Direct Connect ゲートウェイ - AWS Direct Connect

Direct Connect ゲートウェイ

AWS Direct Connect ゲートウェイを使用して VPC を接続します。AWS Direct Connect ゲートウェイは、次のいずれかのゲートウェイに関連付けます。

  • 同一リージョン内に複数の VPC がある場合は トランジットゲートウェイ

  • 仮想プライベートゲートウェイ

Direct Connect ゲートウェイはグローバルに利用可能なリソースです。Direct Connect ゲートウェイは、どのパブリックリージョンにも作成でき、他のすべてのパブリックリージョンからアクセスできます。次のシナリオでは、Direct Connect ゲートウェイを使用できます。

Direct Connect ゲートウェイでは、同じ Direct Connect ゲートウェイ上にあるゲートウェイの関連付けが相互にトラフィックを送信することはできません (たとえば、仮想プライベートゲートウェイから別の仮想プライベートゲートウェイへ)。Direct Connect ゲートウェイでは、トラフィックが 1 つのゲートウェイの関連付けからそのゲートウェイの関連付け自体に送信されるのを防ぐことはできません。たとえば、ゲートウェイの関連付けからのプレフィックスを含むオンプレミスのスーパーネットルートがある場合です。複数の VPC が同じ トランジットゲートウェイ に接続されている設定がある場合、VPC は通信できます。VPC が通信しないようにするには、別のトランジットゲートウェイアタッチメントを使用して、blackhole オプションが設定されているアタッチメントにルートテーブルを関連付けます。

仮想プライベートゲートウェイの関連付け

次の図では、Direct Connect ゲートウェイによって、米国東部(バージニア北部) リージョンの AWS Direct Connect 接続を使用し、米国東部(バージニア北部) と 米国西部 (北カリフォルニア) の両方のリージョンでご自身のアカウントの VPC にアクセスできます。


                Direct Connect Gateway

アカウント間の仮想プライベートゲートウェイの関連付け

Direct Connect ゲートウェイを所有している Direct Connect 所有者 (アカウント Z) のシナリオを考えてみます。アカウント A とアカウント B は Direct Connect ゲートウェイの使用を希望しています。アカウント A とアカウント B はそれぞれ、関連付け提案をアカウント Z に送信します。アカウント Z はこの関連付け提案を承諾し、必要に応じて、アカウント A の仮想プライベートゲートウェイまたはアカウント B の仮想プライベートゲートウェイから許可されるプレフィックスを更新します。アカウント Z が提案を承諾すると、アカウント A とアカウント B はそれぞれの仮想プライベートゲートウェイから Direct Connect ゲートウェイにトラフィックをルートできるようになります。また、アカウント Z はゲートウェイを所有しているため、顧客へのルーティングを所有します。

トランジットゲートウェイの関連付け

次の図は、Direct Connect ゲートウェイによって、すべての VPC が使用できる Direct Connect 接続に 1 つの接続を作成する方法を示しています。

このソリューションには、次のコンポーネントが必要です。

  • VPC がアタッチされた トランジットゲートウェイ。

  • Direct Connect ゲートウェイ。

  • Direct Connect ゲートウェイと トランジットゲートウェイ の間の関連付け。

  • Direct Connect ゲートウェイにアタッチされたトランジット仮想インターフェイス。

この設定には次のような利点があります。以下を実行できます。

  • 同じリージョンにある複数の VPN または VPC に対して 1 つの接続を管理する。

  • オンプレミスから AWS に、または AWS からオンプレミスにプレフィックスをアドバタイズする。

トランジットゲートウェイ の設定の詳細については、Amazon VPC トランジットゲートウェイ ガイドの「Working with Transit Gateways」を参照してください。

アカウント間のトランジットゲートウェイの関連付け

Direct Connect ゲートウェイを所有している Direct Connect 所有者 (アカウント Z) のシナリオを考えてみます。アカウント A が トランジットゲートウェイ を所有していて、Direct Connect ゲートウェイを使用したいと考えています。アカウント Z は関連付け提案を受け入れ、オプションで、アカウント A の トランジットゲートウェイ から許可されるプレフィックスを更新できます。アカウント Z が提案を受け入れた後で、トランジットゲートウェイ にアタッチされた VPC は、トランジットゲートウェイ から Direct Connect ゲートウェイにトラフィックをルーティングできます。また、アカウント Z はゲートウェイを所有しているため、顧客へのルーティングを所有します。

Direct Connect ゲートウェイの作成

サポートされているすべてのパブリックリージョンで、Direct Connect ゲートウェイを作成できます。

Direct Connect ゲートウェイを作成するには

  1. AWS Direct Connect コンソール (https://console.aws.amazon.com/directconnect/v2/home) を開きます。

  2. ナビゲーションペインで、[Direct Connect Gateway] を選択します。

  3. [Direct Connect Gateway の作成] を作成します。

  4. 次の情報を指定し、[Create Direct Connect gateway (Direct Connect ゲートウェイの作成)] を選択します。

    • 名前: Direct Connect ゲートウェイを識別するのに役立つ名前を入力します。

    • Amazon 側の ASN: Amazon 側の BGP セッションのための ASN を指定します。ASN は、64,512~65,534 または 4,200,000,000~4,294,967,294 の範囲内で指定する必要があります。

    • [仮想プライベートゲートウェイ]: 仮想プライベートゲートウェイを関連付けるには、仮想プライベートインターフェイスを選択します。

コマンドラインまたは API を使用して Direct Connect ゲートウェイを作成するには

Direct Connect Gateway の削除

Direct Connect ゲートウェイが不要になった場合には、それを削除することができます。最初に、すべての関連付け済み仮想プライベートゲートウェイの関連付けを解除し、アタッチ済みプライベート仮想インターフェイスを削除する必要があります。

Direct Connect ゲートウェイを削除するには

  1. AWS Direct Connect コンソール (https://console.aws.amazon.com/directconnect/v2/home) を開きます。

  2. ナビゲーションペインで、[Direct Connect Gateway] を選択します。

  3. ゲートウェイを選択し、[Delete (削除)] を選択します。

コマンドラインまたは API を使用して Direct Connect ゲートウェイを削除するには

仮想プライベートゲートウェイから Direct Connect ゲートウェイへの移行

仮想インターフェイスにアタッチされた仮想プライベートゲートウェイがあり、Direct Connect ゲートウェイに移行する場合は、以下の手順を実行します。

Direct Connect ゲートウェイに移行するには

  1. Direct Connect ゲートウェイを作成します。詳細については、「Direct Connect ゲートウェイの作成」を参照してください。

  2. Direct Connect ゲートウェイの仮想インターフェイスを作成します。詳細については、「仮想インターフェイスの作成」を参照してください。

  3. 仮想プライベートゲートウェイを Direct Connect ゲートウェイに関連付けます。詳細については、「仮想プライベートゲートウェイの関連付けと関連付けの解除」を参照してください。

  4. 仮想プライベートゲートウェイに関連付けられた仮想インターフェイスを削除します。詳細については、「仮想インターフェイスの削除」を参照してください。