Direct Connect ゲートウェイ - AWS Direct Connect

Direct Connect ゲートウェイ

AWS Direct Connect ゲートウェイを使用して VPC を接続します。AWS Direct Connect ゲートウェイは、次のいずれかのゲートウェイに関連付けます。

  • 同一リージョン内に複数の VPC がある場合は Transit Gateway

  • 仮想プライベートゲートウェイ

仮想プライベートゲートウェイを使用して、ローカルゾーンを拡張することもできます。この設定により、ローカルゾーンに関連付けられた VPC が Direct Connect ゲートウェイに接続できるようになります。Direct Connect ゲートウェイは、リージョン内の Direct Connect ロケーションに接続します。オンプレミスのデータセンターには、Direct Connect ロケーションへの Direct Connect 接続があります。詳細については、Amazon VPC ユーザーガイドAccessing Local Zones using a Direct Connect gateway を参照してください。

Direct Connect ゲートウェイはグローバルに利用可能なリソースです。Direct Connect ゲートウェイは、どのリージョンにも作成でき、他のすべてのリージョンからアクセスできます。Direct Connect は、親アベイラビリティーゾーンをバイパスしてインターネットに直接接続するか、Direct Connect の POP (Point Of Presence) を経由するように設定できます。AWS Local Zones の詳細については、「AWS Local Zones の機能」を参照してください。

現在、親アベイラビリティーゾーンをバイパスしている VPC で Direct Connect を使用しているお客様は、Direct Connect 接続または仮想インターフェイスを移行できません。

以下は、Direct Connect ゲートウェイを使用できるシナリオを説明しています。

Direct Connect ゲートウェイでは、同じ Direct Connect ゲートウェイ上にあるゲートウェイの関連付けが相互にトラフィックを送信することはできません (たとえば、仮想プライベートゲートウェイから別の仮想プライベートゲートウェイへ)。2021 年 11 月に実装されたこのルールの例外は、スーパーネットが、同じ Direct Connect ゲートウェイおよび同じ仮想インターフェイス上に関連付けられている接続された仮想プライベートゲートウェイ (VGW) を持つ 2 つ以上の VPC にわたってアドバタイズされる場合です。この場合、VPC は Direct Connect エンドポイントを介して互いに通信できます。例えば、Direct Connect ゲートウェイ(10.0.0.0/24 および 10.0.1.0/24 など)に接続された VPC と重複するスーパーネット(10.0.0.0/8 または 0.0.0.0/0 など)をアドバタイズし、同じ仮想インターフェイス上で、オンプレミスネットワークから VPC は相互に通信できます。

Direct Connect ゲートウェイ内の VPC 間通信をブロックする場合は、次の手順を実行します。

  1. VPC 内のインスタンスおよびその他のリソースにセキュリティグループを設定し、VPC 間のトラフィックをブロックします。また、これを VPC のデフォルトのセキュリティグループの一部として使用します。

  2. VPC と重複するオンプレミスネットワークからスーパーネットをアドバタイズすることは避けてください。代わりに、VPC と重複しないオンプレミスネットワークからのより具体的なルートをアドバタイズできます。

  3. 複数の VPC に同じ Direct Connect Gateway を使用する代わりに、オンプレミスネットワークに接続する VPC ごとに 1 つの Direct Connect ゲートウェイをプロビジョニングします。例えば、開発用および本番用 VPC に単一の Direct Connect ゲートウェイを使用する代わりに、これらの VPC ごとに個別のダイレクトConnect ゲートウェイを使用します。

Direct Connect ゲートウェイは、1 つのゲートウェイの関連付けからゲートウェイの関連付け自体へのトラフィックの送信を禁止しません (ゲートウェイ関連付けからのプレフィックスを含むオンプレミスのスーパーネットルートがある場合など)。複数の VPC が同じ Transit Gateway に接続されている設定がある場合、VPC は通信できます。VPC が通信しないようにするには、別の Transit Gateway アタッチメントを使用して、blackhole オプションが設定されているアタッチメントにルートテーブルを関連付けます。

以下は、Direct Connect ゲートウェイを使用できるシナリオを説明しています。

仮想プライベートゲートウェイの関連付け

次の図では、Direct Connect ゲートウェイが米国東部 (バージニア北部) リージョンの AWS Direct Connect 接続を使用して、米国東部 (バージニア北部) と米国西部 (北カリフォルニア) の両リージョンにあるアカウント内の VPC へのアクセスを可能にします。

各 VPC には、仮想プライベートゲートウェイの関連付けを使用して Direct Connect ゲートウェイに接続する仮想プライベートゲートウェイがあります。Direct Connect ゲートウェイは、AWS Direct Connect ロケーションへの接続にプライベート仮想インターフェイスを使用します。ロケーションからお客様のデータセンターへの AWS Direct Connect 接続があります。



                    Direct Connect ゲートウェイ

アカウント間の仮想プライベートゲートウェイの関連付け

Direct Connect ゲートウェイを所有している Direct Connect 所有者 (アカウント Z) のシナリオを考えてみます。アカウント A とアカウント B は Direct Connect ゲートウェイの使用を希望しています。アカウント A とアカウント B はそれぞれ、関連付け提案をアカウント Z に送信します。アカウント Z はこの関連付け提案を承諾し、必要に応じて、アカウント A の仮想プライベートゲートウェイまたはアカウント B の仮想プライベートゲートウェイから許可されるプレフィックスを更新します。アカウント Z が提案を承諾すると、アカウント A とアカウント B はそれぞれの仮想プライベートゲートウェイから Direct Connect ゲートウェイにトラフィックをルートできるようになります。また、アカウント Z はゲートウェイを所有しているため、顧客へのルーティングを所有します。

トランジットゲートウェイの関連付け

次の図は、Direct Connect ゲートウェイによって、すべての VPC が使用できる Direct Connect 接続に 1 つの接続を作成する方法を示しています。

このソリューションには、次のコンポーネントが必要です。

  • VPC アタッチメントを持つ Transit Gateway。

  • Direct Connect ゲートウェイ

  • Direct Connect ゲートウェイと Transit Gateway の間の関連付け。

  • Direct Connect ゲートウェイにアタッチされたトランジット仮想インターフェイス。

この設定には次のような利点があります。以下を実行できます。

  • 同じリージョンにある複数の VPN または VPC に対して 1 つの接続を管理する。

  • オンプレミスから AWS に、または AWS からオンプレミスにプレフィックスをアドバタイズする。

Transit Gateways の詳細については、Amazon VPC Transit Gateways ガイドWorking with Transit Gateways を参照してください。

アカウント間のトランジットゲートウェイの関連付け

Direct Connect ゲートウェイを所有している Direct Connect 所有者 (アカウント Z) のシナリオを考えてみます。アカウント A が Transit Gateway を所有していて、Direct Connect ゲートウェイを使用したいと考えています。アカウント Z は関連付け提案を受け入れ、オプションで、アカウント A の Transit Gateway から許可されるプレフィックスを更新できます。アカウント Z が提案を受け入れた後で、Transit Gateway にアタッチされた VPC は、Transit Gateway から Direct Connect ゲートウェイにトラフィックをルーティングできます。また、アカウント Z はゲートウェイを所有しているため、顧客へのルーティングを所有します。

Direct Connect ゲートウェイの作成

Direct Connect ゲートウェイは、すべてのサポートされているリージョンで作成できます。

Direct Connect ゲートウェイを作成するには

  1. AWS Direct Connect コンソール (https://console.aws.amazon.com/directconnect/v2/home) を開きます。

  2. ナビゲーションペインで、[Direct Connect Gateway] を選択します。

  3. [Direct Connect Gateway の作成] を作成します。

  4. 次の情報を指定し、[Create Direct Connect gateway (Direct Connect ゲートウェイの作成)] を選択します。

    • 名前: Direct Connect ゲートウェイを識別するのに役立つ名前を入力します。

    • Amazon 側の ASN: Amazon 側の BGP セッションのための ASN を指定します。ASN は、64,512~65,534 または 4,200,000,000~4,294,967,294 の範囲内で指定する必要があります。

    • [仮想プライベートゲートウェイ]: 仮想プライベートゲートウェイを関連付けるには、仮想プライベートインターフェイスを選択します。

コマンドラインまたは API を使用して Direct Connect ゲートウェイを作成するには

Direct Connect Gateway の削除

Direct Connect ゲートウェイが不要になった場合には、それを削除することができます。最初に、すべての関連付け済み仮想プライベートゲートウェイの関連付けを解除し、アタッチ済みプライベート仮想インターフェイスを削除する必要があります。

Direct Connect ゲートウェイを削除するには

  1. AWS Direct Connect コンソール (https://console.aws.amazon.com/directconnect/v2/home) を開きます。

  2. ナビゲーションペインで、[Direct Connect Gateway] を選択します。

  3. ゲートウェイを選択し、[Delete (削除)] を選択します。

コマンドラインまたは API を使用して Direct Connect ゲートウェイを削除するには

仮想プライベートゲートウェイから Direct Connect ゲートウェイへの移行

仮想インターフェイスにアタッチされた仮想プライベートゲートウェイがあり、Direct Connect ゲートウェイに移行する場合は、以下の手順を実行します。

Direct Connect ゲートウェイに移行するには

  1. Direct Connect ゲートウェイを作成します。詳細については、「Direct Connect ゲートウェイの作成」を参照してください。

  2. Direct Connect ゲートウェイの仮想インターフェイスを作成します。詳細については、「仮想インターフェイスを作成する」を参照してください。

  3. 仮想プライベートゲートウェイを Direct Connect ゲートウェイに関連付けます。詳細については、「仮想プライベートゲートウェイの関連付けと関連付けの解除」を参照してください。

  4. 仮想プライベートゲートウェイに関連付けられた仮想インターフェイスを削除します。詳細については、「仮想インターフェースを削除する」を参照してください。