Transit Gateway ピアリングアタッチメント - Amazon VPC

Transit Gateway ピアリングアタッチメント

Intra-リージョン と Inter-リージョン transit gatewaysの両方をピアリングし、IPv4 および IPv6 トラフィックを含むそれらの間でトラフィックをルーティングできます。これを行うには、transit gatewayでピアリングアタッチメントを作成し、transit gatewayを指定します。ピアtransit gatewayは、お使いのアカウントまたは別の AWS アカウントに設置できます。

ピアリングアタッチメントリクエストを作成した後、ピアTransit Gateway (アクセプタTransit Gateway とも呼ばれる)の所有者がリクエストを受け入れる必要があります。transit gateways間のトラフィックをルーティングするには、transit gatewayピアリングアタッチメントをポイントする静的ルートをtransit gatewayルートテーブルに追加します。

将来のルート伝達機能を利用するためにも、ピアリングされたtransit gatewaysに一意の ASN を使用することをお勧めします。

Transit Gateway のピアリングでは、Transit Gateway ピアリングアタッチメントのどちらの側のパブリックおよびプライベート IPv4 DNS ホスト名も VPC 間でプライベート IPv4 アドレスに解決することはできません。

Inter-リージョン ゲートウェイピアリングは、VPC ピアリングと同じネットワークインフラストラクチャを使用します。したがって、トラフィックはリージョン間を移動する際、仮想ネットワークレイヤーで AES-256 暗号化を使用して暗号化されます。トラフィックが AWS の物理的な制御の外部にあるネットワークリンクを通過する場合は、物理レイヤーで AES-256 暗号化を使用して暗号化されます。その結果、トラフィックは、AWS の物理的な制御の外部にあるネットワークリンク上で二重に暗号化されます。同じリージョン内では、トラフィックは、AWS の物理的な制御の外部にあるネットワークリンクを通過する場合にのみ、物理レイヤーで暗号化されます。

transit gatewayピアリングアタッチメントがサポートされているリージョンについては、「AWS Transit Gateway に関するよくある質問」を参照してください。

ピアリングアタッチメントの作成

開始する前に、アタッチするの transit gateway ID があることを確認します。transit gatewayが別の AWS アカウントにある場合は、transit gateway所有者の AWS アカウント ID を持っていることを確認します。

ピアリングアタッチメントを作成した後、アクセプタ transit gateway の所有者はアタッチメントリクエストを受け入れる必要があります。

コンソールを使用して、ピアリングアタッチメントを作成するには
  1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. ナビゲーションペインで [Transit Gateway アタッチメント] を選択します。

  3. [Transit Gateway アタッチメントの作成] を選択します。

  4. [Transit gateway ID] (トランジットゲートウェイ ID) で、アタッチメントに使用するtransit gatewayを選択します。ユーザーは、所有する transit gateway か共有された transit gateway を選ぶことができます。

  5. [アタッチメントの種類] で、[ピア接続] を選択します。

  6. 必要に応じて、アタッチメントの名前タグを入力します。

  7. [アカウント] で、次のいずれかを実行します。

    • transit gateway がアカウントにある場合は、[My account (マイアカウント)] を選択します。

    • transit gatewayが別の AWS アカウントにある場合は、[Other account] (その他のアカウント) を選択します。アカウント IDで、AWSアカウント ID を入力します。

  8. [Region (リージョン)] で、transit gateway が配置されているリージョンを選択します。

  9. [Transit Gateway ID (アクセプタ)] に、アタッチする Transit Gateway の ID を入力します。

  10. [Transit Gateway アタッチメントの作成] を選択します。

AWS CLI を使用して、ピアリングアタッチメントを作成するには

create-transit-gateway-peering-attachment コマンドを使用します。

ピアリングアタッチメントリクエストの承諾または拒否

ピアリングアタッチメントをアクティブにするには、アクセプタ Transit Gateway の所有者がピアリングアタッチメントリクエストを受け入れる必要があります。これは、両方の Transit Gateway が同じアカウントにある場合でも必要です。ピアリングアタッチメントは pendingAcceptance 状態である必要があります。アクセプタ Transit Gateway が配置されているリージョンからのピアリングアタッチメントリクエストを受け入れます。

または、受信した VPC ピア接続リクエストで pendingAcceptance 状態にあるものを拒否できます。アクセプタ Transit Gateway があるリージョンからのリクエストを拒否する必要があります。

コンソールを使用して、ピアリングアタッチメントリクエストを受け入れるには
  1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. ナビゲーションペインで [Transit Gateway アタッチメント] を選択します。

  3. 承諾保留中の transit gateway ピアリングアタッチメントを選択します。

  4. アクションTransit Gateway アタッチメントを受け入れるを選択します。

  5. 静的ルートを transit gateway ルートテーブルに追加します。詳細については、「静的ルートを作成する」を参照してください。

コンソールを使用して、ピアリングアタッチメントリクエストを拒否するには
  1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. ナビゲーションペインで [Transit Gateway アタッチメント] を選択します。

  3. 承諾保留中の transit gateway ピアリングアタッチメントを選択します。

  4. アクションTransit Gateway アタッチメントを拒否するを選択します。

AWS CLI を使用して、ピアリングアタッチメントを承諾または拒否するには

accept-transit-gateway-peering-attachment コマンドおよび reject-transit-gateway-peering-attachment コマンドを使用します。

Transit Gateway のルートテーブルへのルートの追加

ピアリングされた Transit Gateway 間でトラフィックをルーティングするには、Transit Gateway のピアリングアタッチメントをポイントする静的ルートを Transit Gateway のルートテーブルに追加する必要があります。アクセプタ transit gateway の所有者も、トランジットゲートウェイのルートテーブルに静的ルートを追加する必要があります。

コンソールを使用して静的ルートを作成するには
  1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. ナビゲーションペインで [Transit Gateway ルートテーブル] を選択します。

  3. ルートを作成するルートテーブルを選択します。

  4. [アクション]、[静的ルートの作成] の順に選択します。

  5. [静的ルートの作成] ページに、ルートを作成する CIDR ブロックを入力します。たとえば、ピア Transit Gateway にアタッチされている VPC の CIDR ブロックを指定します。

  6. ルートのピアリングアタッチメントを選択します。

  7. [静的ルートの作成] を選択します。

AWS CLI を使用して静的ルートを作成するには

create-transit-gateway-route コマンドを使用します。

重要

ルートを作成したら、transit gateway ルートテーブルを transit gateway ピアリングアタッチメントに関連付けます。詳細については、「Transit Gateway ルートテーブルの関連付け」を参照してください。

Transit Gateway ピアリング接続アタッチメントの表示

Transit Gateway のピアリングアタッチメントとその情報を表示できます。

コンソールを使用して、ピアリングアタッチメントを表示するには
  1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. ナビゲーションペインで [Transit Gateway アタッチメント] を選択します。

  3. [リソースタイプ]列で、ピアリングを探します。これらはピアリングアタッチメントです。

  4. 詳細を表示するには、アタッチメントを選択します。

AWS CLI を使用して、Transit Gateway ピアリングアタッチメントを表示するには

describe-transit-gateway-peering-attachments コマンドを使用します。

ピアリングタッチメントを削除する

transit gateway ピアリングアタッチメントを削除できます。いずれかの Transit Gateway の所有者は、アタッチメントを削除できます。

コンソールを使用して、ピアリングアタッチメントを削除するには
  1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. ナビゲーションペインで [Transit Gateway アタッチメント] を選択します。

  3. transit gateway ピアリングアタッチメントを選択します。

  4. アクション,Transit Gateway のアタッチメントの削除を選択します。

  5. delete」と入力し、[削除] を選択します。

AWS CLI を使用して、ピアリングアタッチメントを削除するには

delete-transit-gateway-peering-attachment コマンドを使用します。

オプトインAWSリージョンに関する考慮事項

オプトインリージョンの境界を越えてtransit gatewaysをピアリングすることができます。これらのリージョンの詳細とオプトイン方法については、「Amazon Web Services 全般的なリファレンス」の「AWS リージョンの管理」を参照してください。これらのリージョンでtransit gatewayピアリングを使用する場合は、次の点を考慮してください。

  • ピアリングアタッチメントを受け入れるアカウントがそのリージョンにオプトインされている限り、オプトインリージョンにピアリングできます。

  • リージョンのオプトインステータスにかかわらず、AWSは、ピアリングアタッチメントを受け入れるアカウントと次のアカウントデータを共有します。

    • AWS アカウント ID

    • 転送ゲートウェイ ID

    • リージョンコード

  • transit gatewayアタッチメントを削除すると、上記のアカウントデータが削除されます。

  • リージョンをオプトアウトする前に、transit gatewayピアリングのアタッチメントを削除することをお勧めします。ピアリングアタッチメントを削除しないと、トラフィックがアタッチメントを通過し続け、引き続き課金される可能性があります。アタッチメントを削除しない場合は、オプトインし直し、アタッチメントを削除できます。

  • 一般に、transit gatewayには送信者支払いモデルが使用されています。オプトイン境界を越えて Transit Gateway ピアリングアタッチメントを使用すると、アタッチメントを受け入れるリージョン (オプトインしていないリージョンを含む) で料金が発生する可能性があります。詳細については、AWSTransit Gateway の料金を参照してください。