Transit Gateway - Amazon VPC

Transit Gateway

Transit Gateway を使用すると、同じリージョンに VPC と VPN 接続をアタッチして、それらの間でトラフィックをルーティングできます。Transit Gateway はAWSアカウント間で機能し、AWS RAMを使用して Transit Gateway を他のアカウントと共有できます。他のAWSアカウントと Transit Gateway を共有した後、アカウントの所有者は Transit Gateway にそれらの VPC をアタッチすることができます。どちらのアカウントのユーザーも、アタッチメントをいつでも削除できます。

Transit Gateway でマルチキャストを有効にしてから、ドメインに関連付ける VPC アタッチメントを介してマルチキャストソースからマルチキャストグループメンバーにマルチキャストトラフィックを送信できるようにする Transit Gateway マルチキャストドメインを作成できます。

各 VPC または VPN アタッチメントは、単一のルートテーブルに関連付けられています。そのルートテーブルは、そのリソースアタッチメントから来るトラフィックのネクストホップを決定します。Transit Gateway 内のルートテーブルは、IPv4 または IPv6 の両方の CIDR とターゲットを許可します。ターゲットは VPC と VPN 接続です。VPC をアタッチするか、Transit Gateway に VPN 接続を作成すると、その接続は Transit Gateway のデフォルトルートテーブルに関連付けられます。

Transit Gateway 内に追加のルートテーブルを作成し、VPC または VPN の関連付けをこれらのルートテーブルに変更できます。これにより、ネットワークをセグメント化することができます。たとえば、開発 VPC を 1 つのルートテーブルに関連付け、本番 VPC を別のルートテーブルに関連付けることができます。これにより、Transit Gateway 内に、従来のネットワークにおける仮想ルーティングおよび転送 (VRF) と同様の分離された複数のネットワークを作成できるようになります。

Transit Gateway では、アタッチされた VPC と VPN 接続間で動的および静的なルーティングをサポートしています。各アタッチメントのルートの伝播は有効または無効にできます。Transit Gateway ピアリングアタッチメントは、静的ルーティングのみをサポートします。

オプションで、1 つ以上の IPv4 または IPv6 CIDR ブロックを Transit Gateway に関連付けることができます。Transit Gateway Connect アタッチメント用の Transit Gateway Connect ピアを確立するときに、CIDR ブロックから IP アドレスを指定します。任意のパブリックまたはプライベート IP アドレス範囲 (169.254.0.0/16 範囲内のアドレス、ならびに VPC アタッチメントおよびオンプレミスネットワークのアドレスと重複する範囲を除く) を関連付けることができます。IPv4 CIDR ブロックと IPv6 CIDR ブロックの詳細については、「Amazon VPC ユーザーガイド」の「VPC とサブネットの概要」を参照してください。

Transit Gateway を作成する

Transit Gateway を作成すると、デフォルトの Transit Gateway ルートテーブルが作成され、それをデフォルトの関連付けルートテーブルおよびデフォルトの伝達ルートテーブルとして使用します。デフォルトの Transit Gateway ルートテーブルを作成しない場合は、後で作成できます。ルートおよびルートテーブルについての詳細は、「ルーティング」を参照してください。

コンソールを使用して Transit Gateway を作成するには

  1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. ナビゲーションペインで [Transit Gateway] を選択します。

  3. [Transit Gateway の作成] を選択します。

  4. オプションで、[名前タグ] に Transit Gateway の名前を入力します。名前タグを使用すると、ゲートウェイのリストから特定のゲートウェイを識別しやすくなります。[名前タグ] を追加すると、[名前] というキーと、入力した値と同じ値のタグが作成されます。

  5. オプションで、[説明] に、Transit Gateway の説明を入力します。

  6. [アマゾン 側の ASN] は、デフォルト値のままにしてデフォルトの自律システム番号 (ASN) を使用するか、または Transit Gateway のプライベート ASN を入力します。これは、ボーダーゲートウェイプロトコル (BGP) セッションのAWS側の ASN になります。

    16 ビット ASN の場合、その範囲は 64512 〜 65534 です。

    32 ビット ASN の場合、その範囲は 4200000000 〜 4294967294 です。

    マルチリージョンのデプロイがある場合は、Transit Gateway にそれぞれ、一意の ASN を使用することをお勧めします。

  7. [DNS サポート] で、Transit Gateway にアタッチされている別のVPCのインスタンスから照会されたときに、パブリック IPv4 DNS ホスト名をプライベート IPv4 アドレスに解決するために VPC が必要な場合は、[有効] を選択します。

  8. [VPN ECMP サポート] で、VPN トンネル間で 等コストマルチパス(ECMP) ルーティングサポートが必要な場合は、このオプションを選択します。接続が同じ CIDR をアドバタイズする場合、トラフィックは複数の接続間で均等に分散されます。

    このオプションを選択した場合、アドバタイズされた BGP ASN、AS パスなどの BGP 属性、およびコミュニティを同様に設定する必要があります。

    注記

    ECMP を使用するには、動的ルーティングを使用する VPN 接続を作成する必要があります。静的ルーティングを使用する VPN 接続は、ECMP をサポートしません。

  9. [デフォルトルートテーブルの関連付け]で、Transit Gateway アタッチメントを Transit Gateway のデフォルトルートテーブルに自動的に関連付けるには、このオプションを選択します。

  10. [デフォルトルートテーブルの伝播] で、Transit Gateway アタッチメントを Transit Gateway のデフォルトルートテーブルに自動的に伝達するには、このオプションを選択します。

  11. (オプション) トランジットゲートウェイをマルチキャストトラフィックのルーターとして使用するには、[マルチキャストのサポート] を選択します。

  12. [共有アタッチメントを自動的に受け入れる]で、このオプションを選択して、アカウント間のアタッチメントを自動的に受け入れます。

  13. (オプション) [Transit Gateway CIDR クロック] で、[追加 CIDR] を選択し、Transit Gateway の IPv4 または IPv6 CIDR ブロックを 1 つ以上指定します。

    IPv4 の場合は /24 CIDR ブロック以上のサイズ (例: /23 または /22)、IPv6 の場合は /64 CIDR ブロック以上のサイズ (例: /63 または /62) を指定できます。任意のパブリックまたはプライベート IP アドレス範囲 (169.254.0.0/16 範囲内のアドレス、ならびに VPC アタッチメントおよびオンプレミスネットワークのアドレスと重複する範囲を除く) を関連付けることができます。

  14. [Transit Gateway の作成] を選択します。

AWS CLI CLI を使用してトランジットゲートウェイを作成するには

[create-transit-gateway] コマンドを使用します。

Transit Gateway の表示

コンソールを使用して Transit Gateway を表示するには

  1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. ナビゲーションペインで [トランジットゲートウェイ] を選択します。Transit Gateway の詳細は、ページのゲートウェイのリストの下に表示されます。

AWS CLI を使用して Transit Gateway を表示するには

[describe-transit-gateways] コマンドを使用します。

Transit Gateway のタグを追加または編集する

目的、所有者、環境などに応じて、タグを整理して識別しやすくするために、リソースにタグを追加します。各 Transit Gateway に対して複数のタグを追加できます。タグキーは、各 Transit Gateway で一意である必要があります。すでに Transit Gateway に関連付けられているキーを持つタグを追加すると、そのキーの値が更新されます。詳細については、「Amazon EC2 リソースにタグを付ける」を参照してください。

コンソールを使用して Transit Gateway にタグを追加する

  1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. ナビゲーションペインで [トランジットゲートウェイ] を選択します。

  3. タグを追加または編集する Transit Gateway を選択します。

  4. ページ下部の [タグ] タブをクリックします。

  5. [Manage tags] (タグの管理) を選択します。

  6. 新しいタグを追加を選択します。

  7. タグの [キー] と [] を入力します。

  8. [Save] を選択します。

Transit Gateway の変更

Transit Gateway の設定オプションを変更できます。Transit Gateway を変更すると、変更されたオプションは新しい Transit Gateway アタッチメントにのみ適用されます。既存の Transit Gateway アタッチメントは変更されません。

共有されている Transit Gateway を変更することはできません。

現在 Transit Gateway Connect ピアについて IP アドレスのいずれかが使用されている場合は、トランジットゲートウェイの CIDR ブロックを削除できません。

Transit Gateway を変更するには

  1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. ナビゲーションペインで [Transit Gateway] を選択します。

  3. 変更するTransit Gatewayを選択します。

  4. アクションTransit Gateway の変更を選択します。

  5. 必要に応じてオプションを変更し、[トランジットゲートウェイの変更] をクリックします。

AWS CLI を使用して Transit Gateway を変更するには

modify-transit-gateway コマンドを使用します。

Transit Gateway の共有

AWS RAMを使用して、アカウント全体、またはAWS Organizationsの組織全体で Transit Gateway を共有できます。以下の手順に従って、所有する Transit Gateway を共有します。

組織の管理アカウントで、リソース共有を有効にしておく必要があります。リソース共有の有効化の詳細については、AWS RAMユーザーガイドOrganizations AWSでの共有の有効化を参照してください。

Transit Gateway を共有するには

  1. AWS RAM コンソール (https://console.aws.amazon.com/ram/) を開きます。

  2. [リソース共有の作成] を選択します。

  3. [名前] に、リソース共有のわかりやすい名前を入力します。

  4. [リソースタイプの選択] で、[トランジットゲートウェイ] を選択します。Transit Gateway を選択します。

  5. (オプション) [プリンシパル] で、リソース共有にプリンシパルを追加します。AWSアカウント、OU、または組織ごとに、その ID を指定して [追加]を選択します。

    外部アカウントを許可するで、組織の外部にあるAWSアカウントとのこのリソースの共有を許可するかどうかを選択します。

  6. (オプション) [タグ] に、各タグのキーと値のペアを入力します。これらのタグはリソース共有には適用されますが、Transit Gateway には適用されません。

  7. [リソース共有の作成] を選択します。

リソース共有を受け入れる

ユーザーがリソース共有に追加された場合は、リソース共有に参加するための招待状を受け取ります。共有リソースにアクセスする前に、リソース共有を受け入れる必要があります。

リソース共有を受け入れるには

  1. AWS RAM コンソール (https://console.aws.amazon.com/ram/) を開きます。

  2. ナビゲーションペインで、[自分と共有]、[リソース共有] の順に選択します。

  3. リソース共有を選択します。

  4. [リソース共有を受け入れる] を選択します。

  5. 共有された Transit Gateway を表示するには、Amazon VPC コンソールで [Transit Gateway] ページを開きます。

共有アタッチメントを受け入れる

トランジットゲートウェイの作成時に [共有アタッチメントの自動承諾] 機能を有効にしなかった場合は、クロスアカウント (共有) アタッチメントを手動で受け入れる必要があります。

共有アタッチメントを手動で受け入れるには

  1. アマゾン VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. ナビゲーションペインで [Transit Gateway アタッチメント] を選択します。

  3. 承認保留中の Transit Gateway アタッチメントを選択します。

  4. アクションTransit Gateway アタッチメントを受け入れるを選択します。

AWS CLI を使用して、共有アタッチメントを受け入れるには

[accept-transit-gateway-vpc-attachment] コマンドを使用します。

Transit Gateway の削除

既存のアタッチメントを含む Transit Gateway を削除することはできません。Transit Gateway を削除する前に、すべてのアタッチメントを削除する必要があります。

コンソールを使用して Transit Gateway を削除するには

  1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. 削除する Transit Gateway を選択します。

  3. アクション,Transit Gateway の削除を選択します。「delete」と入力して、[Delete (削除)] を選択して削除を確認します。

AWS CLI CLI を使用してトランジットゲートウェイを削除するには

[delete-transit-gateway] コマンドを使用します。