Site-to-Site VPNとDirect Connectの使い分け完全ガイド:レイテンシ・コスト・運用で迷わない判断軸

AWS

SAA-C03の学習をしていると、オンプレとAWSをつなぐ話で「結局VPNとDirect Connectは何が違うの?」「どっちを選ぶべき?」で手が止まりがちです。
暗記で乗り切るより、判断軸を固定しておくと、サービス名が変わっても設計問題が読みやすくなります。

まず結論:迷いを減らすための判断軸

最初にゴールを決めると、選択がスッキリします。

結論から言うと、ざっくり次の考え方がベースです。

  • 短期間で開通したい/コスト優先/一時的な接続 → Site-to-Site VPNが候補
  • 安定した低レイテンシ/大きい帯域/専用線で予測可能な性能 → Direct Connectが候補
  • 本命はDirect Connectだけど、冗長化や非常用経路が欲しい → Direct Connect+VPN併用が定番

AWSのWell-Architectedでも、Direct Connectは「高帯域・低レイテンシ・一貫した性能」に向く、VPNは「インターネット上に安全な接続を素早く作る」もの、という整理がされています。

SAA-C03対策で評価の高いUdemy講座をまとめて確認できます。👇

SAA-C03対策|Udemyのおすすめ講座を見る

仕組みの違い:同じように見えて前提が違う

ここを押さえると、後の比較が全部ラクになります。

Site-to-Site VPNとは

Site-to-Site VPNは、オンプレ側のルータなどとVPC側をIPsecで暗号化してつなぐ方式です。AWSの用語としては「VPN connection」「VPN tunnel」などが出てきます。VPNトンネルは暗号化された経路で、データが通ります。

ポイントは冗長性です。1つのVPN接続に2本のトンネルが含まれ、片方が落ちてももう片方へ迂回しやすい設計になっています(両方設定して使うのが前提)。

さらに、オンプレ側機器の故障に備えるなら、別のカスタマーゲートウェイ機器を用意してVPN接続自体を二重化する考え方も公式で説明されています。

Direct Connectとは

Direct Connectは、オンプレからAWSへ専用線で接続するサービスです。公衆インターネットを避けてAWS側ネットワーク上を通すことで、混雑などによるレイテンシ変動の影響を受けにくく、より一貫したネットワーク体験を狙えます。

Direct Connectは「回線を引けば終わり」ではなく、用途に合わせて仮想インターフェイス(VIF)を作ります。
代表例として、VPCにプライベートIPで入るならプライベートVIF、AWSのパブリックサービスへ行くならパブリックVIF、という整理です。
(設計問題でも、どのVIFで何に到達したいかを問われる形になりやすいです)

レイテンシと帯域の考え方:何が効いてくるか

「速い/遅い」だけでなく、ブレるかどうかが大事です。

レイテンシの基本整理

  • VPN:インターネット上の経路品質に左右されやすい(混雑・経路変更・ジッタの影響が出やすい)
  • Direct Connect:専用線を使うため、より安定した低レイテンシを狙いやすい

試験対策としては、「リアルタイム性が高い」「遅延変動に弱い」「一定品質が必要」という要件が出たら、Direct Connect側に倒す思考が分かりやすいです(もちろんコストや導入期間も絡みます)。

帯域とスケールの考え方

Direct Connectは、接続形態によって50Mbps〜100Gbpsまでの選択肢がある、という整理がWell-Architected側にも書かれています。

一方VPNは、基本は“手軽さ”が強みです。ただ「帯域を増やしたい」となった時、単純に1本でどこまでも伸ばすのは難しく、複数トンネル・複数接続・Transit GatewayでのECMPなど、設計で積み上げていく発想になります。公式ドキュメントでも、Transit Gateway側のVPNでECMPを使って帯域を上げる考え方が触れられています。

Accelerated VPNという選択肢

国をまたいだ接続などで「VPNだけど遅延を少しでもマシにしたい」という時、Accelerated Site-to-Site VPNが候補になることがあります。これはGlobal Acceleratorを使い、AWS側で2つのアクセラレータを(トンネルごとに)作成・管理する仕組みです。
ただし当然コスト要素が増えるので、要件と費用の釣り合いを見るのが前提です(次の章で触れます)。

コストの考え方:比較でハマるポイント

「月いくら?」だけでなく、どこで課金されるかの形が違います。

VPNの課金イメージ

Site-to-Site VPNは、少なくとも次の考え方を押さえると混乱しづらいです。

  • VPN接続時間:VPN接続がプロビジョニングされ利用可能な時間に対して課金
  • データ転送:EC2のData Transfer Outなど、データ転送側の費用が絡む
  • Accelerated VPN:Global Accelerator関連の費用(2台分など)やデータ転送プレミアムが加わり得る

ポイントは、VPNは「回線工事」みたいな初期費用が不要で始めやすい反面、要件が大きくなるほど“積み上げ”になりやすいことです。さらにTransit Gateway配下で使う場合は、TGW側の費用も別で見ます(ネットワーク構成の図を見て、どこにアタッチしているかを追う癖が効きます)。

Direct Connectの課金イメージ

Direct Connectは公式FAQでも明確で、ポート時間(Port hours)とデータ転送が基本の2本立てです。
料金ページ側でも「使った分だけ」「最低料金なし」などの説明があります。

ただし、現実の費用感で忘れやすいのがここです。

  • Direct Connectそのものの料金だけでなく、回線事業者やパートナー側の費用が別途発生し得る
  • 接続形態(専用/ホスト型)やロケーション、冗長構成でコストが変わる

つまり、Direct Connectは「ランニングが読みやすい」方向に寄せやすい一方で、導入時に関係者が増えます。試験問題でも「すぐに必要」「工事を待てない」みたいな条件があると、VPNが候補に残りやすいです。

コスト比較の結論

  • 小さく始めたい/短期利用/バックアップ回線として用意:VPNは説明がつきやすい
  • 大容量転送が継続する/性能の一貫性が大事:Direct Connect側が筋が通りやすい

金額そのものはリージョンや使い方で変わるので、学習では「課金の仕組みを言語化できるか」を重視すると、設問への耐性が上がります。

運用と冗長化:試験でも実務でも差が出るところ

ここが“使い分け”の本丸です。構築後の運用を想像できると、選定がブレません。

VPN運用で押さえること

  • 2本トンネルを両方設定し、片方落ちても通信が継続する前提を作る
  • さらに必要なら、別カスタマーゲートウェイでVPN接続を二重化して、機器故障や保守に備える
  • 動的ルーティングならBGP、静的ルーティングなら静的経路、という前提を理解しておく(設問の読み間違い防止)

「VPN=暗号化されて安心」だけで止めず、**“どこが単一障害点になるか”**を考えるのがコツです。オンプレ側の1台ルータに依存していると、AWS側が冗長でも全体として弱くなります。

Direct Connect運用で押さえること

  • VIFの種類を理解して、どこへ到達したいかを設計に落とす
  • 「専用線だから絶対安心」ではなく、物理経路・ロケーション・冗長構成をどう組むかが運用の肝
  • ハイブリッド構成としては、Direct Connectを主回線、VPNをバックアップにする考え方がよく出てきます(“性能と可用性の両取り”の発想)

Well-Architectedのガイダンスでは、帯域要件が高い場合に複数の接続を検討すること、そしてDirect ConnectとVPNを単純に負荷分散するのはレイテンシや帯域の差でおすすめしない、といった注意も書かれています。
このあたりは「言われてみればそうだよね」ですが、設問のひっかけ回避に効きます。

迷った時の選定フロー

最後に、判断を手早くするための“型”を置いておきます。

  • 低遅延が必要か、遅延変動が許容できるか
    • 厳しい → Direct Connect寄り
  • 帯域がどれくらい必要か、増える見込みがあるか
    • 大きい/増える → Direct Connect寄り
  • 導入までの時間制約があるか
    • すぐ必要 → VPN寄り
  • 運用で守りたいものは何か
    • 回線・機器の単一障害点を潰す → 併用や冗長構成を検討

体系的に学ぶ教材の一例

ここまでの内容は「単語の暗記」より「つながりの理解」が重要なので、動画で図を追いながら学ぶと定着が早いです。

Udemyには、SAA-C03向けにVPC、ハイブリッド接続、Transit Gateway周辺まで一気通貫で整理してくれる講座があります。問題演習だけでなく、なぜその接続方式を選ぶのかを解説しているタイプを選ぶと、このテーマは特に効率が上がります。
(講座は更新頻度やレビュー、対応バージョン表記を見て、今の学習状況に合うものを選ぶのがおすすめです)

SAA-C03対策で評価の高いUdemy講座をまとめて確認できます。👇

SAA-C03対策|Udemyのおすすめ講座を見る

まとめ

Site-to-Site VPNとDirect Connectの違いは、「暗号化できるか」ではなく、経路の前提と、その結果としてのレイテンシ・コスト構造・運用のしやすさにあります。

  • VPNは、インターネット上に素早く安全な接続を作りやすく、冗長化は2本トンネルや接続の二重化で設計する
  • Direct Connectは、専用線で安定した低レイテンシや一貫した性能を狙いやすく、ポート時間とデータ転送という課金構造が基本
  • 実務でも試験でも、よくある落としどころは「Direct Connectを主回線、VPNをバックアップ」

この判断軸を自分の言葉で説明できるようになると、SAA-C03のネットワーク系の設問で、条件文を読んだ瞬間に候補が絞れるようになります。

タイトルとURLをコピーしました