🚪 VGW(仮想プライベートGW)
VPCの「正面玄関」。各VPCに1つだけ設置し、Direct ConnectやVPNからの通信を受け入れる入口
🔀 DXGW(DX Gateway)
複数リージョンのVGWを束ねる「中央インターチェンジ」。1本の専用線で世界中のVPCに接続可能にする
🛣️ VIF(仮想インターフェース)
物理回線の上に作る「論理的な車線」。Private / Public / Transit の3種類で通信先を分ける
AWS Direct Connectの仕組みは「自社専用の高速道路ネットワーク」にたとえると分かりやすくなります。
あなたの会社(オンプレミス)から、AWSという巨大な商業エリアへ「専用の高速道路」を引くとイメージしてください。インターネット(一般道路)を通らず、専用レーンで高速・安全に行き来できるのがDirect Connectです。
| AWS用語 | たとえ(高速道路) | 役割 |
|---|---|---|
| DX接続(物理) | 🛤️ 専用の高速道路そのもの | オンプレミスとAWSを結ぶ物理的な回線 |
| VIF | 🛣️ 高速道路の「車線」 | 1本の道路に複数の行き先車線を作る |
| VGW | 🚪 各施設の「正面玄関ゲート」 | VPCの入口。1施設に1ゲートのみ |
| DXGW | 🔀 中央インターチェンジ | 1つのICから全国の施設へ分岐 |
| Transit VIF + TGW | 🏙️ 大型ジャンクション | 大規模ネットワークのハブ |
オンプレミスからVPCまで、データが通過する各コンポーネントの順番を見てみましょう。
📌 データの旅路(Private VIF経由)
オンプレミスのルーター → 物理接続(光ファイバー)→ Private VIF(VLAN車線)→ DX Gateway(中央IC)→ VGW(VPC玄関)→ VPC内のリソース、という順にデータが旅します。Public VIFの場合はDXGW/VGWを経由せず、直接AWSパブリックサービスに到達します。
VPCにアタッチする「正面玄関ゲート」。Direct ConnectやVPNからの通信は、必ずこのVGWを通ってVPCに入ります。
VPCを1棟のビルとすると、VGWはその「正面玄関のセキュリティゲート」です。外から来る人(データ)はすべてこのゲートを通ります。ビル1棟につきゲートは1つだけ。来訪者がDirect Connect(専用車)で来てもVPN(タクシー)で来ても、入口は同じです。
リージョンスコープ
Region-level resource
VGWは特定のリージョン内に作成され、1つのVPCにのみアタッチ可能です。逆に、1つのVPCにアタッチできるVGWも1つだけです。
接続先
Connection targets
VGWに接続できるのは、Direct Connect(Private VIF)とSite-to-Site VPNの2つです。どちらもVGWを経由してVPCにアクセスします。
ルート伝播
Route propagation
VGWが学習したオンプレミスのルートを、VPCのルートテーブルに自動伝播させることができます。手動でルートを追加する必要がありません。
ASN設定
Autonomous System Number
VGW作成時にカスタムASNを指定可能です(デフォルトは64512)。BGPピアリングで使用され、オンプレミスASNとの重複は不可です。
複数リージョン・複数アカウントのVGWを1つにまとめる「中央インターチェンジ」。1本のDirect Connectで世界中のVPCへ。
DXGWは高速道路の「中央インターチェンジ(IC)」です。1つのICに入れば、東京方面・大阪方面・福岡方面、どの出口(VGW)にも行けます。DXGWがなければ、各方面ごとに個別の道路(VIF)を引く必要がありました。中央ICのおかげで1本の道路から全方面に分岐できるのです。
グローバルリソース
Global resource
DXGWは特定リージョンに属さないグローバルリソースです。世界中のリージョンにあるVGWを束ねることができます。
接続上限
Association limits
1つのDXGWには最大20個のVGW(またはTGW)を関連付けできます。最大30個のPrivate VIF / Transit VIFも関連付け可能です。
クロスアカウント
Cross-account sharing
DXGWは別のAWSアカウントのVGWとも関連付け可能です。マルチアカウント環境でDirect Connect回線を共有できます。
制限事項
Limitations
DXGW経由ではVPC同士の通信(VPC-to-VPC)はできません。あくまでオンプレミス↔VPC間の通信をルーティングするハブです。
⚠️ DXGWなしの場合 vs ありの場合
DXGWなし:各リージョンのVGWごとに個別のPrivate VIFが必要 → 管理が煩雑、VIF数が増大
DXGWあり:1つのPrivate VIFでDXGWに接続 → そこから複数リージョンのVGWへ分岐 → 管理がシンプル
1本の物理回線上に作る「論理的な車線」。VLAN IDで区切られ、目的別に3種類を使い分けます。
1本の高速道路(物理回線)に、行き先別の「車線」を引くのがVIFです。「VPC行き車線(Private VIF)」「AWSサービス行き車線(Public VIF)」「大型ジャンクション行き車線(Transit VIF)」の3つがあります。各車線はVLAN IDという番号で区別されます。
Private VIF
プライベート仮想IF
VPCへのプライベートIP通信用。VGWまたはDXGWに接続します。EC2やRDSなどVPC内リソースにプライベートIPで直接アクセスできます。
Public VIF
パブリック仮想IF
AWSパブリックサービス(S3、DynamoDB、SESなど)へのアクセス用。VGW/DXGWを経由せず、直接パブリックエンドポイントに接続します。
Transit VIF
トランジット仮想IF
Transit Gateway(TGW)に接続するためのVIFです。DXGW経由でTGWに接続し、TGWから大量のVPCへ一括ルーティングできます。
| 項目 | Private VIF | Public VIF | Transit VIF |
|---|---|---|---|
| 接続先 | VGW / DXGW | AWSパブリック エンドポイント |
DXGW → TGW |
| 通信範囲 | プライベートIP | パブリックIP | プライベートIP |
| 主な用途 | VPC内リソース へのアクセス |
S3, DynamoDB等 パブリックサービス |
大規模マルチVPC ネットワーク |
| DXGW経由 | 可能(推奨) | 不可(直接接続) | 必須 |
| ジャンボフレーム | 対応(9001) | 非対応 | 対応(8500) |
| BGP | 必須 | 必須 | 必須 |
VIF・DXGW・VGWがどのように連携するか、接続パターン別に見てみましょう。
シンプル構成(DXGW不使用)
Private VIF → VGW → VPC(単一リージョン・単一VPC向け)
1つのリージョンに1つのVPCだけならDXGWは不要。VIFとVGWを直接接続するのが最もシンプルです。
標準構成(DXGW使用)
Private VIF → DXGW → 複数VGW → 複数VPC(マルチリージョン向け)
最も一般的な構成。DXGWを挟むことで1本のVIFから複数リージョン・複数VPCへ接続できます。
大規模構成(TGW連携)
Transit VIF → DXGW → TGW → 大量VPC(エンタープライズ向け)
数十〜数百のVPCがある場合。TGWがハブとなりVPCルーティングを集約します。VPC間通信も可能。
自分の環境に合った接続パターンを選ぶための判断基準です。
各コンポーネントの作成手順をAWS CLIで見てみましょう。
設計・運用で押さえるべきポイントをまとめます。
冗長化
本番環境では2本の物理接続を異なるDXロケーションに用意し、それぞれにVIFを作成してください。1本が障害になっても自動フェイルオーバーが可能です。
CIDR重複回避
DXGW経由で複数VPCに接続する場合、VPC同士のCIDRが重複しないよう設計してください。重複があるとルーティングが正しく動作しません。
BGP認証
VIF作成時にBGP認証キー(MD5)を設定しましょう。不正なBGPピアからのルート広報を防ぎ、セキュリティを強化します。
CloudWatch監視
ConnectionStateとVirtualInterfaceBpsEgress/Ingressメトリクスを監視し、接続断やトラフィック異常をアラートで検知してください。
❌ よくある設計ミス
1. DXGW経由でVPC間通信ができると思い込む → DXGWはオンプレミス↔VPC間のみ。VPC間はVPCピアリングやTGWが必要です。
2. Public VIFにDXGWを関連付けようとする → Public VIFはDXGW不要・不可。直接AWSパブリックサービスに接続されます。
3. 単一回線で本番運用する → 必ず冗長回線を用意してください。DXは物理接続のため、回線障害時は復旧に時間がかかります。
Created by SSuzuki1063
AWS SAP Learning Resources