はじめに

AWS Network Firewall(以降NWFW)の構築作成する際に、接続方法の種類や構成によるコストの違いなどいろいろと調べていたところ、まとまりましたので記事にしてみました。

この記事では大きく以下の内容で記載せていただきます。

• 接続方法の種類：分散型と集中型の2つに分類できること。
• 構成ごとのコストの違い：接続の種類ごとに見えるコストの違いについて

公式などで収集した情報を基にまとめていますが、間違いや認識違いなどがあると思っております。お気づきになられた方いらっしゃいましたらコメントで指摘いただければと思います。

接続方法の種類

• 分散型：各ワークロードVPCにAZに1づつFWEPを設定し、VPCInglessの仕組みでINもOUTもチェックできるようにする接続

• 集中型：TransitGateway(以降TGW)を用いて、複数のワークロードに分けたVPCのトラフィックが必ずNWFWのVPCを通るようにしてINもOUTもチェックできるようにする接続方法

分散型と集中型の違いは、ワークロードVPC単位でNWFWを設定して検査するか、1つの検査専用VPCを作ってトラフィックを集中させて検査するという違い。
それぞれ図にすると以下のようになります。

分散型

分散型の場合、OUTにVPC Ingress Routing（ゲートウェイルートテーブル）を使ってゲートウェイに戻る通信を再度NWFWに流すことでOUTの検査ができるようになる。

ちなみにVGWになっても同じ仕組みで接続はできる。
構成図としては以下になる。

VPC Ingress RoutingはVGWでもできるためである。

集中型

集中型の場合、TGWでルートを制御することでIN,OUTのチェックができる。
検査用VPCにはワークロードを含めない。

---

構成ごとのコストの違い

いきなりコストと言っても…
いろいろな構成があるので前提を準備👇

前提

条件
　　①：1つのリージョンに1つのVPC　2AZのマルチAZ構成
　　②：①の3VPC構成

その他条件
　　一ヶ月フル使用を前提（730時間）
　　データ量はすべての場所で500GB（すべて同じデータ量はおかしいかもですが…）
　　東京リージョン基準でコストを見てみる。こちらのAWS Pricing Calculatorで

これダイレクトコネクト接続の分散型と集中型の2構成を作成し、①と②の構成ごとの一部概算を出してみる

分散型

分散型① 構成図

👈 内訳　合計：609.20 USD(月額) 　大体8.9万円

分散型② 構成図

👈 内訳　合計：1,762.60 USD(月額) 　大体25.7万円

集中型

集中型① 構成図

👈内訳　合計：853.6 USD(月額) 　大体12.5万円

集中型② 構成図

👈内訳　合計：1,098 USD(月額) 　大体16万円

以下総額まとめ

パターン	USD	JPY（約）
分散型①	609.2	約8.9万円
集中型①	853.6	約12.5万円
分散型②	1762.6	約25.7万円
集中型②	1098.0	約16万円

お気づきになりましたか？
VPC増えるほど、集中型のコスパ良くなってくることに・・・

集中型のコスパいい？

NWFWEPのコストは安くないため、VPCが増えるほど、集中型の構成にする方がコスパが良くなることが多い印象です。
もちろん実際の構成は今回のような雑な前提ではないのでそこはしっかり設計すべきと思います。

特にリージョン冗長を行う場合、各リージョンに検査用VPCを設置する必要が出ると、その分NWFWEPも触れていくので費用は大きくなります。

例えば・・・
集中型のVPC3つが3リージョンの冗長構成の場合、NWFWEPが4つ、TGWENIが4つ増えるので
　　NWFWEP：6個 → 1,762.60USD
　　TGWENI：12個 → 733.20USD
合計：2495.8USD　ヒェ〜

まとめ

TGWがある方が構成が多く、データ量分の料金が増えるから高そうと思ってましたが、NWFWEPの費用のほうが無視できないことが多いと思われます。
当然、TGWに流れるデータ量やEPの数、どこまで冗長構成にするかによって分散型、集中型のコストも変わるので、それら踏まえ設計していく必要があると思いました。