AWS VPN のよくある質問

Q: 課金対象となる VPN 接続時間はどのように定義されますか?

VPN 接続時間によるご請求は、VPN 接続が「利用可能」状態であった時間に対して発生します。VPN 接続の状態を調べるには、AWS マネジメントコンソール、CLI、または API を使用します。VPN 接続を使う必要がなくなった場合は、VPN 接続を終了すれば、それ以上 VPN 接続時間として請求されることはありません。

Q: 料金は税込み価格ですか?

A: 別途記載がない限り、表示される料金には VAT、売上税その他取引に対して適用される一切の税金等および関税は含まれません。日本の居住者であるお客様が AWS サービスをご利用になった場合には、料金とあわせて別途消費税をご請求させていただきます。詳細はこちら。

Q: VPN の接続にはどのようなオプションがありますか?

A: 仮想プライベートゲートウェイ経由でハードウェア VPN 接続を使用して、お客様の自社データセンターに VPC を接続できます。

Q: インスタンスにパブリック IP アドレスがない場合、どのようにインターネットにアクセスすればよいですか?

A: パブリック IP アドレスがないインスタンスは、次の 2 つの方法のいずれかでインターネットにアクセスすることができます。

パブリック IP アドレスがないインスタンスは、ネットワークアドレス変換 (NAT) ゲートウェイや NAT インスタンスを通してトラフィックをルーティングし、インターネットにアクセスできます。こういったインスタンスは、NAT ゲートウェイや NAT インスタンスのパブリック IP アドレスを使って、インターネットに接続します。NAT ゲートウェイや NAT インスタンスはアウトバウンド通信を許可しますが、インターネット上のマシンがプライベートにアドレスを付与されたインスタンスへの接続を開始することは許可しません。

ハードウェア VPN 接続や Direct Connect 接続を使用する VPC の場合、インスタンスからのインターネットトラフィックは、仮想プライベートゲートウェイ経由でお客様の既存のデータセンターにルーティングできます。そこから、既存のエグレスポイントとネットワークセキュリティ/モニタリングデバイスを介して、インターネットにアクセスできます。

Q: AWS サイト間 VPN 接続は、Amazon VPC とどのように連携するのですか?

A. AWS サイト間 VPN 接続では、VPC をお客様のデータセンターに接続します。Amazon は、インターネットプロトコルセキュリティ (IPsec) VPN 接続をサポートしています。VPC とデータセンター間で転送されるデータは、転送中データの機密性と整合性を維持するために、暗号化された VPN 接続を介してルーティングします。インターネットゲートウェイでサイト間 VPN 接続を確立する必要はありません。

Q: IPSec とは何ですか?

A. IPsec は、データストリームの各 IP パケットを認証して暗号化することで、インターネットプロトコル (IP) 通信を保護するプロトコルスイートです。

Q: Amazon VPC に接続するには、どのカスタマーゲートウェイデバイスを使用することができますか?

A: 作成できる AWS サイト間 VPN 接続のタイプは 2 つあります。1 つは静的ルーティングを使用する VPN 接続、もう 1 つは動的ルーティングを使用する VPN 接続です。静的ルーティングを使用する VPN 接続をサポートするカスタマーゲートウェイデバイスは、次の機能を備えている必要があります。

Pre-Shared キーを使用して IKE Security Association を確立する

Tunnel モードで IPsec Security Association を確立する

AES 128 ビット、256 ビット、128 ビット GCM-16、または 256-GCM-16 暗号化機能を利用する

SHA-1、SHA-2 (256)、SHA2 (384)、または SHA2 (512) のハッシュ関数を利用する

「グループ 2」モード、または AWS がサポートする追加の DH グループの 1 つで Diffie-Hellman (DH) Perfect Forward Secrecy を使用する

暗号化の前にパケットの断片化を実行する

動的ルーティングを使用する AWS サイト間 VPN 接続をサポートする装置は、上記の機能に加えて、次の機能も備えている必要があります。

Border Gateway Protocol (BGP) ピア接続を確立する

トンネルを論理インターフェイス (ルートベースの VPN) にバインドする

IPsec デッドピア検出の利用

Q: どの Diffie-Hellman グループをサポートしていますか?

A: 以下のフェーズ 1 およびフェーズ 2 の Diffie-Hellman (DH) グループをサポートしています。

フェーズ 1 DH グループ 2、14～24。

フェーズ 2 DH グループ 2、5、14～24。

Q: IKE キー更新が必要な場合、AWS はどのアルゴリズムを勧めますか?

A: デフォルトでは、AWS 側の VPN エンドポイントは AES-128、SHA-1、DH グループ 2 を提案します。キー更新に関する特定の提案が必要な場合は、VPN トンネルオプションの変更を使用して、トンネルオプションを特定の必須 VPN パラメータに制限することをお勧めします。

Q: Amazon VPC で機能することが知られているカスタマーゲートウェイデバイスにはどのようなものがありますか?

A: 前述の要件を満たすデバイスのリストは、ネットワーク管理者ガイドに記載されています。これらは、ハードウェア VPN 接続で動作することが知られており、お客様のデバイスに適切な設定ファイルを自動生成するコマンドラインツールをサポートしています。

Q: 私のデバイスが対応リストにない場合、これを Amazon VPC で使用するための詳細な情報はどこで入手できますか?

A: 他のお客様がすでにお客様のデバイスと同じものを使用している可能性があるため、Amazon VPC フォーラムをご確認いただくことをお勧めします。

Q: サイト間 VPN 接続の最大スループットはどれくらいですか?

A: 各 AWS サイト間 VPN 接続には 2 つのトンネルがあり、各トンネルは最大 1.25 Gbps のスループットをサポートします。VPN 接続が仮想プライベートゲートウェイに接続されている場合、集約されたスループット制限が適用されます。

Q: 仮想プライベートゲートウェイには集約されたスループット制限がありますか?

A: 仮想プライベートゲートウェイには、接続タイプごとの集約スループット制限があります。同じ仮想プライベートゲートウェイへの複数の VPN 接続は、AWS から最大 1.25 Gbps のオンプレミスへの集約スループット制限によってバインドされます。仮想プライベートゲートウェイ上の AWS Direct Connect 接続の場合、スループットは Direct Connect 物理ポート自体によって制限されます。複数の VPC に接続し、より高いスループット制限を達成するには、AWS Transit Gateway を使用します。

Q: VPN 接続のスループットに影響を与える要因は何ですか?

A: VPN 接続のスループットは、カスタマーゲートウェイの能力、接続のキャパシティー、平均パケットサイズ、使用されているプロトコル (TCP またはUDP)、カスタマーゲートウェイと仮想プライベートゲートウェイの間のネットワークレイテンシーなど、複数の要因によって変わります。

Q: サイト間 VPN 接続 1 秒あたりのの最大パケット数はどれくらいですか?

A: 各 AWS サイト間 VPN 接続には 2 つのトンネルがあり、各トンネルは 1 秒あたり最大 140,000 のパケットをサポートします。 

Q: サイト間 VPN 設定のトラブルシューティングには、どのツールが利用できますか?

A: DescribeVPNConnection API には、どちらかのトンネルが「ダウン」した場合に、各 VPN トンネルの状態 (「アップ」/「ダウン」) や対応するエラーメッセージなど、VPN 接続ステータスが表示されます。この情報は AWS マネジメントコンソールにも表示されます。

Q: VPC を企業のデータセンターとどのように接続するのですか?

A: お客様の既存のネットワークと Amazon VPC の間にハードウェア VPN 接続を確立することによって、あたかもそれらがお客様の既存のネットワーク内にあるかのように、VPC 内にある Amazon EC2 インスタンスと通信を行うことができます。AWS は、ハードウェア VPN 接続を経由してアクセスされる VPC 内にある Amazon EC2 インスタンスとの通信では、ネットワークアドレス変換 (NAT) を実行しません。

Q: ルーターまたはファイアウォールの背後でカスタマーゲートウェイに対して NAT を有効にできますか?

A: NAT デバイスのパブリック IP アドレスを使用します。

Q: カスタマーゲートウェイアドレスにはどの IP アドレスを使用しますか?

A: NAT デバイスのパブリック IP アドレスを使用します。

Q: 接続で NAT-T を無効にするにはどうすればよいですか?

A: デバイスで NAT-T を無効にする必要があります。NAT-T を使用する予定がなくデバイスで無効にされていない場合は、AWS が UDP ポート 4500 を介したトンネルの確立を試行します。このポートが開いていない場合、トンネルは確立されません。

Q: 1 つのトンネルにつき同時に確立できる IPsec Security Association は何個ですか?

AWS VPN サービスはルートベースのソリューションであるため、ルートベースの設定で SA の上限数が問題になることはありません。ただし、ポリシーベースのソリューションでは、サービスがルートベースのソリューションとなるため、単一の SA に制限する必要があります。

Q: VPC パブリック IP アドレス範囲をインターネットにアドバタイズできますか? またそのトラフィックを、自社のデータセンター、サイト間 VPN 経由で、自社の Amazon VPC に到達するようにルーティングできますか?

A: はい。ハードウェア VPN 接続経由でトラフィックのルーティングを行って、お客様のホームネットワークからアドレス範囲をアドバタイズすることができます。

Q: VPN 接続は最大いくつのルートをカスタマーゲートウェイデバイスにアドバタイズできますか?

A: VPN 接続は、カスタマーゲートウェイデバイスへのルートを最大 1,000 個アドバタイズします。仮想プライベートゲートウェイの VPN の場合、アドバタイズされたルートソースには、VPC ルート、他の VPN ルート、および DX 仮想インターフェイスからのルートが含まれます。AWS Transit Gateway の VPN の場合、アドバタイズされたルートは、VPN アタッチメントに関連付けられたルートテーブルから取得されます。1,000 個を超えるルートを送信しようとすると、1,000 個のサブセットのみがアドバタイズされます。 

Q: カスタマーゲートウェイデバイスから私の VPN 接続にアドバタイズできるルート数は最大いくつですか?

A: カスタマーゲートウェイデバイスから仮想プライベートゲートウェイ上のサイト間 VPN 接続へのルート最大 100 個、または AWS Transit Gateway 上のサイト間 VPN 接続へのルート最大 1,000 個をアドバタイズできます。静的ルートを使用する VPN 接続の場合、100 個を超える静的ルートを追加することはできません。BGP を使用する VPN 接続の場合、ゲートウェイタイプの最大値を超えるルートをアドバタイズしようとすると、BGP セッションがリセットされます。

Q:VPN 接続は IPv6 トラフィックをサポートしていますか?

A: はい。AWS Transit Gateway への VPN 接続は IPv4 または IPv6 トラフィックのいずれかをサポートすることができ、これは新しい VPN 接続の作成時に選択できます。VPN トラフィックに IPv6 を選択するには、内部 IP バージョンの VPN トンネルオプションを IPv6 に設定します。トンネルエンドポイントとカスタマーゲートウェイの IP アドレスは IPv4 のみです。ご注意ください。

Q: VPN トンネルのどちら側が Internet Key Exchange (IKE) セッションを開始しますか?

A: デフォルトでは、カスタマーゲートウェイ (CGW) が IKE を開始する必要があります。または、AWS VPN エンドポイントは、適切なオプションを有効にすることで開始できます。

Q: VPN 接続は、プライベート IP アドレスに対応していますか?

A: はい。プライベート IP Site-to-Site VPN 機能により、プライベート IP アドレスを使用した AWS Transit Gateway への VPN 接続をデプロイすることができます。プライベー ト IP VPN は、AWS Direct Connect のトランジット仮想インターフェイス (VIF) 上で動作します。新しい VPN 接続を作成する際に、外部トンネル IP アドレスとしてプライベート IP アドレスを選択することができます。トンネルエンドポイントとカスタマーゲートウェイの IP アドレスは IPv4 のみです。ご注意ください。

Q: パブリック IP VPN とプライベート IP VPN のプロトコルの相互作用に違いはあるのでしょうか?

A: いいえ、プライベート IP Site-to-Site VPN 接続の IPSec 暗号化および鍵交換は、パブリック IP VPN 接続と同じように動作します。

Q: プライベート IP VPN には、Transit ゲートウェイが必要ですか?

A: はい、プライベート IP VPN 接続をデプロイするためには、Transit ゲートウェイが必要です。また、Transit Gateway 上のプライベート IP VPN アタッチメントは、トランスポート用の Direct Connect アタッチメントを必要とします。Transit ゲートウェイへのプライベート IP VPN 接続を設定する際に、Direct Connect のアタッチメント ID を指定する必要があります。複数のプライベート IP VPN 接続で、同じ Direct Connect アタッチメントをトランスポートに使用することができます。

Q: プライベート IP VPN は、静的ルーティングと BGP をサポートしていますか?

A: はい、プライベート IP VPN は、BGP を使用した動的ルーティングと同様に静的ルーティングをサポートしています。カスタマーゲートウェイデバイスがボーダーゲートウェイプロトコル (BGP) をサポートしている場合、Site-to-Site VPN 接続を設定する際に動的ルーティングを指定してください。カスタマーゲートウェイデバイスが BGP をサポートしていない場合、静的ルーティングを指定してください。BGP プロトコルは、最初のトンネルがダウンした場合に 2 番目の VPN トンネルへのフェイルオーバーを支援する堅牢な活性検出チェックを提供するため、利用できる場合は、BGP 対応デバイスを使用することをお勧めします。

Q: プライベート IP VPN アタッチメントの Transit ゲートウェイのルートテーブルの関連付けとプロパゲーションの動作はどのように行われますか?

A: プライベート IP VPN アタッチメントのルートテーブルの関連付けとプロパゲーションの動作は、他の Transit Gateway アタッチメントと同じです。Transit ゲートウェイのルートテーブルをプライベート IP VPN アタッチメントに関連付け、プライベート IP VPN アタッチメントから Transit ゲートウェイのルートテーブルのいずれかに経路を伝搬させることが可能です。

Q: プライベート IP VPN では、どの程度のスループットが得られますか?

A: 通常の Site-to-Site VPN 接続と同様に、各プライベート IP VPN 接続は、1.25 Gbps の帯域幅をサポートしています。複数のプライベート IP VPN 接続で等価コストマルチパス (ECMP) を使用することにより、有効帯域幅を増やすことができます。例えば、10 Gbps の DX トラフィックをプライベート IP VPN で送信する場合、Transit ゲートウェイとカスタマーゲートウェイのペアの間で ECMP を使用して 4 つのプライベート IP VPN 接続 (4 接続 × 2 トンネル × 1.25 Gbps の帯域幅) を使用することが可能です。

Q: プライベート IP VPN 接続とパブリック IP VPN 接続の間でトラフィックを ECMP 処理できますか?

A: できません。プライベート IP VPN 接続とパブリック IP VPN 接続をまたいでトラフィックを ECMP 処理することはできません。プライベート IP VPN 用の ECMP は、プライベート IP アドレスを持つ VPN 接続間でのみ機能します。

Q: プライベート IP VPN の最大転送単位 (MTU) とは何ですか?

A: プライベート IP VPN 接続は、1500 バイトの MTU をサポートしています。

Q: プライベート IP VPN は、Transit ゲートウェイのアカウント所有者と異なる所有者のアカウントに関連付けることができますか?

A: できません。Transit ゲートウェイと Site-to-Site VPN の両方の接続は、同じ AWS アカウントによって所有される必要があります。

Q: AWS Site-to-Site VPN サービスとプライベート IP VPN 機能は、どの AWS リージョンで利用できますか?

A: AWS Site-to-Site VPN サービスは、アジアパシフィック (北京) およびアジアパシフィック (寧夏) AWS リージョンを除くすべての商用リージョンで利用可能です。プライベート IP VPN 機能は、AWS Site-to-Site VPN サービスが利用可能なすべての AWS リージョンでサポートされています。

Q: Accelerated サイト間 VPNを使用する理由は何ですか?

A: トラフィックは AWS の VPN エンドポイントに到達する前にインターネット上の複数のパブリックネットワークを通過するため、VPN 接続の可用性とパフォーマンスは安定しません。これらのパブリックネットワークは、混雑していることがあります。各ホップは、可用性とパフォーマンスにリスクをもたらす可能性があります。Accelerated サイト間 VPN は、可用性が高く混雑のない AWS グローバルネットワークを使用することで、ユーザーエクスペリエンスはより安定します。

Q: Accelerated サイト間 VPN を作成する方法を教えてください。

A: VPN 接続の作成時に、オプション「Enable Acceleration」を「true」に設定します。

Q: 既存の VPN 接続が Accelerated サイト間 VPN であるかどうかを確認する方法を教えてください。

A: VPN 接続の説明で、「Enable Acceleration」の値を「true」に設定する必要があります。

Q: 既存のサイト間 VPN を Accelerated サイト間 VPN に変換する方法を教えてください。

A: 新しい Accelerated サイト間 VPN を作成しカスタマーゲートウェイデバイスを更新してから、この新しい VPN 接続に接続し、既存の VPN 接続を削除します。高速化した VPN は、高速化していない VPN 接続とは異なる IP アドレス範囲を使用するため、新しいトンネルエンドポイントインターネットプロトコル (IP) アドレスを取得します。

Q: Accelerated サイト間 VPN は、仮想ゲートウェイと AWS Transit Gateway のどちらでもサポートされていますか?

A: Transit Gateway のみ Accelerated サイト間 VPN をサポートしています。VPN 接続を作成するとき、Transit Gateway を指定する必要があります。AWS 側の VPN エンドポイントは、Transit Gateway 上に作成されます。

Q: 高可用性を得るために、Accelerated サイト間 VPN 接続は 2 つのトンネルを提供していますか?

A: はい。どちらの VPN 接続も、高可用性を得るために 2 つのトンネルを提供しています。

Q: Accelerated サイト間 VPN と non-Accelerated サイト間 VPN のトンネル間に、プロトコルの違いはありますか?

A: NAT-T は必須で、Accelerated サイト間 VPN 接続ではデフォルトで有効になっています。それ以外にも、Accelerated および non-Accelerated VPN トンネルは、同じ IP セキュリティ (IPSec) とインターネットキー交換 (IKE) プロトコルをサポートしており、同じ帯域幅、トンネルオプション、ルーティングオプション、認証タイプも提供しています。

Q: 高可用性を得るために、Accelerated サイト間 VPN は 2 つのネットワークゾーンを提供していますか?

A: はい、2 つのトンネルエンドポイントの独立したネットワークゾーンで、AWS Global Accelerator グローバルインターネットプロトコルアドレス (IP) を選択します。

Q: Accelerated サイト間 VPN は AWS Global Accelerator のオプションにありますか?

A: いいえ、現在 Accelerated サイト間 VPN は、AWS サイト間 VPN を介してのみ作成できます。Accelerated サイト間 VPN は、AWS Global Accelerator コンソールまたは API を介して作成することはできません。

Q: パブリック AWS Direct Connect 仮想インターフェイスで、Accelerated VPN を使用できますか?

A: いいえ、パブリック Direct Connect 仮想インターフェイスを介した Accelerated サイト間 VPN は使用できません。ほとんどの場合、パブリック Direct Connect 上で使用しても、Accelerated サイト間 VPN から得られる利点はありません。

Q: Accelerated サイト間 VPN を利用できる AWS リージョンを教えてください。

A: Accelerated サイト間 VPN は、以下の AWS リージョンでご利用になれます: 米国西部 (オレゴン)、米国西部 (北カリフォルニア)、米国東部 (オハイオ)、米国東部 (バージニア北部)、南米 (サンパウロ)、中東 (バーレーン)、欧州 (ストックホルム)、欧州 (パリ)、欧州 (ミラノ)、欧州 (ロンドン)、欧州 (アイルランド)、欧州 (フランクフルト)、カナダ (中部)、アジアパシフィック (東京)、アジアパシフィック (シドニー)、アジアパシフィック (シンガポール)、アジアパシフィック (ソウル)、アジアパシフィック (ムンバイ)、アジアパシフィック (香港)、アフリカ (ケープタウン)。

Q: AWS Site-to-Site VPN でサポートされているログは何ですか?

A: サイト間 VPN 接続ログには、インターネットキー交換 (IKE) ネゴシエーションやデッドピア検出 (DPD) プロトコルメッセージなどの IP セキュリティ (IPsec) トンネル確立アクティビティの詳細が含まれます。これらのログは、5 分間隔で定期的にエクスポートされ、ベストエフォートベースで CloudWatch ログに配信されます。

Q: サイト間 VPN ログは、Transit Gateway と Virtual Gateway の両方への VPN 接続に対して提供されますか?

A: はい、Transit Gateway と Virtual Gateway ベースの VPN 接続の両方でサイト間 VPN ログを有効にすることができます。

Q: 既存の VPN 接続でサイト間 VPN ログを有効にすることはできますか?

A: はい、接続を作成または変更する際に、トンネルオプションを通じてサイト間 VPN ログを有効にすることができます。

Q: 既存の VPN 接続に対してサイト間 VPN ログを有効にするとどうなりますか?

A: トンネルオプションの変更を使用して既存の VPN 接続にサイト間 VPN ログを有効にすると、トンネル上の接続は最大で数分間中断されます。どちらの VPN 接続も、高可用性を得るために 2 つのトンネルを提供しています。一度に 1 つのトンネルでログを有効にすることができ、変更されたトンネルだけが影響を受けます。詳細については、「AWS Site-to-Site VPN ユーザーガイド」の「サイト間 VPNトンネルのエンドポイント交換」を参照してください。

Q: 他のネットワークへの接続はどうすれば有効にできますか?

A: 重複している Amazon VPC、仮想ゲートウェイ経由あるいは S3 などの AWS のサービスやエンドポイントを経由するオンプレミスネットワーク、AWS PrivateLink 経由のネットワークおよびインターネットゲートウェイ経由のその他のリソースなどへの接続を有効にできます。接続を有効にするには、Client VPN ルートテーブル内の特定のネットワークにルートを追加し、特定のネットワークへのアクセスを有効にする認証ルールを追加してください。

Q: Client VPN エンドポイントは、関連付けられているサブネットの異なるアカウントに属することができますか?

A: いいえ。関連付けられているサブネットは、Client VPN エンドポイントと同じアカウントにある必要があります。

Q: プライベート IP アドレスを使用して、TLS セッションを設定した地域とは異なる地域内の VPC のリソースにアクセスできますか?

A: これを実現するには、次の 2 つのステップを実行します。まず、(異なるリージョンにある) 異動先の VPC と Client VPN が関連づけられた VPC の間に、クロスリージョンピアリング接続を設定します。次に、Client VPN エンドポイントの異動先の VPC に、ルートとアクセスルールを追加します。これで、Client VPN エンドポイントとは異なるリージョンにある送信先 VPC 内のリソースにアクセスできるようになります。

Q: Client VPN では、どのトランスポートプロトコルがサポートされていますか?

A: VPN セッションには、TCP あるいは UDP が選択できます。

Q: AWS Client VPN は分割トンネルをサポートしていますか?

A: はい。スプリットトンネルを有効または無効にしてエンドポイントを作成することを選択できます。以前スプリットトンネルを無効にしてエンドポイントを作成したことがある場合は、エンドポイントを変更してスプリットトンネルを有効にすることもできます。スプリットトンネルが有効な場合、エンドポイントで設定されたルートを送信先とするトラフィックは、VPN トンネルを介してルーティングされます。他のすべてのトラフィックは、ローカルネットワークインターフェイス経由でルーティングされます。スプリットトンネルが無効になっている場合、デバイスからのすべてのトラフィックは VPN トンネルを走査します。

Q: AWS Client VPN はどのログをサポートしていますか?

A: Client VPN では、ベストエフォートとして CloudWatch Logs へ接続ログをエクスポートします。これらのログは 15 分間隔で定期的にエクスポートされます。接続ログには、接続リクエストの作成と終了に関する詳細が含まれています。

Q: Client VPN は、エンドポイントで Amazon VPC Flow Logs をサポートしていますか?

A: いいえ。Amazon VPC Flow Logs は関連する Amazon VPC でご利用いただけます。

Q: アクティブ接続はモニタリングできますか?

A: はい。CLI あるいはコンソールを使用して、その時点でのエンドポイントのアクティブ接続を表示したり、アクティブ接続を終了したりすることができます。

Q: CloudWatch を使用してエンドポイントでモニタリングできますか?

A: はい。CloudWatch モニターでは、それぞれの Client VPN エンドポイントの送受信バイトおよびアクティブ接続を表示できます。

Q: これはどのような機能ですか?

A: 新しい仮想ゲートウェイでは、設定可能なプライベート自律システム番号 (ASN) によって、VPN および AWS Direct Connect プライベート VIF 向け BGP セッションの Amazon 側の ASN をお客様が設定できます。

Q: この機能の利用料金はいくらですか?

A: この機能に追加料金は発生しません。

Q: Amazon 側 ASN としてアドバタイズされるように自分の ASN を設定および割り当てを行う方法を教えてください。

A: 仮想プライベートゲートウェイ (仮想ゲートウェイ) の新規作成時に、Amazon 側 ASN としてアドバタイズされるように ASN の設定および割り当てを行います。仮想プライベートゲートウェイは、VPC コンソールまたは EC2/CreateVpnGateway API 呼び出しを使って作成できます。

Q: この機能以前、Amazon ではどのような ASN を割り当てていましたか?

A: Amazon では、欧州西部 (ダブリン) に 9059、アジアパシフィック (シンガポール) に 17493、アジアパシフィック (東京) に 10124 を割り当てていました。その他すべてのリージョンでは ASN 7224 が割り当てられていました。これらの ASN は、そのリージョンの「レガシーパブリック ASN」と呼ばれます。

Q: パブリックでもプライベートでも、すべての ASN を使用できますか?

A: Amazon 側には、任意のプライベート ASN を割り当てることができます。2018 年 6 月 30 日までは、そのリージョンの「レガシーパブリック ASN」を割り当てることができ、それ以外のパブリック ASN を割り当てることはできません。2018 年 6 月 30 日を過ぎると、Amazon から 64512 という ASN が提供されます。

Q: BGP セッションの Amazon 側にパブリック ASN を割り当てられないのはなぜですか?

A: Amazon は ASN の所有権を検証しません。このため、Amazon 側 ASN をプライベート ASN のみに制限しています。お客様を BGP スプーフィングから保護したいと考えています。

Q: どのような ASN を選択できますか?

A: 任意のプライベート ASN を選択できます。16 ビットのプライベート ASN の範囲は、64512～65534 です。32 ビット ASN では、4200000000～4294967294 を利用できます。

お客様が選択しない場合は、Amazon が仮想プライベートゲートウェイのデフォルト ASN を指定します。2018 年 6 月 30 日まで、Amazon ではそのリージョンの「レガシーパブリック ASN」の提供を継続します。2018 年 6 月 30 日を過ぎると、Amazon から 64512 という ASN が提供されます。

Q: パブリック ASN を BGP セッションの Amazon 側に割り当てるとどうなりますか?

そのリージョンの「レガシーパブリック ASN」でない限り、仮想プライベートゲートウェイの作成を試みた際にプライベート ASN の再入力を要求します。

Q: BGP セッションの Amazon 側の ASN を自分で指定しない場合、Amazon によってどのような ASN が割り当てられますか?

A: お客様が選択しない場合は、Amazon が仮想プライベートゲートウェイ用の ASN を指定します。2018 年 6 月 30 日まで、Amazon ではそのリージョンの「レガシーパブリック ASN」の提供を継続します。2018 年 6 月 30 日を過ぎると、Amazon から 64512 という ASN が提供されます。

Q: Amazon 側 ASN はどこに表示されますか?

A: Amazon 側 ASN は、VPC コンソールの仮想プライベートゲートウェイページや、EC2/DescribeVpnGateways API の応答内に表示されます。

Q: パブリック ASN を持っている場合、AWS 側のプライベート ASN と合わせて使用できますか?

A: はい。BGP セッションの Amazon 側にプライベート ASN を、お客様側にパブリック ASN を設定できます。

Q: プライベート VIF がすでに構成されています。既存の VIF の BGP セッションに別の Amazon 側 ASN を設定したいと考えています。この変更を実行するにはどうすればよいですか?

A: 希望する ASN で仮想ゲートウェイを新規作成し、作成された新しい仮想ゲートウェイで VIF を新規作成する必要があります。デバイス設定も必要に応じて変更する必要があります。

Q: VPN 接続がすでに設定されています。この VPN の BGP セッションの Amazon 側 ASN を変更したいと考えています。この変更を実行するにはどうすればよいですか?

A: ご希望の ASN で新しい仮想ゲートウェイを作成し、カスタマーゲートウェイと新規作成された仮想ゲートウェイとの間に VPN 接続を再作成することが必要です。

Q: 既存の仮想ゲートウェイに、Amazon から割り当てられたパブリック ASN 7224 を使用したプライベート VIF/VPN 接続が設定されています。Amazon が新しいプライベート仮想ゲートウェイに ASN を自動生成する場合、どのような Amazon 側 ASN が割り当てられますか?

A: Amazon では、新しい仮想ゲートウェイ用の Amazon 側 ASN に 64512 を割り当てます。

Q: 既存の仮想ゲートウェイに、Amazon から割り当てられたパブリック ASN を使用したプライベート VIF/VPN 接続が設定されています。これから作成する新しいプライベート VIF/VPN 接続にも、Amazon から割り当てられた同一のパブリック ASN を使用したいと考えています。どのようにすれば実現できますか?

A: 仮想プライベートゲートウェイ (仮想ゲートウェイ) の新規作成時に、Amazon 側 ASN としてアドバタイズされるように ASN の設定および割り当てを行います。仮想ゲートウェイはコンソールまたは EC2/CreateVpnGateway API コールを使用して作成できます。先述のように、2018 年 6 月 30 日まで、Amazon ではそのリージョンの「レガシーパブリック ASN」の提供を継続します。2018 年 6 月 30 日を過ぎると、Amazon から 64512 という ASN が提供されます。

Q: 既存の仮想ゲートウェイに、Amazon から割り当てられたパブリック ASN 7224 を使用したプライベート VIF/VPN 接続が設定されています。Amazon が同じ仮想ゲートウェイを使用する新しいプライベート VIF/VPN 接続に ASN を自動生成する場合、どのような Amazon 側 ASN が割り当てられますか?

A: Amazon では、新しい VIF/VPN 接続の Amazon 側 ASN に 7224 を割り当てます。新しいプライベート VIF/VPN 接続の Amazon 側 ASN は、既存の仮想ゲートウェイおよびその ASN に対するデフォルトから継承されます。

Q: 単一の仮想ゲートウェイに複数のプライベート VIF をアタッチしようとしています。各 VIF に個別の Amazon 側 ASN を設定できますか?

A: いいえ。仮想ゲートウェイごとに個別の Amazon 側 ASN を割り当ておよび設定できますが、VIF ごとに割り当ておよび設定することはできません。VIF の Amazon 側 ASN は、アタッチされた仮想ゲートウェイの Amazon 側 ASN から継承されます。

Q: 単一の仮想ゲートウェイに複数の VPN 接続を作成しようとしています。各 VPN 接続に個別の Amazon 側 ASN を設定できますか?

A: いいえ。仮想ゲートウェイごとに個別の Amazon 側 ASN を割り当ておよび設定できますが、VPN 接続ごとに割り当ておよび設定することはできません。VPN 接続の Amazon 側 ASN は、仮想ゲートウェイの Amazon 側 ASN から継承されます。

Q: 独自の ASN はどこで選択できますか?

A: VPC コンソールで仮想ゲートウェイを作成する場合、Amazon BGP ASN を自動生成するかどうかのチェックをオフにし、BGP セッションの Amazon 側 ASN に独自のプライベート ASN を指定します。仮想ゲートウェイに Amazon 側 ASN を設定すると、その仮想ゲートウェイを使用して作成されるプライベート VIF や VPN 接続で Amazon 側 ASN が使用されるようになります。

Q.現在 CloudHub を使用しています。今後、設定の調整が必要になりますか?

A: 変更は不要です。

Q: 32 ビット ASN を選択したいと考えています。32 ビットプライベート ASN の範囲を教えてください。

A: AWS では 4200000000～4294967294 の 32 ビット ASN が利用できます。

Q: 仮想ゲートウェイが作成されたあとに Amazon 側 ASN を変更することは可能ですか?

A: いいえ。作成後は Amazon 側 ASN を変更できません。仮想ゲートウェイを削除して、ご希望の ASN を使用して新しい仮想ゲートウェイを再作成することは可能です。

Q: Amazon 側 ASN の設定および割り当てを行うための新しい API はありますか?

A: いいえ。従来と同じ API (EC2/CreateVpnGateway) で実行できます。この API には、新しいパラメータ (amazonSideAsn) が追加されました。

Q: Amazon 側 ASN を表示するための新しい API はありますか?

A: いいえ。Amazon 側 ASN は従来と同じ EC2/DescribeVpnGateways API で表示できます。この API には、新しいパラメータ (amazonSideAsn) が追加されました。

Q: カスタマーゲートウェイ (CGW) の設定に使用できる ASN は何ですか?

A: 例外を除き、1～2147483647 範囲で ASN を使用できます。AWS VPN ユーザーガイドの AWS Site-to-Site VPN 接続のためのカスタマーゲートウェイオプションのセクションを参照してください。   

Q: カスタマーゲートウェイで 32 ビット ASN を使用したいです。32 ビットのプライベート範囲 ASN はサポートされていますか?

A: はい。現在、カスタマーゲートウェイの設定において、(4200000000～4294967294) の範囲のプライベート ASN はサポートされていませんのでご注意ください。 AWS VPN ユーザーガイドの AWS Site-to-Site VPN 接続のためのカスタマーゲートウェイオプションのセクションを参照してください。