Transit Gateway Connect アタッチメントと Transit Gateway Connect ピア - Amazon VPC

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Transit Gateway Connect アタッチメントと Transit Gateway Connect ピア

Transit Gateway Connect アタッチメントを作成して、Transit Gateway と VPC で実行されているサードパーティー仮想アプライアンス (SD-WAN アプライアンスなど) 間の接続を確立できます。Connect アタッチメントは、総称ルーティングカプセル化 (GRE)トンネルプロトコルをサポートして高パフォーマンスを実現し、ボーダーゲートウェイプロトコル (BGP) をサポートして動的ルーティングをサポートします。Connect アタッチメントを作成したら、Connect アタッチメントに 1 つ以上の GRE トンネル (Transit Gateway Connect ピアとも呼ばれます) を作成して、Transit Gateway とサードパーティーアプライアンスを接続できます。ルーティング情報を交換するために、GRE トンネル上で 2 つの BGP セッションを確立します。

重要

Transit Gateway Connect ピアは、AWS が管理するインフラストラクチャで終了する 2 つの BGP ピアリングセッションで構成されます。2 つの BGP ピアリングセッションによってルーティングプレーンに冗長性が備わり、1 つの BGP ピアリングセッションが失われてもルーティング操作に影響しないようになります。両方の BGP セッションから受信したルーティング情報は、指定された Connect ピアに対して蓄積されます。BGP ピアリングセッションが 2 つあることで、日常的なメンテナンス、パッチ適用、ハードウェアのアップグレード、交換などの AWS インフラストラクチャ運用に対しても保護されます。Connect ピアが、冗長性のために設定することが推奨されているデュアル BGP ピアリングセッションなしで動作している場合、AWS インフラストラクチャ運用中に接続が一時的に失われる可能性があります。Connect ピアで、BGP ピアリングセッションを両方設定することを強くお勧めします。アプライアンス側で高可用性をサポートするように複数の Connect ピアを設定している場合は、各 Connect ピアに両方の BGP ピアリングセッションを設定することをお勧めします。

Connect アタッチメントは、基盤となるトランスポートメカニズムとして、既存の VPC または Direct Connect アタッチメントを使用します。これは、トランスポートアタッチメントと呼ばれます。トランジットゲートウェイは、サードパーティーアプライアンスからの一致した GRE パケットを 接続 アタッチメントからのトラフィックとして識別します。送信元または送信先情報が正しくない GRE パケットを含む、その他のパケットは、トランスポートアタッチメントからのトラフィックとして扱われます。

注記

Direct Connect アタッチメントを転送メカニズムとして使用するには、まず Direct Connect を AWS Transit Gateway と統合する必要があります。この統合を作成する手順については、「Integrate SD-WAN devices with AWS Transit Gateway and AWS Direct Connect」を参照してください。

Connect ピア

Connect ピア (GRE トンネル) は以下のコンポーネントで構成されます。

内部の CIDR ブロック (BGP アドレス)

BGP ピアリングに使用される内部 IP アドレス。IPv4 の 169.254.0.0/16 範囲から /29 CIDR ブロックを指定する必要があります。オプションで、IPv6 の fd00::/8 範囲から /125 CIDR ブロックを指定できます。以下の CIDR ブロックは予約済みで使用できません。

  • 169.254.0.0/29

  • 169.254.1.0/29

  • 169.254.2.0/29

  • 169.254.3.0/29

  • 169.254.4.0/29

  • 169.254.5.0/29

  • 169.254.169.248/29

アプライアンスの IPv4 範囲の最初のアドレスを BGP IP アドレスとして設定する必要があります。IPv6 を使用する場合、内部 CIDR ブロックが fd00::/125 の場合は、アプライアンスのトンネルインターフェイスでこの範囲 (fd00::1) の最初のアドレスを設定する必要があります。

BGP アドレスは、トランジットゲートウェイ上のすべてのトンネルで一意である必要があります。

ピア IP アドレス

Connect ピアのアプライアンス側のピア IP アドレス (GRE 外部 IP アドレス)。これは任意の IP アドレスにすることができます。IP アドレスは IPv4 アドレスまたは IPv6 アドレスとすることができますか、トランジットゲートウェイアドレスと同じ IP アドレスファミリーである必要があります。

トランジットゲートウェイアドレス

Connect ピアのトランジットゲートウェイ側のピア IP アドレス (GRE 外部 IP アドレス)。IP アドレスは、トランジットゲートウェイ CIDR ブロックから指定される必要があります。また、トランジットゲートウェイの 接続 アタッチメント全体で一意である必要があります。IP アドレスを指定しない場合、トランジットゲートウェイ CIDR ブロックから最初に使用可能なアドレスが使用されます。

トランジットゲートウェイを作成または変更するときに、トランジットゲートウェイ CIDR ブロックを追加できます。

IP アドレスは IPv4 アドレスまたは IPv6 アドレスとすることができますか、ピア IP アドレスと同じ IP アドレスファミリーである必要があります。

ピア IP アドレスとトランジットゲートウェイアドレスは、GRE トンネルを一意に識別するために使用されます。複数のトンネル全体でいずれかのアドレスを再利用することはできますが、同じトンネル内で両方を再利用することはできません。

BGP ピアリングの Transit Gateway Connect は、マルチプロトコル BGP (MP-BGP) のみをサポートします。ここで、IPv6 ユニキャストの BGP セッションを確立するために IPv4 ユニキャストアドレスも必要です。GRE 外部 IP アドレスには IPv4 と IPv6 の両方のアドレスを使用できます。

次の例は、VPC 内の Transit Gateway とアプライアンスの間の Connect アタッチメントを示しています。

トランジットゲートウェイの Connect アタッチメントおよび Connect ピア
図のコンポーネント 説明

                                図例ではVPC アタッチメントがどのように表されているかを示しています。
VPC アタッチメント

                                図例ではConnect アタッチメントがどのように表されているかを示しています。
Connect アタッチメント

                                図例ではGRE トンネルがどのように表されているかを示しています。
GRE トンネル (Connect ピア)

                                図例ではBGP ピアリングセッションがどのように表されているかを示しています。
BGP ピアリングセッション

前の例では、既存の VPC アタッチメント (トランスポートアタッチメント) に Connect アタッチメントが作成されます。Connect ピアが Connect アタッチメントに作成され、VPC 内のアプライアンスへの接続を確立します。トランジットゲートウェイアドレスは 192.0.2.1 で、BGP アドレスの範囲は 169.254.6.0/29 です。範囲 (169.254.6.1) 内の最初の IP アドレスは、ピア BGP IP アドレスとしてアプライアンス上で設定されます。

VPC C のサブネットルートテーブルには、トランジットゲートウェイ CIDR ブロックを送信先とするトラフィックをトランジットゲートウェイにポイントするルートがあります。

送信先 ターゲット
172.31.0.0/16 ローカル
192.0.2.0/24 tgw-id

要件と考慮事項

Connect アタッチメントの要件と考慮事項は次のとおりです。

  • Connect アタッチメントをサポートするリージョンについては、「AWS Transit Gateway よくある質問」を参照してください。

  • サードパーティーアプライアンスは、接続 アタッチメントを使用して、GRE トンネルを介してトランジットゲートウェイとの間でトラフィックを送受信するように設定される必要があります。

  • 動的ルートアップデートおよび正常性チェックに BGP を使用するようにサードパーティーアプライアンスを設定する必要があります。

  • 次のタイプの BGP がサポートされています。

    • エクステリア BGP (eBGP): トランジットゲートウェイとは異なる自律システムにあるルーターへの接続に使用されます。eBGP を使用する場合は、存続可能時間 (TTL) 値 2 で ebgp-multihop を設定する必要があります。

    • インテリア BGP (iBGP): トランジットゲートウェイと同じ自律システムにあるルーターへの接続に使用されます。トランジットゲートウェイは、ルートが eBGP ピアを起点とし、next-hop-self が設定されている必要がある場合を除き、iBGP ピア (サードパーティーアプライアンス) からのルートをインストールしません。iBGP ピアリングを介してサードパーティーアプライアンスによってアドバタイズされるルートには、ASN が必要です。

    • MP-BGP (BGP 用のマルチプロトコル拡張): IPv4 および IPv6 アドレスファミリーなど、複数のプロトコルタイプをサポートするために使用されます。

  • デフォルトの BGP キープアライブタイムアウトは 10 秒で、デフォルトのホールドタイマーは 30 秒です。

  • IPv6 BGP ピアリングはサポートされていません。IPv4 ベースの BGP ピアリングのみがサポートされます。IPv6 プレフィクスは、MP-BGP を使用して IPv4 BGP ピアリングを介して交換されます。

  • 双方向フォワーディング検出 (BFD) はサポートされていません。

  • BGP グレースフルリスタートはサポートされていません。

  • トランジットゲートウェイピアを作成するときに、ピア ASN 番号を指定しない場合、トランジットゲートウェイ ASN 番号が選択されます。つまり、アプライアンスとトランジットゲートウェイは、iBGP を実行する同じ自律システム内に存在することになります。

  • Connect ピアが 2 つある場合は、BGP AS-PATH 属性を使用する Connect ピアが優先ルートになります。

    複数のアプライアンス間で 等コストマルチパス (ECMP) ルーティングを使用するには、同じ BGP AS-PATH 属性を使用してトランジットゲートウェイに同じプレフィクスをアドバタイズするように、アプライアンスを設定する必要があります。トランジットゲートウェイが使用可能なすべての ECMP パスを選択するには、AS-PATH と自律システム番号 (ASN) が一致している必要があります。トランジットゲートウェイは、同じ Connect アタッチメントの Connect ピア間、または同じトランジットゲートウェイ上の Connect アタッチメント間で ECMP を使用できます。Transit Gateway では、1 つのピアが確立する両方の冗長 BGP ピア接続間で ECMP を使用できません。

  • Connect アタッチメントでは、ルートはデフォルトで Transit Gateway ルートテーブルに伝達されます。

  • 静的ルートはサポートされていません。

  • サードパーティーアプライアンス外部インターフェイス (トンネルソース) の最大送信単位 (MTU) が次のいずれかであることを確認してください。

    • GRE トンネルインターフェイスの MTU と一致する

    • GRE トンネルインターフェイスの MTU よりも大きい

Connect アタッチメントの作成

Connect アタッチメントを作成するには、トランスポートアタッチメントとして既存のアタッチメントを指定する必要があります。VPC アタッチメントまたは Direct Connect アタッチメントをトランスポートアタッチメントとして指定できます。

コンソールを使用して Connect アタッチメントを作成するには
  1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. ナビゲーションペインで [Transit Gateway アタッチメント] を選択します。

  3. [Transit Gateway アタッチメントの作成] を選択します。

  4. (オプション) [名前タグ] でアタッチメントの名前タグを指定します。

  5. [Transit Gateway ID] で、アタッチメントのトランジットゲートウェイを選択します。

  6. [アタッチメントタイプ] で、[接続] を選択します。

  7. [トランスポートアタッチメント ID] で、既存のアタッチメント の ID を選択します。

  8. [Transit Gateway アタッチメントの作成] を選択します。

AWS CLI CLI を使用して Connect アタッチメントを作成するには

create-transit-gateway-connect コマンドを使用します。

Connect ピア (GRE トンネル) を作成する

既存の Connect アタッチメントについて、Connect ピア (GRE トンネル) を作成できます。開始する前に、トランジットゲートウェイ CIDR ブロックが設定されていることを確認してください。トランジットゲートウェイを作成または変更するときに、トランジットゲートウェイ CIDR ブロックを設定できます。

Connect ピアを作成するときは、Connect ピアのアプライアンス側で GRE 外部 IP アドレスを指定する必要があります。

コンソールを使用して Connect ピアを作成するには
  1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. ナビゲーションペインで [Transit Gateway アタッチメント] を選択します。

  3. Connect アタッチメントを選択し、[アクション] 、[Connect ピアを作成] の順に選択します。

  4. (オプション) [名前タグ] に、Connect ピアの名前タグを指定します。

  5. (オプション) [Transit Gateway GRE アドレス] に、Transit Gateway の GRE 外部 IP アドレスを指定します。デフォルトでは、トランジットゲートウェイ CIDR ブロックから最初に使用可能なアドレスが使用されます。

  6. [ピア GRE アドレス] で、Connect ピアのアプライアンス側の GRE 外部 IP アドレスを指定します。

  7. [BGP 内部 CIDR ブロック IPv4] で、BGP ピアリングに使用される内部 IPv4 アドレスの範囲を指定します。169.254.0.0/16 の範囲から /29 CIDR ブロックを指定します。

  8. (オプション) [BGP 内部 CIDR ブロック IPv6] で、BGP ピアリングに使用される内部 IPv6 アドレスの範囲を指定します。fd00::/8 の範囲から /125 CIDR ブロックを指定します。

  9. (オプション) [ピア ASN] で、アプライアンスのボーダーゲートウェイプロトコル (BGP) 自律システム番号 (ASN) を指定します。ネットワークに割り当てられている既存の ASN を使用できます。既存の ASN がない場合は、64512〜65534 (16ビットASN) または 4200000000〜4294967294 (32ビットASN) の範囲でプライベート ASN を使用できます。

    デフォルトは、トランジットゲートウェイと同じ ASN です。ピア ASN をトランジットゲートウェイ ASN (eBGP) とは異なるように設定する場合は、存続可能時間 (TTL) 値 2 で ebgp-multihop を設定する必要があります。

  10. 選択接続ピアの作成を選択します。

AWS CLI を使用して Connect ピアを作成するには

create-transit-gateway-connect-保存 コマンドを使用します。

Connect アタッチメントと Connect ピアを表示する

Connect アタッチメントと Connect ピアを表示できます。

コンソールを使用して Connect アタッチメントと Connect ピアを表示するには
  1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. ナビゲーションペインで [Transit Gateway アタッチメント] を選択します。

  3. Connect アタッチメントを選択します。

  4. アタッチメントの Connect ピアを表示するには、[Connect ピア] タブを選択します。

AWS CLI を使用して Connect アタッチメントと Connect ピアを表示するには

describe-transit-gateway-connects および describe-transit-gateway-connect-ピア コマンドを使用します。

Connect アタッチメントおよび Connect ピアのタグを変更する

Connect アタッチメントのタグを変更できます。

コンソールを使用して Connect アタッチメントタグを変更するには
  1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. ナビゲーションペインで [Transit Gateway アタッチメント] を選択します。

  3. 接続 アタッチメントを選択後、[アクション][タグの管理] の順に選択します。

  4. タグを追加するには、新しいタグを追加を選択し、キー名とキーバリューを指定します。

  5. タグを削除するには、[削除] を選択します。

  6. [保存] を選択します。

Connect ピアのタグは変更できます。

コンソールを使用して Connect ピアのタグを変更するには
  1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. ナビゲーションペインで [Transit Gateway アタッチメント] を選択します。

  3. 接続 アタッチメントを選択し、[接続 ピア] を選択します。

  4. Connect ピアを選択後、[アクション][タグの管理] の順に選択します。

  5. タグを追加するには、新しいタグを追加を選択し、キー名とキーバリューを指定します。

  6. タグを削除するには、[削除] を選択します。

  7. [Save (保存)] を選択します。

AWS CLI を使用して Connect アタッチメントおよび Connect ピアのタグを変更するには

create-tags および delete-tags コマンドを使用します。

Connect ピアを削除する

Connect ピアが不要になった場合には、それを削除することができます。

コンソールを使用して Connect ピアを削除するには
  1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. ナビゲーションペインで [Transit Gateway アタッチメント] を選択します。

  3. Connect アタッチメントを選択します。

  4. [Connect ピア] タブで、Connect ピアを選択し、[アクション][Connect ピアを削除] の順に選択します。

AWS CLI を使用して Connect ピアを削除するには

delete-transit-gateway-connect-保存 コマンドを使用します。

Connect アタッチメントを削除する

Connect アタッチメントが不要になった場合は、削除できます。まず、アタッチメントの Connect ピアをすべて削除する必要があります。

コンソールを使用して Connect アタッチメントを削除するには
  1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. ナビゲーションペインで [Transit Gateway アタッチメント] を選択します。

  3. Connect アタッチメントを選択後、[アクション][Transit Gateway アタッチメントの削除]を選択します。

  4. delete」と入力し、[削除] を選択します。

AWS CLI CLI を使用して Connect アタッチメントを削除するには

delete-transit-gateway-connect コマンドを使用します。