Transit Gateway Connect アタッチメントと Transit Gateway Connect ピア - Amazon VPC

Transit Gateway Connect アタッチメントと Transit Gateway Connect ピア

トランジットゲートウェイの 接続 アタッチメントを作成して、トランジットゲートウェイと VPC で実行されているサードパーティー仮想アプライアンス (SD-WAN アプライアンスなど) 間の接続を確立できます。Connect アタッチメントは、総称ルーティングカプセル化 (GRE)トンネルプロトコルをサポートして高パフォーマンスを実現し、ボーダーゲートウェイプロトコル (BGP) をサポートして動的ルーティングをサポートします。Connect アタッチメントを作成したら、Connect アタッチメントに 1 つ以上の GRE トンネル (Transit Gateway Connect ピアとも呼ばれます) を作成して、Transit Gateway とサードパーティーアプライアンスを接続できます。ルーティング情報を交換するために、GRE トンネル上で 2 つの BGP セッションを確立します。2 つの BGP セッションは冗長性のためのものです。

Connect アタッチメントは、基盤となるトランスポートメカニズムとして、既存の VPC または AWS Direct Connect アタッチメントを使用します。これは、トランスポートアタッチメントと呼ばれます。トランジットゲートウェイは、サードパーティーアプライアンスからの一致した GRE パケットを 接続 アタッチメントからのトラフィックとして識別します。送信元または送信先情報が正しくない GRE パケットを含む、その他のパケットは、トランスポートアタッチメントからのトラフィックとして扱われます。

Transit Gateway Connect ピア

Transit Gateway Connect ピア (GRE トンネル) は以下のコンポーネントで構成されます。

内部の CIDR ブロック (BGP アドレス)

BGP ピアリングに使用される内部 IP アドレス。IPv4 の 169.254.0.0/16 範囲から /29 CIDR ブロックを指定する必要があります。オプションで、IPv6 の fd00::/8 範囲から /125 CIDR ブロックを指定できます。以下の CIDR ブロックは予約済みで使用できません。

  • 169.254.0.0/29

  • 169.254.1.0/29

  • 169.254.2.0/29

  • 169.254.3.0/29

  • 169.254.4.0/29

  • 169.254.5.0/29

  • 169.254.169.248/29

アプライアンスの IPv4 範囲の最初のアドレスを BGP IP アドレスとして設定する必要があります。IPv6 を使用する場合、内部 CIDR ブロックが fd00::/125 の場合は、アプライアンスのトンネルインターフェイスでこの範囲 (fd00::1) の最初のアドレスを設定する必要があります。

BGP アドレスは、トランジットゲートウェイ上のすべてのトンネルで一意である必要があります。

ピア IP アドレス

Transit Gateway Connect ピアのアプリケーション側のピア IP アドレス (GRE 外部 IP アドレス)。これは任意の IP アドレスにすることができます。IP アドレスは IPv4 アドレスまたは IPv6 アドレスとすることができますか、トランジットゲートウェイアドレスと同じ IP アドレスファミリーである必要があります。

トランジットゲートウェイアドレス

Transit Gateway Connect ピアの Transit Gateway 側のピア IP アドレス (GRE 外部 IP アドレス)。IP アドレスは、トランジットゲートウェイ CIDR ブロックから指定される必要があります。また、トランジットゲートウェイの 接続 アタッチメント全体で一意である必要があります。IP アドレスを指定しない場合、トランジットゲートウェイ CIDR ブロックから最初に使用可能なアドレスが使用されます。

トランジットゲートウェイを作成または変更するときに、トランジットゲートウェイ CIDR ブロックを追加できます。

IP アドレスは IPv4 アドレスまたは IPv6 アドレスとすることができますか、ピア IP アドレスと同じ IP アドレスファミリーである必要があります。

ピア IP アドレスとトランジットゲートウェイアドレスは、GRE トンネルを一意に識別するために使用されます。複数のトンネル全体でいずれかのアドレスを再利用することはできますが、同じトンネル内で両方を再利用することはできません。

BGP ピアリングには異なる IPv4 アドレスファミリーを使用できますが、IPv6 はサポートされていません。GRE 外部 IP アドレスには IPv4 と IPv6 の両方のアドレスを使用できます。

次の例は、VPC 内の Transit Gateway とアプライアンスの間の Connect アタッチメントを示しています。

Transit Gateway Connect  アタッチメントと Transit Gateway Connect  ピア
図のコンポーネント 説明
VPC アタッチメント
Connect アタッチメント
GRE トンネル (Transit Gateway Connect ピア)
BGP ピアリングセッション

前の例では、既存の VPC アタッチメント (トランスポートアタッチメント) にトランジットゲートウェイの 接続 アタッチメントが作成されます。Transit Gateway Connect ピアが Connect アタッチメントに作成され、VPC 内のアプライアンスへの接続を確立します。トランジットゲートウェイアドレスは 192.0.2.1 で、BGP アドレスの範囲は 169.254.6.0/29 です。範囲 (169.254.6.1) 内の最初の IP アドレスは、ピア BGP IP アドレスとしてアプライアンス上で設定されます。

VPC C のサブネットルートテーブルには、トランジットゲートウェイ CIDR ブロックを送信先とするトラフィックをトランジットゲートウェイにポイントするルートがあります。

送信先 Target
172.31.0.0/16 ローカル
192.0.2.0/24 tgw-id

要件と考慮事項

Connect アタッチメントの要件と考慮事項は次のとおりです。

  • Connect アタッチメントをサポートするリージョンについては、AWSTransit Gatewayに関するよくある質問を参照してください。

  • サードパーティーアプライアンスは、接続 アタッチメントを使用して、GRE トンネルを介してトランジットゲートウェイとの間でトラフィックを送受信するように設定される必要があります。

  • 動的ルートアップデートおよび正常性チェックに BGP を使用するようにサードパーティーアプライアンスを設定する必要があります。

  • 次のタイプの BGP がサポートされています。

    • エクステリア BGP (eBGP): トランジットゲートウェイとは異なる自律システムにあるルーターへの接続に使用されます。eBGP を使用する場合は、存続可能時間 (TTL) 値 2 で ebgp-multihop を設定する必要があります。

    • インテリア BGP (iBGP): トランジットゲートウェイと同じ自律システムにあるルーターへの接続に使用されます。トランジットゲートウェイは、ルートが eBGP ピアを起点としている場合を除き、iBGP ピア (サードパーティーアプライアンス) からのルートをインストールしません。iBGP ピアリングを介してサードパーティーアプライアンスによってアドバタイズされるルートには、ASN が必要です。

    • MP-BGP (BGP 用のマルチプロトコル拡張): IPv4 および IPv6 アドレスファミリーなど、複数のプロトコルタイプをサポートするために使用されます。

  • デフォルトの BGP キープアライブタイムアウトは 30 秒で、デフォルトのホールドタイマーは 90 秒です。

  • IPv6 BGP ピアリングはサポートされていません。IPv4 ベースの BGP ピアリングのみがサポートされます。IPv6 プレフィクスは、MP-BGP を使用して IPv4 BGP ピアリングを介して交換されます。

  • 双方向フォワーディング検出 (BFD) はサポートされていません。

  • BGP グレースフルリスタートがサポートされています。

  • トランジットゲートウェイピアを作成するときに、ピア ASN 番号を指定しない場合、トランジットゲートウェイ ASN 番号が選択されます。つまり、アプライアンスとトランジットゲートウェイは、iBGP を実行する同じ自律システム内に存在することになります。

  • 複数のアプライアンス間で 等コストマルチパス (ECMP) ルーティングを使用するには、同じ BGP AS-PATH 属性を使用してトランジットゲートウェイに同じプレフィクスをアドバタイズするように、アプライアンスを設定する必要があります。トランジットゲートウェイが使用可能なすべての ECMP パスを選択するには、AS-PATH と自律システム番号 (ASN) が一致している必要があります。Transit Gateway は、同じ Connect アタッチメントの Transit Gateway Connect ピア間、または同じ Transit Gateway 上の Connect アタッチメント間で ECMP を使用できます。Transit Gateway では、1 つのピアが確立する両方の冗長 BGP ピア接続間で ECMP を使用できません。

  • Connect アタッチメントでは、ルートはデフォルトで Transit Gateway ルートテーブルに伝達されます。

  • 静的ルートはサポートされていません。

トランジットゲートウェイの 接続 アタッチメントを作成する

Connect アタッチメントを作成するには、トランスポートアタッチメントとして既存のアタッチメントを指定する必要があります。VPC アタッチメントまたは AWS Direct Connect アタッチメントをトランスポートアタッチメントとして指定できます。

コンソールを使用して Connect アタッチメントを作成するには

  1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. ナビゲーションペインで [Transit Gateway アタッチメント] を選択します。

  3. [Transit Gateway アタッチメントの作成] を選択します。

  4. (オプション) [名前タグ] でアタッチメントの名前タグを指定します。

  5. [Transit Gateway ID] で、アタッチメントのトランジットゲートウェイを選択します。

  6. [アタッチメントタイプ] で、[接続] を選択します。

  7. [トランスポートアタッチメント ID] で、既存のアタッチメント の ID を選択します。

  8. [Transit Gateway アタッチメントの作成] を選択します。

AWS CLI CLI を使用して Connect アタッチメントを作成するには

create-transit-gateway-connect コマンドを使用します。

Transit Gateway Connect ピア (GRE トンネル) を作成する

既存の Connect アタッチメントについて、Transit Gateway Connect ピア (GRE トンネル) を作成できます。開始する前に、トランジットゲートウェイ CIDR ブロックが設定されていることを確認してください。トランジットゲートウェイを作成または変更するときに、トランジットゲートウェイ CIDR ブロックを設定できます。

Transit Gateway Connect ピアを作成するときは、トランジットゲートウェイ接続 ピアのアプライアンス側で GRE 外部 IP アドレスを指定する必要があります。

コンソールを使用して Transit Gateway Connect ピアを作成するには

  1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. ナビゲーションペインで [Transit Gateway アタッチメント] を選択します。

  3. Connect アタッチメントを選択し、[アクション] 、[Connect ピアを作成] の順に選択します。

  4. (オプション) [名前タグ] に、Transit Gateway Connect ピアの名前タグを指定します。

  5. (オプション) [Transit Gateway GRE アドレス] に、Transit Gateway の GRE 外部 IP アドレスを指定します。デフォルトでは、トランジットゲートウェイ CIDR ブロックから最初に使用可能なアドレスが使用されます。

  6. [ピア GRE アドレス] で、Transit Gateway Connect ピアのアプライアンス側の GRE 外部 IP アドレスを指定します。

  7. [BGP 内部 CIDR ブロック IPv4] で、BGP ピアリングに使用される内部 IPv4 アドレスの範囲を指定します。169.254.0.0/16 の範囲から /29 CIDR ブロックを指定します。

  8. (オプション) [BGP 内部 CIDR ブロック IPv6] で、BGP ピアリングに使用される内部 IPv6 アドレスの範囲を指定します。fd00::/8 の範囲から /125 CIDR ブロックを指定します。

  9. (オプション) [ピア ASN] で、アプライアンスのボーダーゲートウェイプロトコル (BGP) 自律システム番号 (ASN) を指定します。ネットワークに割り当てられている既存の ASN を使用できます。既存の ASN がない場合は、64512〜65534 (16ビットASN) または 4200000000〜4294967294 (32ビットASN) の範囲でプライベート ASN を使用できます。

    デフォルトは、トランジットゲートウェイと同じ ASN です。ピア ASN をトランジットゲートウェイ ASN (eBGP) とは異なるように設定する場合は、存続可能時間 (TTL) 値 2 で ebgp-multihop を設定する必要があります。

  10. 選択接続ピアの作成を選択します。

CLI を使用して Transit Gateway Connect ピアを作成するには AWS CLI

create-transit-gateway-connect-保存 コマンドを使用します。

Transit Gateway Connect アタッチメントと Transit Gateway Connect ピアを表示する

Transit Gateway Connect アタッチメントと Transit Gateway Connect ピアを表示できます。

コンソールを使用して Connect アタッチメントと Transit Gateway Connect ピアを表示するには

  1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. ナビゲーションペインで [Transit Gateway アタッチメント] (トランジットゲートウェイアタッチメント) を選択します。

  3. Connect アタッチメントを選択します。

  4. アタッチメントの Transit Gateway Connect ピアを表示するには、[Connect ピア] タブを選択します。

CLI を使用して Connect アタッチメントと Transit Gateway Connect ピアを表示するには AWS CLI

describe-transit-gateway-connects および describe-transit-gateway-connect-ピア コマンドを使用します。

Connect アタッチメントおよび Transit Gateway Connect ピアのタグを変更する

Connect アタッチメントのタグを変更できます。

コンソールを使用して Connect アタッチメントタグを変更するには

  1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. ナビゲーションペインで [Transit Gateway アタッチメント] を選択します。

  3. 接続 アタッチメントを選択後、[アクション] 、[タグの管理] の順に選択します。

  4. タグを追加するには、新しいタグを追加を選択し、キー名とキーバリューを指定します。

  5. タグを削除するには、[削除] を選択します。

  6. [Save] を選択します。

Transit Gateway Connect ピアのタグを変更できます。

コンソールを使用して Transit Gateway Connect ピアのタグを変更するには

  1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. ナビゲーションペインで [Transit Gateway アタッチメント] (トランジットゲートウェイアタッチメント) を選択します。

  3. 接続 アタッチメントを選択し、[接続 ピア] を選択します。

  4. Transit Gateway Connect ピアを選択後、[アクション]、[タグの管理] の順に選択します。

  5. タグを追加するには、新しいタグを追加を選択し、キー名とキーバリューを指定します。

  6. タグを削除するには、[削除] を選択します。

  7. [Save] を選択します。

CLI を使用して Connect アタッチメントおよび Transit Gateway Connect ピアのタグを変更するには AWS CLI

create-tags および delete-tags コマンドを使用します。

Transit Gateway Connectピアを削除する

Transit Gateway Connect ピアが不要になった場合には、それを削除することができます。

コンソールを使用して Transit Gateway Connect ピアを削除するには

  1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. ナビゲーションペインで [Transit Gateway アタッチメント] (トランジットゲートウェイアタッチメント) を選択します。

  3. Connect アタッチメントを選択します。

  4. [Connect ピア] タブで、Transit Gateway Connect ピアを選択し、[アクション]、[Connect ピア削除] ) の順に選択します。

CLI を使用して Transit Gateway Connect ピアを削除するには AWS CLI

delete-transit-gateway-connect-保存 コマンドを使用します。

トランジットゲートウェイの 接続 アタッチメントを削除する

トランジットゲートウェイの 接続 アタッチメントが不要になった場合は、削除できます。まず、アタッチメントの Transit Gateway Connect ピアをすべて削除する必要があります。

コンソールを使用して Connect アタッチメントを削除するには

  1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. ナビゲーションペインで [Transit Gateway アタッチメント] を選択します。

  3. Connect アタッチメントを選択後、アクション,トランジットゲートウェイのアタッチメントの削除を選択します。

  4. delete」と入力し、[Delete (削除)] を選択します。

AWS CLI CLI を使用して Connect アタッチメントを削除するには

delete-transit-gateway-connect コマンドを使用します。