように、OS1などの関西のDirect Connect ロケーションを使って二重化しておくことになります。
Direct Connectを使った専用線接続
AWS Direct Connectを使えば、企業のイントラネットとAWSの間にクローズドなネットワーク環境を簡単に構築することができます。この時のイントラネットとDirect Connectロケーションとの接続方法は専用線と閉域網の二種類があります。
まず一つ目は、専用線により接続する方法をご説明します。
専用線接続は、インターネットとは物理的に分離されているため、セキュリティが高いだけではなく、専用回線を完全に占有するためより安定したパフォーマンスが得られます。
ここで注意が必要なのは、イントラネットとDirect Connectロケーションとの間の専用線は利用する企業側で準備する必要があります。AWSの提供範囲はDXロケーションまでということです。専用線を使う方法が理想ですが、コストは高くなるため、DR対策としてだけのために専用線を常に維持するのは判断が難しいところです。
Direct Connectを使った閉域網接続
二つ目は、閉域網により接続する方法をご説明します。
回線事業者自身が持つ閉域網を利用して、物理的または論理的な専用接続を実現する方法もあります。この方法は、専用線接続と比べると、セキュリティやパフォーマンスの安定性には劣りますが、次のインターネットVPNと比べると低コストでセキュアな接続を実現できるため、DR対策としては検討する価値が高いといえます。
インターネットVPN接続を使った接続
イントラネットとAWS間の接続を、低コストで論理的にクローズドな環境で接続する方法が、インターネットVPN(IPsec VPN)です。
インターネットVPNの場合は、IPsecにより暗号化されているとはいえ、オープンなインターネット回線を利用することに変わりはありません。また、インターネット回線を使っているため、通常は回線が混み合っている場合は、AWSとの通信に遅延が発生する可能性があります。
AWSのようなクラウドの場合、ネットワークのパフォーマンスがより直接的にシステム全体のパフォーマンスに影響するので、基幹系システムなどの重要なシステムをAWSに置く場合は、災対サイトの場合でも専用線や閉域網接続を検討する方が良いでしょう。
AWSとのイントラネット接続について(DR対策)まとめ
AWSとのイントラネット接続について、DR対策としては、リージョンを冗長化するだけでなく、Direct Connect ロケーションを冗長化する必要性をご説明しました。
また、AWSとのイントラネット接続について、Direct Connectを使った2パターンとインターネットVPNを使ったパターンもご説明いたしました。
コストとセキュリティ・パフォーマンスのトレードオフを意識し、業務要件を考慮して必要な接続方式を検討して下さい。
