Transit Gateway の動作 - Amazon VPC
アーキテクチャ図リソースアタッチメント等コストマルチパスルーティング アベイラビリティーゾーンルーティング

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Transit Gateway の動作

Transit Gatewayは、仮想プライベートクラウド (VPC) とオンプレミスネットワークの間を流れるトラフィック用のリージョン仮想ルーターとして機能します。Transit Gateway は、ネットワークトラフィックの量に基づいて伸縮自在にスケーリングされます。Transit Gateway を介したルーティングは、レイヤー 3 で動作します。レイヤー 3 では、送信先 IP アドレスに基づいて、パケットが特定のネクストホップ接続に送信されます。

アーキテクチャ図

次の図は、3 つの VPC が添付された Transit Gateway を示しています。これらの VPC のそれぞれのルートテーブルには、ローカルルートと、他の 2 つの VPC を宛先とするトラフィックを Transit Gateway に送信するルートが含まれます。

VPC 接続オプション

以下は、前の図に示されているアタッチメントのデフォルト Transit Gateway のルートテーブルの例です。各 VPC の CIDR ブロックがルートテーブルに伝播されます。したがって、各アタッチメントは他の 2 つのアタッチメントにパケットをルーティングできます。

デスティネーション ターゲット ルートタイプ
VPC A CIDR VPC A のアタッチメント 伝播済み
VPC B CIDR VPC B のアタッチメント 伝播済み
VPC C CIDR VPC C のアタッチメント 伝播済み

リソースアタッチメント

Transit Gateway アタッチメントは、パケットの送信元と送信先の両方です。次のリソースを Transit Gateway にアタッチできます。

  • 1 つ以上の VPC。 AWS Transit Gateway は VPC サブネット内にelastic network interface をデプロイします。このインターフェースは、トランジットゲートウェイによって使用され、選択したサブネットとの間でトラフィックをルーティングします。各アベイラビリティーゾーンには、少なくとも 1 つのサブネットが必要です。これにより、そのゾーンのすべてのサブネットのリソースにトラフィックが到達できるようになります。アタッチメントの作成時に、サブネットが同じゾーン内で有効になっている場合にだけ、特定のアベイラビリティーゾーン内のリソースが Transit Gateway に到達できます。サブネットルートテーブルに Transit Gateway へのルートがある場合、トラフィックが Transit Gateway に転送されるのは、Transit Gateway のアタッチメントが同じアベイラビリティーゾーンのサブネットにある場合のみです。

  • 1 つ以上の VPN 接続

  • 1 つ以上のゲートウェイ AWS Direct Connect

  • 1 つまたは複数の Transit Gateway Connect アタッチメント

  • 1 つ以上の Transit Gateway ピアリング接続

  • Transit Gateway アタッチメントは、パケットの送信元と送信先の両方です。

等コストマルチパスルーティング

AWS Transit Gateway は、ほとんどの添付ファイルに対して等価コストマルチパス (ECMP) ルーティングをサポートします。VPN アタッチメントの場合、Transit Gateway を作成または変更するときに、コンソールを使用して ECMP サポートを有効化または無効化できます。その他すべてのアタッチメントファイルについては、以下の ECMP 制限が適用されます。

  • VPC - CIDR ブロックを重複させることは可能ではないため、VPC は ECMP をサポートしません。例えば、CIDR が 10.1.0.0/16 の VPC と、同じ CIDR を使用する 2 つ目の VPC を Transit Gateway にアタッチしてから、それらの間のトラフィックを負荷分散するようにルーティングをセットアップすることはできません。

  • [VPN ECMP サポート] オプションが無効になっている場合、複数のパスで同等のプレフィックスが使用されていると、Transit Gateway は内部メトリクスを使用して優先パスを決定します。VPN アタッチメントに対する ECMP の有効化または無効化の詳細については、「Transit Gateway」を参照してください。

  • AWS Transit Gateway Connect- AWS Transit Gateway Connect アタッチメントは自動的に ECMP をサポートします。

  • AWS Direct Connect ゲートウェイ- AWS Direct Connect ネットワークプレフィックス、プレフィックス長、AS_PATH がまったく同じ場合、ゲートウェイアタッチメントは複数の Direct Connect Gateway アタッチメントにわたって ECMP を自動的にサポートします。

  • Transit Gateway ピアリング - Transit Gateway ピアリングは、ダイナミックルーティングをサポートしておらず、2 つの異なるターゲットに対して同じ静的ルートを設定することもできないため、ECMP をサポートしません。

注記

  • BGP マルチパスの AS-Path Relax はサポートされていないため、異なる AS 番号 (ASN) で ECMP を使用することはできません。

  • 異なるアタッチメントタイプ間では ECMP はサポートされません。例えば、VPN と VPC アタッチメント間で ECMP を有効にすることはできません。代わりに、Transit Gateway ルートが評価され、トラフィックは評価されたルートに従ってルーティングされます。詳細については、「ルートの評価順序」を参照してください。

  • 単一の Direct Connect ゲートウェイは、複数のトランジット仮想インターフェイス全体で ECMP をサポートします。このため、Direct Connect ゲートウェイは 1 つだけ設定して使用し、ECMP を利用するために複数のゲートウェイを設定して使用しないことをお勧めします。Direct Connect ゲートウェイとパブリック仮想インターフェイスの詳細については、「パブリック仮想インターフェイスからのアクティブ/アクティブまたはアクティブ/パッシブ Direct Connect 接続を設定する方法」を参照してください。 AWS 。

アベイラビリティーゾーン

VPC を Transit Gateway に接続するときは、VPC サブネット内のリソースにトラフィックをルーティングするために、1 つ以上のアベイラビリティーゾーンを Transit Gateway で使用できるようにする必要があります。各アベイラビリティーゾーンを有効にするには、サブネットを 1 つだけ指定します。Transit Gateway は、サブネットから 1 つの IP アドレスを使用して、そのサブネット内にネットワークインターフェイスを配置します。アベイラビリティーゾーンを有効にすると、指定したサブネットやアベイラビリティーゾーンだけでなく、その VPC 内のすべてのサブネットにトラフィックをルーティングできます。ただし、Transit Gateway アタッチメントが存在するアベイラビリティーゾーンにあるリソースのみ、Transit Gateway に到達できます。

トラフィックが、宛先アタッチメントが存在しないアベイラビリティーゾーンから送信される場合、 AWS Transit Gateway は、そのトラフィックをアタッチメントが存在するランダムなアベイラビリティーゾーンに内部的にルーティングします。このタイプのクロスアベイラビリティーゾーントラフィックには、Transit Gateway の追加料金はかかりません。

高可用性を確保するために、複数のアベイラビリティーゾーンを有効にすることをお勧めします。

アプライアンスモードサポートの使用

VPC でステートフルネットワークアプライアンスを設定する予定の場合は、アプライアンスが配置されているその VPC アタッチメントに対してアプライアンスモードサポートを有効にできます。これにより、Transit Gateway は、送信元と送信先の間のトラフィックフローの存続期間中、その VPC アタッチメントに対して同じアベイラビリティーゾーンを使用します。また、そのアベイラビリティーゾーンにサブネットの関連付けがある限り、Transit Gateway は VPC 内の任意のアベイラビリティーゾーンにトラフィックを送信できるようにします。詳細については、「例: 共有サービス VPC のアプライアンス」を参照してください。

ルーティング

Transit Gateway は、Transit Gateway ルートテーブルを使ってアタッチメント間で IPv4 と IPv6 パケットをルーティングします。これらのルートテーブルを設定して、アタッチされている VPC、VPN 接続、Direct Connect ゲートウェイのルートテーブルからルートを伝播できます。静的ルートを Transit Gateway ルートテーブルに追加することもできます。パケットが 1 つのアタッチメントから送信されると、宛先 IP アドレスと一致するルートを使用して別のアタッチメントにルーティングされます。

Transit Gateway のピアリングアタッチメントでは、静的ルートだけがサポートされます。

ルートテーブル

Transit Gateway ではデフォルトのルートテーブルが自動的に使用されます。デフォルトでは、このルートテーブルはデフォルトの関連付けルートテーブルおよびデフォルトの伝達ルートテーブルです。または、ルート伝達とルートテーブルの関連付けを無効にした場合、 AWS は Transit Gateway のデフォルトルートテーブルを作成しません。

Transit Gateway に対して追加のルートテーブルを作成できます。これにより、アタッチメントのサブネットを分離できます。アタッチメントごとに 1 つのルートテーブルに関連付けることができます。アタッチメントでそのルートを 1 つ以上のルートテーブルに伝播できます。

ルートに一致するトラフィックを破棄する Transit Gateway ルートテーブルでは、ブラックホールルートを作成できます。

VPC を Transit Gateway にアタッチするときは、トラフィックが Transit Gateway を通過してルーティングするために、サブネットルートテーブルにルートを追加する必要があります。詳細については、Amazon VPC ユーザーガイドの「Transit Gateway のルーティング」を参照してください。

ルートテーブルの関連付け

Transit Gateway アタッチメントを単一のルートテーブルに関連付けることができます。各ルートテーブルは、ゼロから多数のアタッチメントに関連付けられ、パケットを他のアタッチメントに転送できます。

ルート伝達

各アタッチメントには、1 つ以上の Transit Gateway ルートテーブルにインストールできるルートが付属しています。アタッチメントが Transit Gateway ルートテーブルに伝播されると、これらのルートはルートテーブルにインストールされます。アドバタイズされたルートをフィルタリングすることはできません。

VPC アタッチメントの場合、VPC の CIDR ブロックは Transit Gateway のルートテーブルに伝達されます。

VPN アタッチメントまたは Direct Connect ゲートウェイアタッチメントで動的ルーティングを使用する場合、BGP 経由でオンプレミスルーターから学習されたルートを Transit Gateway ルートテーブルに伝播できます。

動的ルーティングを VPN アタッチメントで使用する場合、VPN アタッチメントに関連付けられたルートテーブル内のルートが BGP を介してカスタマーゲートウェイにアドバタイズされます。

Connect アタッチメントの場合、Connect アタッチメントに関連付けられたルートテーブル内のルートは、BGP を介して VPC で実行されているサードパーティの仮想アプライアンス (SD-WAN アプライアンスなど) にアドバタイズされます。

Direct Connect ゲートウェイアタッチメントの場合、許可されるプレフィックスインタラクションによって、どのルートから顧客ネットワークにアドバタイズされるかが制御されます。 AWS

静的ルートと伝達ルートが同じ送信先を持つ場合、静的ルートの優先度が高くなるため、伝達されたルートはルートテーブルに含まれません。静的ルートを削除すると、重複する伝達ルートがルートテーブルに含まれます。

ピアリングアタッチメントのルート

2 つの Transit Gateway をピアリングし、それらの間でトラフィックをルーティングできます。これを行うには、Transit Gateway にピアリングアタッチメントを作成し、ピアリング接続を行うピア Transit Gateway を指定します。次に、Transit Gateway ルートテーブルに静的ルートを作成し、トラフィックを Transit Gateway ピアリングアタッチメントにルーティングします。ピア Transit Gateway にルーティングされるトラフィックは、ピア Transit Gateway の VPC および VPN アタッチメントにルーティングできます。

詳細については、「例: ピア接続 Transit Gateway 」を参照してください。

ルートの評価順序

Transit Gateway のルートは、次の順序で評価されます。

  • 送信先アドレスの最も具体的なルート。

  • 送信先 IP アドレスが同じでもターゲットが異なるルートの場合、ルートの優先順位は次のようになります。

    • 静的ルート (例えば、Site-to-Site VPN 静的ルート)

    • プレフィックスリスト参照ルート

    • VPC が伝達したルート

    • Direct Connect ゲートウェイが伝達したルート

    • Transit Gateway Connect が伝達したルート

    • Site-to-Site VPN のプライベート伝播ルート

    • サイト間パブリック VPN 伝播ルート

    • 伝播ルートをピアリングするトランジットゲートウェイ (クラウド WAN)

Transit Gateway には、優先ルートのみが表示されます。バックアップルートは、そのルートがアドバタイズされなくなった場合にのみ、Transit Gateway のルートテーブルに表示されます。たとえば、Direct Connect ゲートウェイとSite-to-Site VPN を介して同じルートをアドバタイズしている場合などです。 AWS Transit Gateway には、優先ルートであるDirect Connect ゲートウェイルートから受信したルートのみが表示されます。バックアップルートであるSite-to-Site VPN は、Direct Connect ゲートウェイがアドバタイズされなくなった場合にだけ表示されます。

VPC とトランジットゲートウェイのルートテーブルの違い

ルートテーブルの評価は、VPC ルートテーブルを使用しているか、トランジットゲートウェイルートテーブルを使用しているかによって異なります。

次の例は VPC ルートテーブルを示しています。VPC ローカルルートが最も優先順位が高く、その後に最も具体的なルートが続きます。静的ルートと伝達されたルートの送信先が同じ場合は、静的ルートの方が優先度が高くなります。

送信先 ターゲット 優先度
10.0.0.0/16

ローカル

 1
192.168.0.0/16 pcx-12345 2
172.31.0.0/16 vgw-12345 (静的) または

tgw-12345 (静的)

 2
172.31.0.0/16 vgw-12345 (伝播済み) 3
0.0.0.0/0 igw-12345 4

次の例は、トランジットゲートウェイのルートテーブルを示しています。VPN アタッチメントよりも AWS Direct Connect ゲートウェイアタッチメントを好ましいと考える場合は、BGP VPN 接続を使用して Transit Gateway ルートテーブルにルートを伝達します。

送信先 アタッチメント (ターゲット) リソースタイプ ルートタイプ 優先度
10.0.0.0/16 tgw-attach-123 | vpc-1234 VPC 静的または伝播済み 1
192.168.0.0/16 tgw-attach-789 | vpn-5678 VPN 静的 2
172.31.0.0/16 tgw-attach-456 | dxgw_id AWS Direct Connect ゲートウェイ 伝播済み 3
172.31.0.0/16 tgw-attach-789 | -123 tgw-connect-peer 接続 伝播済み 4
172.31.0.0/16 tgw-attach-789 | vpn-5678 VPN 伝播済み 5