Direct Connect ゲートウェイ - AWS Direct Connect
仮想プライベートゲートウェイの関連付けアカウント間の仮想プライベートゲートウェイの関連付けトランジットゲートウェイの関連付けアカウント間のトランジットゲートウェイの関連付けDirect Connect ゲートウェイの作成Direct Connect Gateway の削除仮想プライベートゲートウェイから Direct Connect ゲートウェイへの移行

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Direct Connect ゲートウェイ

AWS Direct Connect ゲートウェイを使用して VPC を接続します。 AWS Direct Connect ゲートウェイは、次のいずれかのゲートウェイに関連付けます。

  • 同一リージョン内に複数の VPC がある場合は Transit Gateway

  • 仮想プライベートゲートウェイ

仮想プライベートゲートウェイを使用して、ローカルゾーンを拡張することもできます。この設定により、ローカルゾーンに関連付けられた VPC が Direct Connect ゲートウェイに接続できるようになります。Direct Connect ゲートウェイは、リージョン内の Direct Connect ロケーションに接続します。オンプレミスのデータセンターには、Direct Connect ロケーションへの Direct Connect 接続があります。詳細については、Amazon VPC ユーザーガイドAccessing Local Zones using a Direct Connect gateway を参照してください。

Direct Connect ゲートウェイはグローバルに利用可能なリソースです。Direct Connect ゲートウェイを使用して、世界中のリージョン内の VPC に接続できます。 AWS GovCloud (US) AWS これには中国リージョンが含まれますが、含まれません。

現在、親アベイラビリティーゾーンをバイパスしている VPC で Direct Connect を使用しているお客様は、Direct Connect 接続または仮想インターフェイスを移行できません。

以下は、Direct Connect ゲートウェイを使用できるシナリオを説明しています。

Direct Connect ゲートウェイでは、同じ Direct Connect ゲートウェイ上にあるゲートウェイの関連付けが相互にトラフィックを送信することはできません (たとえば、仮想プライベートゲートウェイから別の仮想プライベートゲートウェイへ)。2021 年 11 月に実装されたこのルールの例外は、スーパーネットが、同じ Direct Connect ゲートウェイおよび同じ仮想インターフェイス上に関連付けられている接続された仮想プライベートゲートウェイ (VGW) を持つ 2 つ以上の VPC にわたってアドバタイズされる場合です。この場合、VPC は Direct Connect エンドポイントを介して互いに通信できます。例えば、Direct Connect ゲートウェイ(10.0.0.0/24 および 10.0.1.0/24 など)に接続された VPC と重複するスーパーネット(10.0.0.0/8 または 0.0.0.0/0 など)をアドバタイズし、同じ仮想インターフェイス上で、オンプレミスネットワークから VPC は相互に通信できます。

Direct Connect ゲートウェイ内の VPC 間通信をブロックする場合は、次の手順を実行します。

  1. VPC 内のインスタンスおよびその他のリソースにセキュリティグループを設定し、VPC 間のトラフィックをブロックします。また、これを VPC のデフォルトのセキュリティグループの一部として使用します。

  2. VPC と重複するオンプレミスネットワークからスーパーネットをアドバタイズすることは避けてください。代わりに、VPC と重複しないオンプレミスネットワークからのより具体的なルートをアドバタイズできます。

  3. 複数の VPC に同じ Direct Connect Gateway を使用する代わりに、オンプレミスネットワークに接続する VPC ごとに 1 つの Direct Connect ゲートウェイをプロビジョニングします。例えば、開発用および本番用 VPC に単一の Direct Connect ゲートウェイを使用する代わりに、これらの VPC ごとに個別のダイレクトConnect ゲートウェイを使用します。

Direct Connect ゲートウェイは、1 つのゲートウェイの関連付けからゲートウェイの関連付け自体へのトラフィックの送信を禁止しません (ゲートウェイ関連付けからのプレフィックスを含むオンプレミスのスーパーネットルートがある場合など)。同じ Direct Connect ゲートウェイに関連付けられたトランジットゲートウェイに複数の VPC が接続されている設定がある場合、VPC は通信できます。VPC が通信しないようにするには、ブラックホールオプションが設定されている VPC アタッチメントにルートテーブルを関連付けます。

以下は、Direct Connect ゲートウェイを使用できるシナリオを説明しています。

仮想プライベートゲートウェイの関連付け

次の図では、Direct Connect ゲートウェイが米国東部 (バージニア北部) リージョンの AWS Direct Connect 接続を使用して、米国東部 (バージニア北部) と米国西部 (北カリフォルニア) の両リージョンにあるアカウント内の VPC へのアクセスを可能にします。

各 VPC には、仮想プライベートゲートウェイの関連付けを使用して Direct Connect ゲートウェイに接続する仮想プライベートゲートウェイがあります。Direct Connect ゲートウェイは、 AWS Direct Connect ロケーションへの接続にプライベート仮想インターフェイスを使用します。ロケーションからお客様のデータセンターへの AWS Direct Connect 接続があります。

2 AWS つのリージョンにある VPC とデータセンターを接続する Direct Connect ゲートウェイ。

アカウント間の仮想プライベートゲートウェイの関連付け

Direct Connect ゲートウェイを所有している Direct Connect 所有者 (アカウント Z) のシナリオを考えてみます。アカウント A とアカウント B は Direct Connect ゲートウェイの使用を希望しています。アカウント A とアカウント B はそれぞれ、関連付け提案をアカウント Z に送信します。アカウント Z はこの関連付け提案を承諾し、必要に応じて、アカウント A の仮想プライベートゲートウェイまたはアカウント B の仮想プライベートゲートウェイから許可されるプレフィックスを更新します。アカウント Z が提案を承諾すると、アカウント A とアカウント B はそれぞれの仮想プライベートゲートウェイから Direct Connect ゲートウェイにトラフィックをルートできるようになります。また、アカウント Z はゲートウェイを所有しているため、顧客へのルーティングを所有します。

3 AWS アカウント つとデータセンターを接続する Direct Connect ゲートウェイ。

トランジットゲートウェイの関連付け

次の図は、Direct Connect ゲートウェイによって、すべての VPC が使用できる Direct Connect 接続に 1 つの接続を作成する方法を示しています。

複数の VPC アタッチメントを持つトランジットゲートウェイに関連付けられた Direct Connect ゲートウェイです。

このソリューションには、次のコンポーネントが必要です。

  • VPC アタッチメントを持つ Transit Gateway。

  • Direct Connect ゲートウェイ

  • Direct Connect ゲートウェイと Transit Gateway の間の関連付け。

  • Direct Connect ゲートウェイにアタッチされたトランジット仮想インターフェイス。

この設定には次のような利点があります。以下を実行できます。

  • 同じリージョンにある複数の VPN または VPC に対して 1 つの接続を管理する。

  • プレフィックスをオンプレミスへ、 AWS またはオンプレミス間でアドバタイズします。 AWS

Transit Gateways の詳細については、Amazon VPC Transit Gateways ガイドWorking with Transit Gateways を参照してください。

アカウント間のトランジットゲートウェイの関連付け

Direct Connect ゲートウェイを所有している Direct Connect 所有者 (アカウント Z) のシナリオを考えてみます。アカウント A が Transit Gateway を所有していて、Direct Connect ゲートウェイを使用したいと考えています。アカウント Z は関連付け提案を受け入れ、オプションで、アカウント A の Transit Gateway から許可されるプレフィックスを更新できます。アカウント Z が提案を受け入れた後で、Transit Gateway にアタッチされた VPC は、Transit Gateway から Direct Connect ゲートウェイにトラフィックをルーティングできます。また、アカウント Z はゲートウェイを所有しているため、顧客へのルーティングを所有します。

からの Direct Connect ゲートウェイ、 AWS アカウント 別のトランジットゲートウェイに関連付けられているゲートウェイ AWS アカウント。

Direct Connect ゲートウェイの作成

Direct Connect ゲートウェイは、すべてのサポートされているリージョンで作成できます。

Direct Connect ゲートウェイを作成するには

  1. AWS Direct Connect コンソール (https://console.aws.amazon.com/directconnect/v2/home) を開きます。

  2. ナビゲーションペインで、[Direct Connect Gateway] を選択します。

  3. [Direct Connect Gateway の作成] を作成します。

  4. 次の情報を指定し、[Create Direct Connect gateway (Direct Connect ゲートウェイの作成)] を選択します。

    • 名前: Direct Connect ゲートウェイを識別するのに役立つ名前を入力します。

    • Amazon 側の ASN: Amazon 側の BGP セッションのための ASN を指定します。ASN は、64,512~65,534 または 4,200,000,000~4,294,967,294 の範囲内で指定する必要があります。

    • [仮想プライベートゲートウェイ]: 仮想プライベートゲートウェイを関連付けるには、仮想プライベートインターフェイスを選択します。

コマンドラインまたは API を使用して Direct Connect ゲートウェイを作成するには

Direct Connect Gateway の削除

Direct Connect ゲートウェイが不要になった場合には、それを削除することができます。最初に、すべての関連付け済み仮想プライベートゲートウェイの関連付けを解除し、アタッチ済みプライベート仮想インターフェイスを削除する必要があります。

Direct Connect ゲートウェイを削除するには

  1. AWS Direct Connect コンソール (https://console.aws.amazon.com/directconnect/v2/home) を開きます。

  2. ナビゲーションペインで、[Direct Connect Gateway] を選択します。

  3. ゲートウェイを選択し、[Delete (削除)] を選択します。

コマンドラインまたは API を使用して Direct Connect ゲートウェイを削除するには

仮想プライベートゲートウェイから Direct Connect ゲートウェイへの移行

仮想インターフェイスにアタッチされた仮想プライベートゲートウェイがあり、Direct Connect ゲートウェイに移行する場合は、以下の手順を実行します。

Direct Connect ゲートウェイに移行するには

  1. Direct Connect ゲートウェイを作成します。詳細については、「Direct Connect ゲートウェイの作成」を参照してください。

  2. Direct Connect ゲートウェイの仮想インターフェイスを作成します。詳細については、「仮想インターフェイスを作成する」を参照してください。

  3. 仮想プライベートゲートウェイを Direct Connect ゲートウェイに関連付けます。詳細については、「仮想プライベートゲートウェイの関連付けと関連付けの解除」を参照してください。

  4. 仮想プライベートゲートウェイに関連付けられた仮想インターフェイスを削除します。詳細については、「仮想インターフェースを削除する」を参照してください。