AWSでサードパーティーの仮想ルーターが活躍する理由とは？：羽ばたけ！ネットワークエンジニア（45）

現在の企業ネットワークの主流は、閉域ネットワークサービスとクラウド接続サービスを組み合わせる構成だ。ここに新顔が現れた。「インターネット＋クラウド用仮想ルーター」という構成だ。クラウド用仮想ルーターにはどのようなメリットがあり、将来はどのようになるのだろうか。

[松田次博，＠IT]

連載：羽ばたけ！ネットワークエンジニア

　筆者が主催する情報化研究会は、2021年9月25日にヤマハの里吉一浩氏を招き、Amazon Web Services（AWS）で使う仮想ルーターの話をしていただいた。参加者の関心は高く、1時間余りの講演に対して質疑と意見交換にも1時間を要した。AWSでサードパーティーの仮想ルーターが活躍しているのだ。今回は仮想ルーターのメリットと、これからの活用について紹介する。

　筆者がヤマハの仮想ルーター「vRX」（AWS版）に興味を持ったのは牧野フライス製作所の5Gネットワーク（「企業が求める5Gとは――牧野フライス製作所はなぜ『KDDI 5G＋AWS Wavelength』を選択したのか」参照）が採用した「AWS Wavelength」で使っているからだ。vRXの採用を決めたのは牧野フライス製作所 管理本部 情報システム部 スペシャリストの志津里淳氏である。AWS Wavelengthで使えるVPNをAWSは提供していないので、VPNを使おうとした場合、ユーザーが用意する必要がある。「OpenVPN」をはじめ、複数の選択肢がある中で志津里氏がvRXを選んだのは安定性、拡張性があり、セキュリティがしっかりしているからだ。

　vRXを知って、これからの企業ネットワークがクラウド中心になる中、今後さらに仮想ルーターが重要になるだろうと思い、里吉氏に講演をお願いした。AWSが持っている仮想ルーターでできることと、vRXでできることを見てみよう。

AWSの仮想ルーターを使ったVPN

　AWSには図1のようにVGW（Virtual private GateWay）を使ったサイト間VPNとクライアントVPNエンドポイントを使うクライアントVPNがある。

図1　VGWを使ったサイト間VPNとクライアントVPN　VGW：Virtual private GateWay

　サイト間VPNでは、IPsecを使って最大50拠点を接続できる。この50という数字が拡張性のネックとなり、多拠点ネットワークには使えない。また、IPsecでSA（Security Association）を確立するための情報交換を行うプロトコルIKE（Internet Key Exchange）のパケットについては、かなりの頻度で仕様が変更される。つながっていたルーターが突然、接続できなくなる、といったことが起こるのだ。

　クライアントVPNでは、OpenVPNを使って最大2000クライアントを接続できる。拡張性はかなりあるといえるだろう。しかし、OpenVPNはiOSやAndroidでサポートされておらず、OpenVPN用のアプリケーションをインストールする必要がある。

vRXを使ったVPNのメリットとは

　vRXは図2のように「Amazon Elastic Compute Cloud」（AWS EC2）インスタンスとしてサブネットに設置する。

　サイト間VPNではIPsecを用い、最大6000拠点を接続できる。多店舗展開する流通業などでも使える拡張性がある。vRXではIKEの仕様変更がないので接続の安定性を保つことができる。

図2　vRXを使ったサイト間VPNとクライアントVPN

　クライアントVPNはL2TP/IPsec（L2TP over IPsec）を使い、最大1000クライアントを接続できる。この数は今後予想されるテレワークの増加を考えると少し物足りない。ただ、OpenVPNと違って、L2TP/IPsecはWindowsやLinux、iOS、Androidがデフォルトでサポートしているため使いやすい。

　vRXと接続する拠点側のルーターはヤマハ製である必要がない。Cisco SystemsやNEC、富士通、Fortinetなどの製品と接続できることが確認されており、商用で使われている。

　AWSを中心とした多拠点ネットワークを構築する場合、vRXはコアのルーターとして高い価値があるといえる。

仮想ルーターのマルチクラウド環境への適用

　vRXはAWS用仮想ルーターとして優れている。しかし、2021年10月時点で「Microsoft Azure」（Azure）や「Google Cloud Platform」（GCP）では使えない。企業ではマルチクラウドが当たり前になりつつあるので、近い将来サポートするクラウドが増えることを期待している。

　仮に複数のクラウドで使える仮想ルーターがあったら、企業ネットワークはどんな構成になるだろうか。そのイメージを図3に示す。AWSとAzureを使っている企業が仮想ルーターとインターネットでネットワークを構成した例だ。従来のデータセンター中心のネットワークではデータセンターに大型のルーターやスイッチを設置していた。そういった「箱」は処理能力にも保守できる期間にも「限り」がある。限界になれば更改せねばならない。

図3　仮想ルーターによるマルチクラウド構成のイメージ

　しかし、クラウドや仮想ルーターに「更改」は不要だ。拠点のルーターだけ古くなったものを随時交換すればよい。ネットワークのライフサイクルがなくなるようなものだ。

　現在の企業ネットワークの主流は、NTTコミュニケーションズの「Arcstar Universal One」や、KDDIの「KDDI Wide Area Virtual Switch」などの閉域ネットワークサービスとクラウド接続サービスを組み合わせる構成だ。「インターネット＋クラウド用仮想ルーター」という構成が、これからどう進展するのか楽しみだ。皆さんの企業ネットワークでも次のネットワークの候補として検討してはいかがだろうか。

筆者紹介

松田次博（まつだ　つぐひろ）

情報化研究会（http://www2j.biglobe.ne.jp/~ClearTK/）主宰。情報化研究会は情報通信に携わる人の勉強と交流を目的に1984年4月に発足。

IP電話ブームのきっかけとなった「東京ガス・IP電話」、企業と公衆無線LAN事業者がネットワークをシェアする「ツルハ・モデル」など、最新の技術やアイデアを生かした企業ネットワークの構築に豊富な実績がある。本コラムを加筆再構成した『新視点で設計する　企業ネットワーク高度化教本』（2020年7月、技術評論社刊）、『自分主義　営業とプロマネを楽しむ30のヒント』（2015年、日経BP社刊）はじめ多数の著書がある。

東京大学経済学部卒。NTTデータ（法人システム事業本部ネットワーク企画ビジネスユニット長など歴任、2007年NTTデータ プリンシパルITスペシャリスト認定）、NEC（デジタルネットワーク事業部エグゼクティブエキスパート等）を経て、2021年4月に独立し、大手企業のネットワーク関連プロジェクトの支援、コンサルに従事。新しい企業ネットワークのモデル（事例）作りに貢献することを目標としている。連絡先メールアドレスはtuguhiro@mti.biglobe.ne.jp。