Amazon VPC Transit Gateway の Transit Gateway Connect アタッチメントと Transit Gateway Connect ピア - Amazon VPC

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon VPC Transit Gateway の Transit Gateway Connect アタッチメントと Transit Gateway Connect ピア

Transit Gateway Connect アタッチメントを作成して、Transit Gateway と VPC で実行されているサードパーティー仮想アプライアンス (SD-WAN アプライアンスなど) 間の接続を確立できます。Connect アタッチメントは、総称ルーティングカプセル化 (GRE)トンネルプロトコルをサポートして高パフォーマンスを実現し、ボーダーゲートウェイプロトコル (BGP) をサポートして動的ルーティングをサポートします。Connect アタッチメントを作成したら、Connect アタッチメントに 1 つ以上の GRE トンネル (Transit Gateway Connect ピアとも呼ばれます) を作成して、Transit Gateway とサードパーティーアプライアンスを接続できます。ルーティング情報を交換するために、GRE トンネル上で 2 つの BGP セッションを確立します。

重要

Transit Gateway Connect ピアは、AWS が管理するインフラストラクチャで終了する 2 つの BGP ピアリングセッションで構成されます。2 つの BGP ピアリングセッションによってルーティングプレーンに冗長性が備わり、1 つの BGP ピアリングセッションが失われてもルーティング操作に影響しないようになります。両方の BGP セッションから受信したルーティング情報は、指定された Connect ピアに対して蓄積されます。BGP ピアリングセッションが 2 つあることで、日常的なメンテナンス、パッチ適用、ハードウェアのアップグレード、交換などの AWS インフラストラクチャ運用に対しても保護されます。Connect ピアが、冗長性のために設定することが推奨されているデュアル BGP ピアリングセッションなしで動作している場合、AWS インフラストラクチャ運用中に接続が一時的に失われる可能性があります。Connect ピアで、BGP ピアリングセッションを両方設定することを強くお勧めします。アプライアンス側で高可用性をサポートするように複数の Connect ピアを設定している場合は、各 Connect ピアに両方の BGP ピアリングセッションを設定することをお勧めします。

Connect アタッチメントは、基盤となるトランスポートメカニズムとして、既存の VPC または Direct Connect アタッチメントを使用します。これは、トランスポートアタッチメントと呼ばれます。トランジットゲートウェイは、サードパーティーアプライアンスからの一致した GRE パケットを 接続 アタッチメントからのトラフィックとして識別します。送信元または送信先情報が正しくない GRE パケットを含む、その他のパケットは、トランスポートアタッチメントからのトラフィックとして扱われます。

注記

Direct Connect アタッチメントを転送メカニズムとして使用するには、まず Direct Connect を AWS Transit Gateway と統合する必要があります。この統合を作成する手順については、「Integrate SD-WAN devices with AWS Transit Gateway and AWS Direct Connect」を参照してください。

Connect ピア

Connect ピア (GRE トンネル) は以下のコンポーネントで構成されます。

内部の CIDR ブロック (BGP アドレス)

BGP ピアリングに使用される内部 IP アドレス。IPv4 の 169.254.0.0/16 範囲から /29 CIDR ブロックを指定する必要があります。オプションで、IPv6 の fd00::/8 範囲から /125 CIDR ブロックを指定できます。以下の CIDR ブロックは予約済みで使用できません。

  • 169.254.0.0/29

  • 169.254.1.0/29

  • 169.254.2.0/29

  • 169.254.3.0/29

  • 169.254.4.0/29

  • 169.254.5.0/29

  • 169.254.169.248/29

アプライアンスの IPv4 範囲の最初のアドレスを BGP IP アドレスとして設定する必要があります。IPv6 を使用する場合、内部 CIDR ブロックが fd00::/125 の場合は、アプライアンスのトンネルインターフェイスでこの範囲 (fd00::1) の最初のアドレスを設定する必要があります。

BGP アドレスは、トランジットゲートウェイ上のすべてのトンネルで一意である必要があります。

ピア IP アドレス

Connect ピアのアプライアンス側のピア IP アドレス (GRE 外部 IP アドレス)。これは任意の IP アドレスにすることができます。IP アドレスは IPv4 アドレスまたは IPv6 アドレスとすることができますか、トランジットゲートウェイアドレスと同じ IP アドレスファミリーである必要があります。

トランジットゲートウェイアドレス

Connect ピアのトランジットゲートウェイ側のピア IP アドレス (GRE 外部 IP アドレス)。IP アドレスは、トランジットゲートウェイ CIDR ブロックから指定される必要があります。また、トランジットゲートウェイの 接続 アタッチメント全体で一意である必要があります。IP アドレスを指定しない場合、トランジットゲートウェイ CIDR ブロックから最初に使用可能なアドレスが使用されます。

トランジットゲートウェイを作成または変更するときに、トランジットゲートウェイ CIDR ブロックを追加できます。

IP アドレスは IPv4 アドレスまたは IPv6 アドレスとすることができますか、ピア IP アドレスと同じ IP アドレスファミリーである必要があります。

ピア IP アドレスとトランジットゲートウェイアドレスは、GRE トンネルを一意に識別するために使用されます。複数のトンネル全体でいずれかのアドレスを再利用することはできますが、同じトンネル内で両方を再利用することはできません。

BGP ピアリングの Transit Gateway Connect は、マルチプロトコル BGP (MP-BGP) のみをサポートします。ここで、IPv6 ユニキャストの BGP セッションを確立するために IPv4 ユニキャストアドレスも必要です。GRE 外部 IP アドレスには IPv4 と IPv6 の両方のアドレスを使用できます。

次の例は、VPC 内の Transit Gateway とアプライアンスの間の Connect アタッチメントを示しています。

トランジットゲートウェイの Connect アタッチメントおよび Connect ピア
図のコンポーネント 説明
図例ではVPC アタッチメントがどのように表されているかを示しています。
VPC アタッチメント
図例ではConnect アタッチメントがどのように表されているかを示しています。
Connect アタッチメント
図例ではGRE トンネルがどのように表されているかを示しています。
GRE トンネル (Connect ピア)
図例ではBGP ピアリングセッションがどのように表されているかを示しています。
BGP ピアリングセッション

前の例では、既存の VPC アタッチメント (トランスポートアタッチメント) に Connect アタッチメントが作成されます。Connect ピアが Connect アタッチメントに作成され、VPC 内のアプライアンスへの接続を確立します。トランジットゲートウェイアドレスは 192.0.2.1 で、BGP アドレスの範囲は 169.254.6.0/29 です。範囲 (169.254.6.1) 内の最初の IP アドレスは、ピア BGP IP アドレスとしてアプライアンス上で設定されます。

VPC C のサブネットルートテーブルには、トランジットゲートウェイ CIDR ブロックを送信先とするトラフィックをトランジットゲートウェイにポイントするルートがあります。

送信先 ターゲット
172.31.0.0/16 ローカル
192.0.2.0/24 tgw-id

要件と考慮事項

Connect アタッチメントの要件と考慮事項は次のとおりです。

  • Connect アタッチメントをサポートするリージョンについては、「AWS Transit Gateway よくある質問」を参照してください。

  • サードパーティーアプライアンスは、接続 アタッチメントを使用して、GRE トンネルを介してトランジットゲートウェイとの間でトラフィックを送受信するように設定される必要があります。

  • 動的ルートアップデートおよび正常性チェックに BGP を使用するようにサードパーティーアプライアンスを設定する必要があります。

  • 次のタイプの BGP がサポートされています。

    • エクステリア BGP (eBGP): トランジットゲートウェイとは異なる自律システムにあるルーターへの接続に使用されます。eBGP を使用する場合は、存続可能時間 (TTL) 値 2 で ebgp-multihop を設定する必要があります。

    • インテリア BGP (iBGP): トランジットゲートウェイと同じ自律システムにあるルーターへの接続に使用されます。トランジットゲートウェイは、ルートが eBGP ピアを起点とし、next-hop-self が設定されている必要がある場合を除き、iBGP ピア (サードパーティーアプライアンス) からのルートをインストールしません。iBGP ピアリングを介してサードパーティーアプライアンスによってアドバタイズされるルートには、ASN が必要です。

    • MP-BGP (BGP 用のマルチプロトコル拡張): IPv4 および IPv6 アドレスファミリーなど、複数のプロトコルタイプをサポートするために使用されます。

  • デフォルトの BGP キープアライブタイムアウトは 10 秒で、デフォルトのホールドタイマーは 30 秒です。

  • IPv6 BGP ピアリングはサポートされていません。IPv4 ベースの BGP ピアリングのみがサポートされます。IPv6 プレフィクスは、MP-BGP を使用して IPv4 BGP ピアリングを介して交換されます。

  • 双方向フォワーディング検出 (BFD) はサポートされていません。

  • BGP グレースフルリスタートはサポートされていません。

  • トランジットゲートウェイピアを作成するときに、ピア ASN 番号を指定しない場合、トランジットゲートウェイ ASN 番号が選択されます。つまり、アプライアンスとトランジットゲートウェイは、iBGP を実行する同じ自律システム内に存在することになります。

  • Connect ピアが 2 つある場合は、BGP AS-PATH 属性を使用する Connect ピアが優先ルートになります。

    複数のアプライアンス間で 等コストマルチパス (ECMP) ルーティングを使用するには、同じ BGP AS-PATH 属性を使用してトランジットゲートウェイに同じプレフィクスをアドバタイズするように、アプライアンスを設定する必要があります。トランジットゲートウェイが使用可能なすべての ECMP パスを選択するには、AS-PATH と自律システム番号 (ASN) が一致している必要があります。トランジットゲートウェイは、同じ Connect アタッチメントの Connect ピア間、または同じトランジットゲートウェイ上の Connect アタッチメント間で ECMP を使用できます。Transit Gateway では、1 つのピアが確立する両方の冗長 BGP ピア接続間で ECMP を使用できません。

  • Connect アタッチメントでは、ルートはデフォルトで Transit Gateway ルートテーブルに伝達されます。

  • 静的ルートはサポートされていません。

  • サードパーティーアプライアンス外部インターフェイス (トンネルソース) の最大送信単位 (MTU) が次のいずれかであることを確認してください。

    • GRE トンネルインターフェイスの MTU と一致する

    • GRE トンネルインターフェイスの MTU よりも大きい