AWS

Amazon Workspacesをテレワークで使いたい【社内とVPN接続】

スポンサーラベル
AWS

前回、Amazon Workspacesをテレワークで使うことを検討している方をターゲットとしてWorkspacesのポイントを解説させていただきました。

Amazon Workspacesをテレワークで使いたい【導入前に疑問を解決】
新型コロナウイルスの影響でテレワークを必要とする会社が増えています。しかしながら、情シス部門が社内にないような会社の場合「一体どうやってテレワークをすれば良いのかわからない(;_;)」という...
syachiku.net

Workspaceを利用してテレワークをする際に、ほとんどの場合には社内のリソース(ファイルサーバなど)へWorkspaceにあるVDI環境からアクセスさせたいという要望があるかと思います。

そこで今回はVPNを使って社内のリソースへ接続する方法について説明したいと思います。

AWSで用意されているVPNサービス

AWS上にあるネットワーク(VPC)と接続する方法として「AWS Direct Connect 」などの専用回線を使う方法もあります。専用回線なので通信の安定性、セキュリティ、コストについてもメリットがありますがすぐに利用することはできません。

そこで今回はテレワーク用の環境をいかに早く用意できるかという目的で「AWS VPNゲートウェイ」を利用した「サイト間VPN(Site-to-Site VPN)」の方式で構築します。

なお、VPNの接続の方式としては以下の2種類に大きく分けれます。
 ①サイト間VPN
 ②クライアントVPN

①はVPCと会社のネットワークを直接接続するイメージで②は会社のPCやサーバをVPCへ接続するというイメージになります。

すでにAWSのVPC内にEC2などで社内サーバを構築している場合は、②の方式がよく利用されます。

VPN接続に必要となるもの

AWS上では簡単にVPNゲートウェイを構築できますが、会社側の方にもVPN接続(IPSec対応)ができる機器が必要となります。

  • インターネットへ公開できるIPアドレス(パブリックIPアドレス)
  • VPNでIPSecに対応しているFirewallやRouter機器
    • Cisco/Yamaha/Netscreen/Fortinetなど
    • VyOSなどの仮想ルータなど

VPN対応ルータは昔は高価でしたが今は比較的安価に手に入れることができます。ただし購入する際は「IPSec接続に対応」している必要がありますので注意してください。基本的には一般向けの製品ではなく法人向けの製品になるかと思います。

もしVMwareなどの仮想環境をお持ちであればVyOSなどの仮想ルータを使っても問題ありません。ただし、トラフィック量によっては負荷が増加しますので割当リソースについては注意が必要です。

AWSとの構成図

簡単ですがAWSの構成図になります。PlantUMLで作ってます。図ではインターネットの図が一つしかなくて微妙ですがAWSとの通信はすべてインターネット経由です(当然ですが)

あとインターネットは直接接続する構成図になっていますが、全ての通信を会社方向へ向けることもできます。

VPN設定手順

次にVPNの設定手順について説明します。設定の流れは以下になります。すでにWorkSpacesの構成は完了しているという前提です。

また、念のためになりますが、AWS上のVPCサブネットと会社ネットワークがぶつかっていないことを確認しておいてください。

まずはAWS側での作業となります。

  1. VPCから「VPNゲートウェイ」を作成します。
  2. WorkSpacesで利用しているVPCへVPNゲートウェイをアタッチします。
  3. カスタマーゲートウェイを作成します。
    →ここでは会社側で用意したVPN装置のIPアドレスや機種名(ベンダーなど)を登録します。
  4. サイト間VPN接続を作成します。
    →VPNゲートウェイとカスタマーゲートウェイを選択して、サイト間VPNを作成します。(この時点では机上だけです)
  5. VPNの接続に必要となるVPN設定ファイルをダウンロード
    →先ほど登録した情報に応じて必要となるVPNの設定情報(VPNゲートウェイのパブリックIPやPreShared Keyなど)をダウンロードします。

次に会社側での設定に移ります。

  1. 事前に準備したVPN装置をインターネット上に公開します。
  2. 先ほどダウンロードした設定方法に従ってVPN接続を確立します。
    →うまく接続ができるとAWS側のVPN接続もUP状態となります。ただし、反映には少し時間がかかるため注意です。
    設定ファイルの中にはVPNを2本分の設定が記載されていますが、まずは1本のVPN接続を成功させましょう。
    ここまででVPN接続については完了です。あとはネットワークの設定だけです。
  3. Firewallやルーティングを設定します。

AWS側でも会社ネットワークのルーティングを変更します。必要があればセキュリティグループの設定なども変更して会社の社内システムへアクセスできることを確認します。

また、運用の状況をみながら、必要であれば音声やビデオのQosについても設定しましょう。

まとめ

このようにAWSではVPNゲートウェイを非常に簡単に作成できるため、AWSと会社のネットワーク接続も比較的簡単に実施することができます。

順調に行けば1時間ほどで接続まで確認できるはずです。迷いそうな部分としては会社側のVPN機器の設定になりますが、VPN設定ファイルの内容を間違わないように慎重に設定を行いましょう。

みんなでコロナウイルスに打ち勝ちましょう!

今回は以上となります。

スポンサーラベル

コメント