Transit Gateway の Connect attachmentsと Transit Gateway Connect peers - Amazon VPC

Transit Gateway の Connect attachmentsと Transit Gateway Connect peers

Transit Gateway Connect attachmentを作成して、transit gatewayと VPC で実行されているサードパーティー仮想アプライアンス (SD-WAN アプライアンスなど) 間の接続を確立できます。Connect attachmentは、総称ルーティングカプセル化 (GRE)トンネルプロトコルをサポートして高パフォーマンスを実現し、ボーダーゲートウェイプロトコル (BGP) をサポートして動的ルーティングをサポートします。Connect attachmentを作成したら、Connect attachmentに 1 つ、または複数の GRE トンネル (Transit Gateway Connect peersとも呼ばれます) を作成して、transit gatewayとサードパーティーアプライアンスを接続できます。ルーティング情報を交換するために、GRE トンネル上で 2 つの BGP セッションを確立します。

重要

Transit Gateway Connect ピアは、AWS が管理するインフラストラクチャで終了する 2 つの BGP ピアリングセッションで構成されます。2 つの BGP ピアリングセッションによってルーティングプレーンに冗長性が備わり、1 つの BGP ピアリングセッションが失われてもルーティング操作に影響しないようになります。両方の BGP セッションから受信したルーティング情報は、指定された Connect ピアに対して蓄積されます。BGP ピアリングセッションが 2 つあることで、日常的なメンテナンス、パッチ適用、ハードウェアのアップグレード、交換などの AWS インフラストラクチャ運用に対しても保護されます。Connect ピアが、冗長性のために設定することが推奨されているデュアル BGP ピアリングセッションなしで動作している場合、AWS インフラストラクチャ運用中に接続が一時的に失われる可能性があります。Connect ピアで、BGP ピアリングセッションを両方設定することを強くお勧めします。アプライアンス側で高可用性をサポートするように複数の Connect ピアを設定している場合は、各 Connect ピアに両方の BGP ピアリングセッションを設定することを強くお勧めします。

Connect attachmentは、基盤となるトランスポートメカニズムとして、既存の VPC または AWS Direct Connect アタッチメントを使用します。これは、トランスポートアタッチメントと呼ばれます。transit gatewayは、サードパーティーアプライアンスからの一致した GRE パケットを Connect attachmentからのトラフィックとして識別します。送信元または送信先情報が正しくない GRE パケットを含む、その他のパケットは、トランスポートアタッチメントからのトラフィックとして扱われます。

Transit Gateway Connect peers

Transit Gateway Connect peer (GRE トンネル) は以下のコンポーネントで構成されます。

内部の CIDR ブロック (BGP アドレス)

BGP ピアリングに使用される内部 IP アドレス。IPv4 の 169.254.0.0/16 範囲から /29 CIDR ブロックを指定する必要があります。オプションで、IPv6 の fd00::/8 範囲から /125 CIDR ブロックを指定できます。以下の CIDR ブロックは予約済みで使用できません。

  • 169.254.0.0/29

  • 169.254.1.0/29

  • 169.254.2.0/29

  • 169.254.3.0/29

  • 169.254.4.0/29

  • 169.254.5.0/29

  • 169.254.169.248/29

アプライアンスの IPv4 範囲の最初のアドレスを BGP IP アドレスとして設定する必要があります。IPv6 を使用する場合、内部 CIDR ブロックが fd00::/125 の場合は、アプライアンスのトンネルインターフェイスでこの範囲 (fd00::1) の最初のアドレスを設定する必要があります。

BGP アドレスは、transit gateway上のすべてのトンネルで一意である必要があります。

ピア IP アドレス

Transit Gateway Connect peerのアプライアンス側のピア IP アドレス (GRE 外部 IP アドレス)。これは任意の IP アドレスにすることができます。IP アドレスは IPv4 アドレスまたは IPv6 アドレスとすることができますか、transit gatewayアドレスと同じ IP アドレスファミリーである必要があります。

トランジットゲートウェイアドレス

Transit Gateway Connect peerのtransit gateway側のピア IP アドレス (GRE 外部 IP アドレス)。IP アドレスは、transit gateway CIDR ブロックから指定される必要があります。また、transit gatewayの Connect attachments全体で一意である必要があります。IP アドレスを指定しない場合、transit gateway CIDR ブロックから最初に使用可能なアドレスが使用されます。

transit gateway CIDR ブロックは、transit gatewayを作成または変更するときに追加できます。

IP アドレスは IPv4 アドレスまたは IPv6 アドレスとすることができますか、ピア IP アドレスと同じ IP アドレスファミリーである必要があります。

ピア IP アドレスとtransit gatewayアドレスは、GRE トンネルを一意に識別するために使用されます。複数のトンネル全体でいずれかのアドレスを再利用することはできますが、同じトンネル内で両方を再利用することはできません。

BGP ピアリングの Transit Gateway Connect は、マルチプロトコル BGP (MP-BGP) のみをサポートします。ここで、IPv6 ユニキャストの BGP セッションを確立するために IPv4 ユニキャストアドレスも必要です。GRE 外部 IP アドレスには IPv4 と IPv6 の両方のアドレスを使用できます。

次の例は、VPC 内のtransit gatewayとアプライアンスの間の Connect attachmentを示しています。

Transit Gateway の Connect attachmentと Transit Gateway Connect peer
図のコンポーネント 説明
VPC アタッチメント
Connect attachment
GRE トンネル (Transit Gateway Connect peer)
BGP ピアリングセッション

前の例では、既存の VPC アタッチメント (トランスポートアタッチメント) にtransit gatewayの Connect attachmentが作成されます。Connect attachmentに Transit Gateway Connect peerが作成され、VPC 内のアプライアンスへの接続を確立します。transit gatewayアドレスは 192.0.2.1 で、BGP アドレスの範囲は 169.254.6.0/29 です。範囲 (169.254.6.1) 内の最初の IP アドレスは、ピア BGP IP アドレスとしてアプライアンス上で設定されます。

VPC C のサブネットルートテーブルには、transit gateway CIDR ブロックを送信先とするトラフィックをtransit gatewayにポイントするルートがあります。

送信先 ターゲット
172.31.0.0/16 ローカル
192.0.2.0/24 tgw-id

要件と考慮事項

Connect attachmentの要件と考慮事項は次のとおりです。

  • Connect attachmentsをサポートするリージョンについては、「AWS Transit Gateways に関するよくある質問」を参照してください。

  • サードパーティーアプライアンスは、Connect attachmentを使用して、GRE トンネル経由でtransit gatewayとのトラフィックを送受信するように設定される必要があります。

  • 動的ルートアップデートおよび正常性チェックに BGP を使用するようにサードパーティーアプライアンスを設定する必要があります。

  • 次のタイプの BGP がサポートされています。

    • エクステリア BGP (eBGP): transit gatewayとは異なる自律システムにあるルーターへの接続に使用されます。eBGP を使用する場合は、存続可能時間 (TTL) 値 2 で ebgp-multihop を設定する必要があります。

    • インテリア BGP (iBGP): transit gatewayと同じ自律システムにあるルーターへの接続に使用されます。transit gatewayは、ルートが eBGP ピアを起点としている場合を除き、iBGP ピア (サードパーティーアプライアンス) からのルートをインストールしません。iBGP ピアリングを介してサードパーティーアプライアンスによってアドバタイズされるルートには、ASN が必要です。

    • MP-BGP (BGP 用のマルチプロトコル拡張): IPv4 および IPv6 アドレスファミリーなど、複数のプロトコルタイプをサポートするために使用されます。

  • デフォルトの BGP キープアライブタイムアウトは 10 秒で、デフォルトのホールドタイマーは 30 秒です。

  • IPv6 BGP ピアリングはサポートされていません。IPv4 ベースの BGP ピアリングのみがサポートされます。IPv6 プレフィクスは、MP-BGP を使用して IPv4 BGP ピアリングを介して交換されます。

  • 双方向フォワーディング検出 (BFD) はサポートされていません。

  • BGP グレースフルリスタートがサポートされています。

  • transit gatewayピアを作成するときに、ピア ASN 番号を指定しない場合、transit gateway ASN 番号が選択されます。つまり、アプライアンスとtransit gatewayは、iBGP を実行する同じ自律システム内に存在することになります。

  • 複数のアプライアンス間で 等コストマルチパス (ECMP) ルーティングを使用するには、同じ BGP AS-PATH 属性を使用してtransit gatewayに同じプレフィクスをアドバタイズするように、アプライアンスを設定する必要があります。transit gatewayが使用可能なすべての ECMP パスを選択するには、AS-PATH と自律システム番号 (ASN) が一致している必要があります。transit gatewayは、同じ Connect attachmentのための Transit Gateway Connect peers間、または同じtransit gateway上の Connect attachments間で ECMP を使用できます。transit gatewayは、1 つのピアが確立する両方の冗長 BGP ピア接続間で ECMP を使用できません。

  • Connect attachmentでは、ルートがデフォルトでトランジットゲートウェイルートテーブルに伝播されます。

  • 静的ルートはサポートされていません。

transit gatewayの Connect attachmentを作成する

Connect attachmentを作成するには、トランスポートアタッチメントとして既存のアタッチメントを指定する必要があります。VPC アタッチメントまたは AWS Direct Connect アタッチメントをトランスポートアタッチメントとして指定できます。

コンソールを使用して Connect attachment を作成するには
  1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. ナビゲーションペインで [Transit Gateway アタッチメント] を選択します。

  3. [Transit Gateway アタッチメントの作成] を選択します。

  4. (オプション) [Name tag] (名前タグ) でアタッチメントの名前タグを指定します。

  5. [Transit gateway ID] (トランジットゲートウェイ ID) で、アタッチメントに使用するtransit gatewayを選択します。

  6. [アタッチメントタイプ] で、[接続] を選択します。

  7. [トランスポートアタッチメント ID] で、既存のアタッチメント の ID を選択します。

  8. [Transit Gateway アタッチメントの作成] を選択します。

AWS CLI を使用して Connect attachment を作成するには

create-transit-gateway-connect コマンドを使用します。

Transit Gateway Connect peer (GRE トンネル) を作成する

既存の Transit Gateway Connect peer用の Connect attachment (GRE トンネル) を作成できます。開始する前に、transit gateway CIDR ブロックが設定されていることを確認してください。transit gateway CIDR ブロックは、transit gatewayを作成または変更するときに設定できます。

Transit Gateway Connect peerを作成するときは、Transit Gateway Connect peerのアプライアンス側で GRE 外部 IP アドレスを指定する必要があります。

コンソールを使用して Transit Gateway Connect peer を作成するには
  1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. ナビゲーションペインで [Transit Gateway アタッチメント] を選択します。

  3. Connect attachmentを選択し、[Actions] (アクション)、[Create connect peer] (Connect ピアを作成) の順に選択します。

  4. (オプション) [Name tag] (名前タグ) で Transit Gateway Connect peerの名前タグを指定します。

  5. (オプション) [Transit gateway GRE Address] (Transit Gateway GRE アドレス) に、transit gatewayの GRE 外部 IP アドレスを指定します。デフォルトで、transit gateway CIDR ブロックから使用できる最初のアドレスが使用されます。

  6. [Peer GRE Address] (ピア GRE アドレス) で、Transit Gateway Connect peerのアプライアンス側の GRE 外部 IP アドレスを指定します。

  7. [BGP 内部 CIDR ブロック IPv4] で、BGP ピアリングに使用される内部 IPv4 アドレスの範囲を指定します。169.254.0.0/16 の範囲から /29 CIDR ブロックを指定します。

  8. (オプション) [BGP 内部 CIDR ブロック IPv6] で、BGP ピアリングに使用される内部 IPv6 アドレスの範囲を指定します。fd00::/8 の範囲から /125 CIDR ブロックを指定します。

  9. (オプション) [ピア ASN] で、アプライアンスのボーダーゲートウェイプロトコル (BGP) 自律システム番号 (ASN) を指定します。ネットワークに割り当てられている既存の ASN を使用できます。既存の ASN がない場合は、64512〜65534 (16ビットASN) または 4200000000〜4294967294 (32ビットASN) の範囲でプライベート ASN を使用できます。

    デフォルトは、トランジットゲートウェイと同じ ASN です。[Peer ASN] (ピア ASN) をtransit gateway ASN (eBGP) とは異なるように設定する場合は、存続可能時間 (TTL) 値 2 で ebgp-multihop を設定する必要があります。

  10. 選択接続ピアの作成を選択します。

AWS CLI を使用して Transit Gateway Connect peer を作成するには

create-transit-gateway-connect-保存 コマンドを使用します。

transit gatewayの Connect attachmentsと Transit Gateway Connect peersを表示する

transit gatewayの Connect attachmentsと Transit Gateway Connect peersを表示できます。

コンソールを使用して Connect attachmentsと Transit Gateway Connect peersを表示するには
  1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. ナビゲーションペインで [Transit Gateway アタッチメント] を選択します。

  3. Connect attachment を選択します。

  4. アタッチメントの Transit Gateway Connect peersを表示するには、[Connect Peers] (Connect ピア) タブを選択します。

AWS CLI を使用して Connect attachmentsと Transit Gateway Connect peersを表示するには

describe-transit-gateway-connects および describe-transit-gateway-connect-ピア コマンドを使用します。

Connect attachmentと Transit Gateway Connect peerのタグを変更する

Connect attachmentのタグを変更することができます。

コンソールを使用して Connect attachmentのタグを変更するには
  1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. ナビゲーションペインで [Transit Gateway アタッチメント] を選択します。

  3. タグを付ける対象の Connect attachmentを選択し、[Actions] (アクション)、[Manage tags] (タグの管理) の順に選択します。

  4. タグを追加するには、新しいタグを追加を選択し、キー名とキーバリューを指定します。

  5. タグを削除するには、[Remove] (削除) を選択します。

  6. [Save (保存)] を選択します。

Transit Gateway Connect peerのタグを変更することができます。

コンソールを使用して Transit Gateway Connect peerのタグを変更するには
  1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. ナビゲーションペインで [Transit Gateway アタッチメント] を選択します。

  3. Connect attachmentを選択してから、[Connect peers] (Connect ピア) を選択します。

  4. タグを付ける対象の Transit Gateway Connect peerを選択し、[Actions] (アクション)、[Manage tags] (タグの管理) の順に選択します。

  5. タグを追加するには、新しいタグを追加を選択し、キー名とキーバリューを指定します。

  6. タグを削除するには、[Remove] (削除) を選択します。

  7. [Save (保存)] を選択します。

AWS CLI を使用して Connect attachmentと Transit Gateway Connect peerのタグを変更するには

create-tags および delete-tags コマンドを使用します。

Transit Gateway Connect peer の削除

不要になった Transit Gateway Connect peerは削除できます。

コンソールを使用して Transit Gateway Connect peer を削除するには
  1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. ナビゲーションペインで [Transit Gateway アタッチメント] を選択します。

  3. Connect attachment を選択します。

  4. [Connect Peers] (Connect ピア) タブで Transit Gateway Connect peerを選択し、[Actions] (アクション)、[Delete Connect peer] (Connect ピアを削除) の順に選択します。

AWS CLI を使用して Transit Gateway Connect peer を削除するには

delete-transit-gateway-connect-保存 コマンドを使用します。

transit gatewayの Connect attachmentを削除する

不要になったtransit gatewayの Connect attachmentは削除できます。まず、アタッチメントの Transit Gateway Connect peersをすべて削除する必要があります。

コンソールを使用して Connect attachment を削除するには
  1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. ナビゲーションペインで [Transit Gateway アタッチメント] を選択します。

  3. Connect attachmentを選択後、[Actions] (アクション)、[Delete transit gateway attachment] (Transit Gateway アタッチメントの削除) の順に選択します。

  4. delete」と入力し、[削除] を選択します。

AWS CLI を使用して Connect attachment を削除するには

delete-transit-gateway-connect コマンドを使用します。