目次

AWS Cloud WAN 完全ガイド v2.0

グローバル WAN・ポリシーベース・マルチリージョン統合

概要

AWS Cloud WAN は、マルチリージョン・マルチアカウント・オンプレミスを統一的に管理するグローバル WAN サービス です。ポリシーベースのネットワーク設定で、複雑な本社・支店・データセンター・AWS リージョン間の接続を宣言的に記述でき、AWS グローバルバックボーンを活用した低遅延・高信頼性の WAN を構築します。Transit Gateway の複雑さを排除し、Cisco SD-WAN などとの統合も可能です。2025 年には IPv6・PrivateLink 対応、2026 年には AI 最適化が予定されています。

初心者向けメモ

Cloud WAN は「グローバル企業の全拠点(本社・支店・DC・AWS)を 1 つの WAN で統一管理」するサービスです。Transit Gateway は単一リージョン内の VPC 接続に特化しますが、Cloud WAN はマルチリージョン・マルチアカウント・オンプレミス を含めたグローバルな WAN 構築に対応しています。ポリシーベースで「分かりやすく・変更しやすく」を実現します。

Cloud WAN が解決する課題

課題 Transit Gateway VPC Peering Cloud WAN
マルチリージョン VPC 統合 TGW Peering で複雑化 対応不可 ✅ Native
オンプレ統合 Site-to-Site VPN 別途 VPN 別途 ✅ Native
SD-WAN 統合 困難 困難 ✅ Native
セグメント(VRF) ✅ サポート
ポリシーベース設定 ❌ JSON ✅ JSON Policy
グローバル可視化 ✅ ダッシュボード
複雑さ 低(小規模) 中(初期) → 低(運用)
IPv6 対応(2025+) ✅ Native
PrivateLink 統合 ✅ 2025 年 GA

主な特徴

特徴 説明 v2.0 キーポイント
Global Network AWS Network Manager の上位概念 複数 Cloud WAN も可能
Core Network Cloud WAN の実体(リージョン・セグメント・ポリシー) Policy-driven・Version 管理
Core Network Edge リージョン毎の接続ポイント(Transit Gateway) Full-Mesh Peering・自動作成
Network Segment VRF ライク な分離ドメイン 本番・開発・共有サービス
Attachment VPC / VPN / Transit Gateway / SD-WAN 複数タイプ対応
Network Policy JSON ベースの宣言的定義 Version 管理可能・Change Set
Service Insertion ルーティング経由でファイアウォール挿入 セキュリティ統合
Peering Core Network Edge 間の Full-Mesh 冗長・低遅延
IPv6 Dual-Stack(2025+) 全リージョン対応拡大 Site-to-Site VPN も対応
PrivateLink 統合(2025+) インターネット非経由通信 エンドポイント統合

アーキテクチャ

図1:Cloud WAN グローバルアーキテクチャ

graph TB
    OnPremHQ["On-Premises<br/>HQ / Datacenter"]
    BranchA["Branch Office A<br/>東京"]
    BranchB["Branch Office B<br/>ロンドン"]
    
    GlobalNetwork["Global Network<br/>Network Manager"]
    
    CoreNetwork["Core Network<br/>Policy-Driven"]
    
    CoreEdgeAPNE["Core Network Edge<br/>ap-northeast-1"]
    CoreEdgeEUW["Core Network Edge<br/>eu-west-1"]
    CoreEdgeUSE["Core Network Edge<br/>us-east-1"]
    
    VpcAPNE["VPC<br/>ap-northeast-1"]
    VpcEUW["VPC<br/>eu-west-1"]
    VpcUSE["VPC<br/>us-east-1"]
    
    OnPremHQ -->|Site-to-Site VPN<br/>or Direct Connect<br/>IPv6 2025+| GlobalNetwork
    BranchA -->|SD-WAN<br/>or VPN| GlobalNetwork
    BranchB -->|SD-WAN<br/>or VPN| GlobalNetwork
    
    GlobalNetwork -->|Policy| CoreNetwork
    
    CoreNetwork --> CoreEdgeAPNE
    CoreNetwork --> CoreEdgeEUW
    CoreNetwork --> CoreEdgeUSE
    
    CoreEdgeAPNE --> VpcAPNE
    CoreEdgeEUW --> VpcEUW
    CoreEdgeUSE --> VpcUSE
    
    CoreEdgeAPNE -.->|Full-Mesh Peering| CoreEdgeEUW
    CoreEdgeAPNE -.->|Full-Mesh Peering| CoreEdgeUSE
    CoreEdgeEUW -.->|Full-Mesh Peering| CoreEdgeUSE

    style CoreNetwork fill:#ff9999
    style GlobalNetwork fill:#99ccff

図2:Network Segment デザイン

graph LR
    CoreNetwork["Core Network<br/>Central Policy<br/>Version Control"]
    
    ProdSeg["Production Segment<br/>Route Domain 1<br/>Isolated"]
    DevSeg["Development Segment<br/>Route Domain 2<br/>Isolated"]
    SharedSeg["Shared Services Segment<br/>Route Domain 3<br/>Central Resources"]
    
    ProdAttach["VPC: prod-*<br/>Branch: sales"]
    DevAttach["VPC: dev-*<br/>Branch: engineering"]
    SharedAttach["VPC: shared-*<br/>On-Prem: services"]
    
    CoreNetwork --> ProdSeg
    CoreNetwork --> DevSeg
    CoreNetwork --> SharedSeg
    
    ProdSeg --> ProdAttach
    DevSeg --> DevAttach
    SharedSeg --> SharedAttach
    
    ProdSeg -.->|Controlled Route Share<br/>IAM Policy| SharedSeg
    DevSeg -.->|Controlled Route Share<br/>IAM Policy| SharedSeg

    style ProdSeg fill:#ff9999
    style DevSeg fill:#99ff99
    style SharedSeg fill:#99ccff
    style CoreNetwork fill:#ffcc99

コアコンポーネント

1. Global Network

定義:Network Manager の最上位概念
管理対象:
  - Core Network(Cloud WAN)
  - Transit Gateway
  - Sites / Devices(オンプレミス)

用途:
  - 統一的なネットワーク可視化
  - Event tracking
  - AWS PrivateLink 統合(2025+)
  
スコープ:
  - マルチリージョン・マルチアカウント対応
  - 複数 Core Network も可能

2. Core Network

定義:Cloud WAN の実体
構成要素:
  - Policy(JSON)
  - Core Network Edges(リージョン毎)
  - Attachments
  - Segments

特徴:
  - Policy Version 管理
  - Change Set で影響分析
  - Rollback 可能
  - Tag ベースの自動 Attachment

3. Core Network Policy

形式:JSON ドキュメント
要素:
  1. Core Network Configuration
     - Regions
     - BGP ASN
  
  2. Segments
     - Name
     - Isolation
  
  3. Segment Actions
     - Route Sharing
     - Filtering
  
  4. Attachments
     - VPC
     - VPN
     - SD-WAN(Tag-based)
     - Transit Gateway

例:
{
  "version": "2021-12-08",
  "core-network-configuration": {
    "regions": [
      {"region-name": "ap-northeast-1"},
      {"region-name": "eu-west-1"},
      {"region-name": "us-east-1"}
    ],
    "bgp-asn": 65001,
    "edge-locations": [
      {"region": "ap-northeast-1", "location": "Tokyo"}
    ]
  },
  "segments": [
    {"name": "Production", "isolation": true},
    {"name": "Development", "isolation": true},
    {"name": "Shared"}
  ],
  "segment-actions": [
    {
      "action": "share",
      "from": "Shared",
      "to": ["Production", "Development"],
      "via": ["all"]
    }
  ]
}

4. Network Segment

定義:独立したルーティングドメイン(VRF-like)
特徴:
  - デフォルト分離(Segment 間ルーティング遮断)
  - Explicit Route Sharing で連携
  - Tag-based Attachment(自動 Segment 割当)
  - IAM Policy で Share 制御(2025+)
  
例:
  - Production:本番 VPC・売上拠点
  - Development:開発 VPC・エンジニア拠点
  - Shared:DNS・認証サーバー・セキュリティアプライアンス
  - DMZ:インターネット接続・WAF・IDS

5. Core Network Edge

定義:リージョン毎の接続ポイント
実体:Transit Gateway(自動作成)
役割:
  - VPC Attachment
  - Route Table 管理
  - Full-Mesh Peering

BGP:
  - Automatic BGP Session
  - AS Path prepend で優先制御
  - eBGP Multihop で長距離接続
  
属性:
  - 複数 Edge 間 Full-Mesh 接続
  - High Availability(複数 AZ)

6. Attachment

タイプ:
  1. VPC Attachment
     - CIDR 自動割り当て
     - Tag-based Segment mapping
     - Subnet 選択(複数 AZ)
  
  2. VPN Attachment
     - Site-to-Site VPN
     - オンプレ接続
     - IPv6 対応(2025+)
  
  3. Transit Gateway Attachment
     - Peering 用
     - 既存 TGW 統合
  
  4. Connect Attachment
     - SD-WAN インテグレーション
     - Cisco / Fortinet / Meraki

承認:
  - Auto-accept(Policy)
  - Manual(セキュリティ重視)

機能:インターネット非経由通信
実装:AWS PrivateLink Endpoint
対応リージョン:全リージョン(2025 拡大中)
用途:
  - インターネット経由を回避
  - セキュリティ強化
  - コスト最適化(データ転送料削減)

主要ユースケース(12+)

  1. グローバル製造業の工場統合:日本・EU・北米の工場を Cloud WAN で一元管理
  2. マルチリージョン SaaS プラットフォーム:複数リージョン VPC + オンプレ本社
  3. 金融機関のハイブリッド WAN:本社・支店・AWS・オンプレ データセンター統合
  4. グローバル小売チェーン:店舗(SD-WAN)+ AWS バックエンド統合
  5. セグメント化セキュリティ:本番・開発・DMZ を分離しながら統合
  6. オンプレ → AWS 段階的移行:既存オンプレを維持しながら AWS 拡張
  7. Disaster Recovery:複数リージョン での自動フェイルオーバー
  8. SD-WAN との統合:Cisco SD-WAN / Fortinet / Meraki との連携
  9. 低遅延グローバルネットワーク:MPLS より低コストで AWS Backbone 活用
  10. マルチアカウント統合:複数 AWS Account の VPC を Central Network で管理
  11. IoT / Edge Computing:エッジロケーション ↔ Central Cloud 統合
  12. Service Insertion:ルーティング経由でセキュリティアプライアンス挿入
  13. AI/ML ワークロード:複数リージョン推論・訓練パイプライン統合(2026+)
  14. コンプライアンス・データレジデンシー:リージョン間データ移動制御

設定・操作の具体例

AWS CLI 例1:Global Network 作成

aws networkmanager create-global-network \
  --description "Global WAN for Enterprise" \
  --tags Key=Environment,Value=Production Key=CostCenter,Value=Infrastructure

AWS CLI 例2:Core Network 作成・Policy 適用

aws networkmanager create-core-network \
  --global-network-id gnw-12345678 \
  --description "Production Core Network"

# Policy 定義(policy.json)
cat > policy.json <<EOF
{
  "version": "2021-12-08",
  "core-network-configuration": {
    "regions": [
      {"region-name": "ap-northeast-1"},
      {"region-name": "eu-west-1"},
      {"region-name": "us-east-1"}
    ],
    "bgp-asn": 65001
  },
  "segments": [
    {"name": "Production"},
    {"name": "Development"},
    {"name": "Shared"}
  ],
  "segment-actions": [
    {
      "action": "share",
      "from": "Shared",
      "to": ["Production", "Development"]
    }
  ]
}
EOF

# Policy 適用
aws networkmanager put-core-network-policy \
  --core-network-id cncf-12345678 \
  --policy-document file://policy.json

AWS CLI 例3:VPC Attachment・Segment 割当

# VPC Attachment 作成
aws networkmanager create-vpc-attachment \
  --core-network-id cncf-12345678 \
  --vpc-arn arn:aws:ec2:ap-northeast-1:123456789012:vpc/vpc-1234567890abcdef0 \
  --subnet-arns \
    arn:aws:ec2:ap-northeast-1:123456789012:subnet/subnet-1 \
    arn:aws:ec2:ap-northeast-1:123456789012:subnet/subnet-2 \
  --tags Key=Environment,Value=Production

# Segment 割当(Tag ベース)
aws networkmanager tag-resource \
  --resource-arn arn:aws:ec2:ap-northeast-1:123456789012:vpc/vpc-1234567890abcdef0 \
  --tags Key=Segment,Value=Production

CloudFormation 例

Resources:
  GlobalNetwork:
    Type: AWS::NetworkManager::GlobalNetwork
    Properties:
      Description: Enterprise WAN
      Tags:
        - Key: Environment
          Value: Production
      
  CoreNetwork:
    Type: AWS::NetworkManager::CoreNetwork
    Properties:
      GlobalNetworkId: !Ref GlobalNetwork
      Description: Production Core Network
      PolicyDocument:
        version: "2021-12-08"
        core-network-configuration:
          regions:
            - region-name: ap-northeast-1
            - region-name: eu-west-1
            - region-name: us-east-1
          bgp-asn: 65001
        segments:
          - name: Production
          - name: Development
          - name: Shared
        segment-actions:
          - action: share
            from: Shared
            to:
              - Production
              - Development

  VpcAttachment:
    Type: AWS::NetworkManager::VpcAttachment
    Properties:
      CoreNetworkId: !Ref CoreNetwork
      VpcArn: !Sub "arn:aws:ec2:${AWS::Region}:${AWS::AccountId}:vpc/${VpcId}"
      SubnetArns:
        - !Sub "arn:aws:ec2:${AWS::Region}:${AWS::AccountId}:subnet/${SubnetId1}"
        - !Sub "arn:aws:ec2:${AWS::Region}:${AWS::AccountId}:subnet/${SubnetId2}"

Terraform 例

resource "aws_ec2_network_manager_global_network" "example" {
  description = "Example Global Network"
  
  tags = {
    Environment = "Production"
  }
}

resource "aws_ec2_network_manager_core_network" "example" {
  global_network_id = aws_ec2_network_manager_global_network.example.id
  policy_document   = jsonencode({
    version = "2021-12-08"
    core-network-configuration = {
      regions = [
        { region-name = "ap-northeast-1" },
        { region-name = "eu-west-1" },
        { region-name = "us-east-1" }
      ]
      bgp-asn = 65001
    }
    segments = [
      { name = "Production" },
      { name = "Development" },
      { name = "Shared" }
    ]
    segment-actions = [
      {
        action = "share"
        from   = "Shared"
        to     = ["Production", "Development"]
      }
    ]
  })
  
  tags = {
    Environment = "Production"
  }
}

resource "aws_ec2_network_manager_vpc_attachment" "example" {
  core_network_id = aws_ec2_network_manager_core_network.example.id
  vpc_arn         = aws_vpc.example.arn
  subnet_arns     = aws_subnet.example[*].arn
  
  tags = {
    Segment = "Production"
  }
}

Python Example(Boto3):Policy Change Set

import boto3
import json

nm_client = boto3.client('networkmanager')

def create_and_validate_policy():
    # 新しい Policy を定義
    new_policy = {
        "version": "2021-12-08",
        "core-network-configuration": {
            "regions": [
                {"region-name": "ap-northeast-1"},
                {"region-name": "eu-west-1"},
                {"region-name": "us-east-1"}
            ],
            "bgp-asn": 65001
        },
        "segments": [
            {"name": "Production"},
            {"name": "Development"},
            {"name": "Shared"},
            {"name": "DMZ"}  # 新規追加
        ],
        "segment-actions": [
            {
                "action": "share",
                "from": "Shared",
                "to": ["Production", "Development"]
            },
            {
                "action": "share",
                "from": "DMZ",
                "to": ["Production", "Development"]
            }
        ]
    }
    
    # Change Set を作成(プレビュー)
    changeset = nm_client.create_core_network_policy_version(
        CoreNetworkId="cncf-12345678",
        PolicyDocument=json.dumps(new_policy),
        Description="Add DMZ segment for security appliances"
    )
    
    print(f"Change Set ID: {changeset['CoreNetworkPolicyVersion']['VersionId']}")
    print(f"Changes: {changeset['CoreNetworkPolicyVersion']['ChangeSet']}")
    
    # ユーザー確認後、本適用
    apply = nm_client.restore_core_network_policy_version(
        CoreNetworkId="cncf-12345678",
        PolicyVersionId=changeset['CoreNetworkPolicyVersion']['VersionId']
    )
    
    print(f"Applied: {apply['CoreNetworkPolicy']['PolicyDocument']}")

類似サービス比較表

項目 Cloud WAN Transit Gateway AWS Network Manager Cisco SD-WAN Azure Virtual WAN
マルチリージョン ✅ Native △ TGW Peering ✅ Monitoring ✅ Native ✅ Native
オンプレ統合 ✅ Native △ VPN ✅ Monitoring ✅ Native ✅ Native
SD-WAN 連携 △ Monitoring ✅ Native
ポリシーベース ✅ JSON N/A ✅ vManage
セグメント化 N/A
複雑さ
学習曲線
AWS Native
マネージド
IPv6 対応(2025+)

ベストプラクティス

✅ すべき施策

  1. 段階的デプロイ:小規模 Segment から始める
  2. Policy as Code:JSON Policy をバージョン管理・Git 統合
  3. Change Set 活用:本適用前に影響分析・テスト環境で検証
  4. Segment Isolation:本番・開発・共有・DMZ の分離
  5. CloudWatch Logs:全トラフィック監視・CloudWatch Insights 活用
  6. Tag-based Attachment:タグで自動 Segment 割当・運用効率化
  7. Firewall Integration:Service Insertion で検査・GWLB 連携
  8. Rollback 計画:Policy バージョン管理・問題時のロールバック戦略
  9. オンプレミス検証:既存 WAN との並行運用・段階的移行
  10. PrivateLink 活用(2025+):インターネット非経由通信・セキュリティ強化

❌ 避けるべき施策

  1. すべて 1 つの Segment:セグメント化の意味なし・セキュリティ低下
  2. Policy 手動修正:JSON ミスで通信不可・Change Set をスキップ
  3. Monitoring なし:問題検知できない・SLA 未達
  4. オンプレ無視:ハイブリッド価値を活かせない
  5. SD-WAN 無視:既存 WAN との統合困難
  6. Change Set なし:本番環境への直接変更・リスク増加
  7. BGP 設定不備:ルーティング計算ミス・トラフィック迷子

トラブルシューティング表

症状 原因 対処
VPC 間通信不可 Segment 分離・Attachment 未承認 Policy 確認・Manual Accept
Route 広告なし BGP Session Down・Core Network Edge 障害 Core Network Edge 確認・AWS サポート
Policy 適用失敗 JSON 構文エラー Validate Policy・AWS コンソール検証ボタン使用
遅延増加 リージョン障害・Full-Mesh Peering 未確立 AWS サポート・リージョン間接続確認
Attachment Pending 承認待ち(Manual Mode)・ネットワーク設定ミス Accept Attachment・Security Group 確認
SD-WAN 非表示 Connect Attachment 未作成・Tag ミス Attachment 再作成・Tag 確認
PrivateLink 未接続 Endpoint 未作成・IAM ポリシー未設定 PrivateLink Endpoint 作成・IAM 確認

2025-2026 最新動向

  • IPv6 Dual-Stack:全リージョン対応拡大・Site-to-Site VPN 対応(2025年3月)
  • AWS PrivateLink 統合:インターネット非経由通信(2025年3月 GA)
  • Advanced Policy:複雑なセグメント間ルーティング・条件付きルーティング
  • AI-driven Optimization:トラフィック予測・最適化・自動ルーティング調整(2026+)
  • Global Accelerator 統合:Backbone との統合深化
  • リージョン拡大:新興市場でのロケーション拡張
  • Terraform Provider 強化:Cloud WAN リソース管理簡素化
  • Service Insertion 拡張:GWLB・Network Firewall・サードパーティアプライアンス統合

学習リソース

公式ドキュメント(8+)

関連OSS・ベンダー(5+)

実装例・チェックリスト

小規模実装例(シンプル 2 リージョン)

  • Global Network 1 個
  • Core Network 1 個
  • Segment 1 つ(Production のみ)
  • VPC Attachment のみ(SD-WAN 不要)
  • シンプル Policy

中規模実装例(マルチリージョン・セグメント化)

  • Global Network 1 個
  • Core Network 1 個
  • Segment 3 つ(Production・Development・Shared)
  • VPC + Site-to-Site VPN Attachment
  • Tag-based 自動割当
  • Change Set で検証

大規模実装例(エンタープライズグローバル)

  • Global Network 複数(本社・地域ごと)
  • Core Network 複数(環境ごと)
  • Segment 5+ つ(本番・開発・DMZ・共有・管理)
  • VPC + VPN + SD-WAN + Transit Gateway Attachment
  • Service Insertion で GWLB / Network Firewall 統合
  • PrivateLink 活用(2025+)
  • 完全自動化・GitOps 統合

実装チェックリスト

  • [ ] Global Network 作成・命名規則決定
  • [ ] Core Network Policy 設計(JSON スキーマ準備)
  • [ ] Segment 定義(本番・開発・共有・DMZ等)
  • [ ] Core Network Edges リージョン選択
  • [ ] VPC Attachment 計画・CIDR 重複確認
  • [ ] VPN / Site-to-Site 構成
  • [ ] SD-WAN パートナー選定(Cisco / Fortinet / Meraki)
  • [ ] BGP ASN 選定・AS Path プリペンド戦略
  • [ ] Service Insertion / Firewall 設計
  • [ ] CloudWatch Logs 有効化・Log Insights クエリ準備
  • [ ] Change Set で影響分析・テスト環境で検証
  • [ ] Rollback 計画・Policy バージョン管理
  • [ ] PrivateLink Endpoint 計画(2025+)
  • [ ] IPv6 Dual-Stack 対応検討(2025+)
  • [ ] 運用ハンドブック作成・ドキュメント

まとめ

AWS Cloud WAN は、グローバルな WAN をポリシーベースで構築・管理するサービス です。Transit Gateway の複雑さを排除し、マルチリージョン・マルチアカウント・オンプレミス・SD-WAN を統一的に統合でき、エンタープライズネットワークの次世代標準になりつつあります。2025 年の IPv6・PrivateLink 対応により、セキュリティと グローバル対応が一層強化されます。Policy as Code によるバージョン管理・Change Set による影響分析・自動フェイルオーバー により、大規模ハイブリッド WAN を信頼性高く運用できます。

最終更新:2026-04-26
バージョン:v2.0