トランジットゲートウェイ - Amazon Virtual Private Cloud

トランジットゲートウェイ

transit gateway を使用すると、同じリージョンに VPC と VPN 接続をアタッチして、それらの間でトラフィックをルーティングできます。transit gateway は AWS アカウント間で機能し、AWS Resource Access Manager を使用して transit gateway を他のアカウントと共有できます。他の AWS アカウントと transit gateway を共有した後、アカウントの所有者は transit gateway にそれらの VPC をアタッチすることができます。どちらのアカウントのユーザーも、アタッチメントをいつでも削除できます。

transit gateway でマルチキャストを有効にしてから、ドメインに関連付ける VPC アタッチメントを介してマルチキャストソースからマルチキャストグループメンバーにマルチキャストトラフィックを送信できるようにする transit gateway マルチキャストドメインを作成できます。

また、異なる AWS リージョン transit gateway 間でピア接続アタッチメントを作成することもできます。これにより、異なるリージョン間でトランジットゲートウェイのアタッチメント間でトラフィックをルーティングできます。

各 VPC または VPN アタッチメントは、単一のルートテーブルに関連付けられています。そのルートテーブルは、そのリソースアタッチメントから来るトラフィックのネクストホップを決定します。transit gateway 内部のルートテーブルは、IPv4 または IPv6 の両方の CIDR とターゲットを許可します。ターゲットは VPC と VPN 接続です。VPC をアタッチするか、transit gateway 上に VPN 接続を作成すると、その接続は transit gateway のデフォルトルートテーブルに関連付けられます。

transit gateway 内部に追加のルートテーブルを作成し、VPC または VPN の関連付けをこれらのルートテーブルに変更できます。これにより、ネットワークをセグメント化することができます。たとえば、開発 VPC を 1 つのルートテーブルに関連付け、本番 VPC を別のルートテーブルに関連付けることができます。これにより、 transit gateway 内に、従来のネットワークにおける仮想ルーティングおよび転送 (VRF) と同様の分離された複数のネットワークを作成できるようになります。

トランジットゲートウェイでは、アタッチされた VPC と VPN 接続間で動的および静的なルーティングをサポートしています。各アタッチメントのルートの伝播は有効または無効にできます。トランジットゲートウェイピアリングアタッチメントは、静的ルーティングのみをサポートします。

トランジットゲートウェイを作成する

transit gateway を作成すると、デフォルトの transit gateway ルートテーブルが作成され、それをデフォルトの関連付けルートテーブルおよびデフォルトの伝達ルートテーブルとして使用します。

コンソールを使用して transit gateway を作成するには

  1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. ナビゲーションペインで [トランジットゲートウェイ] を選択します。

  3. [トランジットゲートウェイの作成] を選択します。

  4. オプションで、[名前タグ] に transit gateway の名前を入力します。名前タグを使用すると、ゲートウェイのリストから特定のゲートウェイを識別しやすくなります。[名前タグ] を追加すると、[Name] というキーと、入力した値と同じ値のタグが作成されます。

  5. オプションで、[Description (説明)] に、transit gateway の説明を入力します。

  6. [Amazon side ASN (Amazon 側の ASN)] には、デフォルト値のままにしてデフォルトの自律システム番号 (ASN) を使用するか、または transit gateway のプライベート ASN を入力します。これは、ボーダーゲートウェイプロトコル (BGP) セッションの AWS 側の ASN になります。

    16 ビット ASN の場合、その範囲は 64512 〜 65534 です。

    32 ビット ASN の場合、その範囲は 4200000000 〜 4294967294 です。

    マルチリージョンのデプロイがある場合は、transit gateways にそれぞれ、一意の ASN を使用することをお勧めします。

  7. [DNS サポート] で、transit gateway に接続されている別のVPCのインスタンスから照会されたときに、パブリック IPv4 DNS ホスト名をプライベート IPv4 アドレスに解決するために VPC が必要な場合は、[enable (有効)] を選択します。

  8. [VPN ECMP サポート] で、VPN トンネル間で Equal Cost Multipath (ECMP) ルーティングサポートが必要な場合は [enable (有効)] を選択します。接続が同じ CIDR をアドバタイズする場合、トラフィックは複数の接続間で均等に分散されます。

    このオプションを選択した場合、アドバタイズされた BGP ASN、AS パスなどの BGP 属性、およびコミュニティを同様に設定する必要があります。

    注記

    ECMP を使用するには、動的ルーティングを使用する VPN 接続を作成する必要があります。静的ルーティングを使用する VPN 接続は、ECMP をサポートしません。

  9. [Default route table association (デフォルトルートテーブルの関連付け)]で、transit gateway アタッチメントを transit gateway のデフォルトルートテーブルに自動的に関連付けるには、[enable (有効)] を選択します。

  10. [Default route table propagation (デフォルトルートテーブルの伝播)]で、transit gateway アタッチメントを transit gateway のデフォルトルートテーブルに自動的に伝達するには、[enable (有効)] を選択します。

  11. (オプション) transit gateway をマルチキャストトラフィックのルーターとして使用するには、[Multicast Support (マルチキャストのサポート)] を選択します。

  12. [Auto accept shared attachments (共有アタッチメントを自動的に受け入れる)]で、[enable (有効)] を選択して、アカウント間のアタッチメントを自動的に受け入れます。

  13. [トランジットゲートウェイの作成] を選択します。

  14. [Create Transit Gateway request succeeded (トランジットゲートウェイの作成要求が成功しました)] というメッセージが表示されたら、[閉じる]を選択します。

AWS CLI を使用して transit gateway を作成するには

[create-transit-gateway] コマンドを使用します。

トランジットゲートウェイの表示

コンソールを使用して transit gateways を表示するには

  1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. ナビゲーションペインで [トランジットゲートウェイ] を選択します。transit gateway の詳細は、ページのゲートウェイのリストの下に表示されます。

AWS CLI を使用して transit gateways を表示するには

[describe-transit-gateways] コマンドを使用します。

トランジットゲートウェイのタグを追加または編集する

目的、所有者、環境などに応じて、タグを整理して識別しやすくするために、リソースにタグを追加します。それぞれの transit gateway に複数のタグを追加できます。タグキーは、それぞれの transit gateway ごとに一意にする必要があります。すでに transit gateway に関連付けられているキーを持つタグを追加すると、そのキーの値が更新されます。詳細については、「Amazon EC2 リソースにタグを付ける」を参照してください。

コンソールを使用して transit gateway にタグを追加する

  1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. ナビゲーションペインで [トランジットゲートウェイ] を選択します。

  3. タグを追加または編集する transit gateway を選択します。

  4. ページ下部の [タグ] タブをクリックします。

  5. [Add/Edit Tags] を選択します。

  6. [タグの作成] を選択します。

  7. タグの [キー] と [] を入力します。

  8. [保存] を選択します。

トランジットゲートウェイの変更

トランジットゲートウェイの設定オプションを変更できます。トランジットゲートウェイを変更すると、変更されたオプションは新しい Transit Gateway アタッチメントにのみ適用されます。既存の Transit Gateway アタッチメントは変更されません。

共有しているトランジットゲートウェイを変更することはできません。

transit gateway を変更するには

  1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. ナビゲーションペインで [トランジットゲートウェイ] を選択します。

  3. 変更する transit gateway を選択します。

  4. [アクション]、[変更] の順にクリックします。

  5. 必要に応じてオプションを変更し、[トランジットゲートウェイの変更] をクリックします。

AWS CLI を使用して transit gateway を変更するには

modify-transit-gateway コマンドを使用します。

トランジットゲートウェイの共有

AWS Resource Access Manager (RAM) を使用して、AWS Organizations でアカウント全体または組織全体にわたり transit gateway を共有できます。以下の手順に従って、自分の transit gateway を共有します。

組織のマスターアカウントで、リソース共有を有効にしておく必要があります。リソース共有の有効化の詳細については、AWS RAM ユーザーガイドの「AWS Organizations での共有の有効化」を参照してください。

transit gateway を共有するには

  1. [https://console.aws.amazon.com/ram/] にある AWS Resource Access Manager コンソールを開きます。

  2. [リソース共有の作成] を選択します。

  3. [Description (説明)] の [Name (名前)] に、リソース共有のわかりやすい名前を入力します。

  4. [リソースタイプの選択] で、[トランジットゲートウェイ] を選択します。transit gateway を選択します。

  5. (オプション) [プリンシパル] で、リソース共有にプリンシパルを追加します。AWS アカウント、OU、または組織ごとに、その ID を指定して [追加] を選択します。

    [Allow external accounts (外部アカウントを許可する)] で、組織の外部にある AWS アカウントとのこのリソースの共有を許可するかどうかを選択します。

  6. (オプション) [Tags (タグ)] に、各タグのキーと値のペアを入力します。これらのタグはリソース共有には適用されますが、transit gateway には適用されません。

  7. [Create resource share (リソース共有の作成)] を選択します。

リソース共有を受け入れる

ユーザーがリソース共有に追加された場合は、リソース共有に参加するための招待状を受け取ります。共有リソースにアクセスする前に、リソース共有を受け入れる必要があります。

リソース共有を受け入れるには

  1. [https://console.aws.amazon.com/ram/] にある AWS Resource Access Manager コンソールを開きます。

  2. ナビゲーションペインで、[自分と共有]、[Resource shares (リソース共有)] の順に選択します。

  3. リソース共有を選択します。

  4. [Accept resource share (リソース共有を受け入れる)] を選択します。

  5. 共有された transit gateway を表示するには、Amazon VPC コンソールで [トランジットゲートウェイ] ページを開きます。

共有アタッチメントを受け入れる

transit gateway の作成時に [Auto accept shared attachments (共有アタッチメントの自動承諾)] 機能を有効にしなかった場合は、クロスアカウント(共有)アタッチメントを手動で受け入れる必要があります。

共有アタッチメントを手動で受け入れるには

  1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. ナビゲーションペインで [トランジットゲートウェイアタッチメント] を選択します。

  3. 承認保留中の transit gateway アタッチメントを選択します。

  4. [Actions (アクション)]、[Accept (承諾)] の順に選択します。

AWS CLI を使用して、共有アタッチメントを受け入れるには

accept-transit-gateway-vpc-attachment コマンドを使用します。

トランジットゲートウェイの削除

既存のアタッチメントを含む transit gateway を削除することはできません。transit gateway を削除する前に、すべてのアタッチメントを削除する必要があります。

コンソールを使用して transit gateway を削除するには

  1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. 削除する transit gateway を選択します。

  3. [アクション]、[削除] の順にクリックし、[削除] をクリックして削除を確定します。

AWS CLI を使用して transit gateway を削除するには

[delete-transit-gateway コマンドを使用します。