前述のアーキテクチャでは、IPsec-VPN接続には暗号化されたトンネルが1つしかなく、トンネルがダウンした場合に接続が中断されます。 IPsec-VPN接続の可用性を向上させるために、VPN GatewayでデュアルトンネルモードのIPsec-VPN接続がサポートされるようになりました。 デュアルトンネルモードでは、IPsec-VPN接続には、異なるゾーンに展開されたアクティブトンネルとスタンバイトンネルがあります。 アクティブトンネルに障害が発生すると、スタンバイトンネルが引き継ぎます。 これにより、ゾーン間でディザスタリカバリが実装されます。
制限事項
次のリージョンとゾーンは、デュアルトンネルIPsec-VPN接続をサポートしています。
デフォルトでは、VPNゲートウェイを購入した後、デュアルトンネルIPsec-VPN接続のみを作成できます。
ただし、サポートされているリージョンの既存のVPNゲートウェイでのIPsec-VPN接続は、シングルトンネルモードのみをサポートしています。 既存のVPNゲートウェイをアップグレードして、できるだけ早い機会にデュアルトンネルモードを使用することを推奨します。 VPNゲートウェイがアップグレードされると、VPNゲートウェイでシングルトンネルIPsec-VPN接続を作成できなくなります。 詳細については、「VPN gatewayのアップグレードによるデュアルトンネルモードの有効化」をご参照ください。
デュアルトンネルモードでのネットワーキング
単一トンネルIPsec-VPN接続は、トンネルに障害が発生すると中断される可能性があります。 デュアルトンネルモードでは、IPsec-VPN接続には、異なるゾーンに展開されたアクティブトンネルとスタンバイトンネルがあります。 アクティブトンネルに障害が発生すると、スタンバイトンネルが引き継ぎます。
デュアルトンネルVPNゲートウェイを作成する場合、VPNゲートウェイが属する仮想プライベートクラウド (VPC) とは異なるゾーンにある2つのvSwitchを指定する必要があります。 vSwitchは、ゾーン間でディザスタリカバリを実装するデュアルトンネルIPsec-VPN接続を作成するために使用されます。
説明リージョン内の1つのゾーンのみがデュアルトンネルモードをサポートしている場合、ゾーン間のディザスタリカバリはサポートされません。 高可用性を実装するには、ゾーンに2つのvSwitchを指定することを推奨します。 同じvSwitchを指定できます。
VPNゲートウェイを作成すると、システムは2つのIPアドレスを割り当てて2つのトンネルを作成します。
パブリックVPNゲートウェイのSSL-VPNを有効にすると、クライアントとVPNゲートウェイ間のSSL-VPN接続を確立するために使用される追加のIPアドレスが割り当てられます。 SSL-VPN接続とIPsec-VPN接続は異なるIPアドレスを使用します。
VPN GatewayコンソールでデュアルトンネルIPsec-VPN接続を作成する場合、2つのトンネルを個別に設定し、各トンネルをカスタマーゲートウェイに関連付ける必要があります。 2つのトンネルを同じカスタマーゲートウェイに関連付けることができます。
トンネルを設定した後、オンプレミスのゲートウェイデバイスにVPN設定を追加して、デュアルトンネルIPsec-VPN接続を確立する必要があります。
重要デュアルトンネルIPsec-VPN接続を作成するときは、2つのトンネルを設定し、それらが使用可能であることを確認する必要があります。 トンネルの1つのみを設定または使用する場合、アクティブ /スタンバイトンネルおよびゾーンディザスタリカバリに基づくIPsec-VPN接続の冗長性はサポートされません。
デュアルトンネルモードでのデータ転送
VPNゲートウェイからデータセンターまで (図では緑色で表示)
IPsec-VPN接続を作成するときに1つのトンネルのみを構成すると、このトンネルを介してVPNゲートウェイからデータセンターにデータが転送されます。 トンネルに障害が発生すると、データ転送が中断されます。
2つのトンネルを設定した場合、デフォルトでは、アクティブなトンネルを介してVPNゲートウェイからデータセンターにデータが転送されます。 アクティブトンネルに障害が発生すると、スタンバイトンネルが引き継ぎます。 アクティブトンネルが回復すると、アクティブトンネルが引き継ぐ。
データセンターからVPNゲートウェイまで (図では黒で表示)
データセンターからVPNゲートウェイへのトラフィックパスは、オンプレミスゲートウェイデバイスのルート設定によって異なります。
たとえば、データセンターがIPsec-VPN接続を介してVPCに接続されているシナリオでは、アクティブなトンネルを介してデータセンターとVPCの間でデータを転送できるように、オンプレミスゲートウェイデバイスにルート設定を追加できます。 VPCからデータセンターにデータを転送するアクティブトンネルを指定し、データセンターからVPCにデータを転送するスタンバイトンネルを指定することもできます。
デュアルトンネルモードのルート設定に関するガイド
次の提案に基づいて、デュアルトンネルIPsec-VPN接続のルートを設定することを推奨します。
IPsec-VPN接続の2つのトンネルに同じルーティングプロトコル (静的またはBGP) を設定することを推奨します。
IPsec-VPN接続がBorder Gateway Protocol (BGP) 動的ルーティングを使用する場合、2つのトンネルのローカル ASNは同じでなければなりません。 2つのトンネルのピアASNは異なる場合がありますが、同じピアASNを使用することをお勧めします。
VPNゲートウェイで複数のIPsec-VPN接続が確立されているシナリオ:
IPsec-VPN接続の静的ルートを設定した場合、異なる接続のポリシーベースまたは宛先ベースのルートの宛先CIDRブロックは互いに重複できません。 そうでなければ、ルートは有効にならない。
IPsec-VPN接続にBGP動的ルーティングを設定する場合、IPsec-VPN接続を介してVPNゲートウェイにアドバタイズされるルートの宛先CIDRブロックは重複できません。 そうでなければ、ルートは有効にならない。
シングルトンネルモードとデュアルトンネルモードの比較
シングルトンネルIPsec-VPN接続がデュアルトンネルIPsec-VPN接続にアップグレードされた後、課金方法は変更されず、追加料金は請求されません。
項目 | 単一トンネルモード | 二重トンネルモード |
各IPsec-VPN接続のトンネル数 | 1 | 2 |
必要なvSwitchの数 | VPNゲートウェイを作成するときは、vSwitchを1つだけ指定する必要があります。 | VPNゲートウェイを作成するときは、異なるゾーンに2つのvSwitchを指定する必要があります。 |
High availability | 高可用性を実装するには、VPNゲートウェイに複数のIPsec-VPN接続を作成するか、複数のVPNゲートウェイを作成する必要があります。 | 1つのIPsec-VPN接続の2つのトンネルは、高可用性を実装できます。 |
ルートの重み | 対応 | 非対応 |
ヘルスチェック | 対応 | 非対応 |
VPNゲートウェイに割り当てられたIPアドレスの数 | VPNゲートウェイが作成されると、1つのIPアドレスのみが割り当てられます。 IPアドレスは、IPsec-VPNまたはSSL-VPN接続を作成するために使用されます。 | IPsec-VPNとSSL-VPNの両方をサポートするVPNゲートウェイが作成された場合、VPNゲートウェイには3つの異なるIPアドレスが割り当てられます。 IPsec-VPN接続は、2つのIPアドレスを使用して2つのトンネルを作成します。 SSL-VPN接続は、1つのIPアドレスを使用してクライアントに接続します。 3つのIPアドレスは一意です。 |