VPC への Transit Gateway アタッチメント - Amazon Virtual Private Cloud

VPC への Transit Gateway アタッチメント

Transit Gateway に VPC をアタッチするときは、トラフィックをルーティングするために Transit Gateway によって使用される各アベイラビリティーゾーンから 1 つのサブネットを指定する必要があります。1 つのアベイラビリティーゾーンから 1 つのサブネットを指定すると、そのアベイラビリティーゾーン内のすべてのサブネットのリソースにトラフィックが到達できるようになります。

Limits

  • VPC を Transit Gateway にアタッチしても、Transit Gateway のアタッチメントが存在しないアベイラビリティーゾーンのリソースは、Transit Gateway に到達できません。Transit Gateway へのルートがサブネットルートテーブルにある場合、トラフィックが Transit Gateway に転送されるのは、Transit Gateway のアタッチメントが同じアベイラビリティーゾーンのサブネットにある場合のみです。

  • Transit Gateway にアタッチされている VPC 内のリソースは、同じ Transit Gateway にもアタッチされている別の VPC のセキュリティグループにはアクセスできません。

  • Transit Gateway は、アマゾン Route 53 でプライベートホストゾーンを使用してセットアップされた、アタッチされた VPC のカスタム DNS 名に対する DNS 解決をサポートしていません。Transit Gateway にアタッチされたすべての VPC のプライベートホストゾーンの名前解決を設定するには、「Amazon Route 53 および AWS Transit Gatewayを使用したハイブリッドクラウドの一元化 DNS 管理」を参照してください。

  • Transit Gateway は、同じ CIDR を持つ VPC 間のルーティングをサポートしていません。VPC を Transit Gateway にアタッチし、その CIDR が Transit Gateway にすでにアタッチされている別の VPC の CIDR と同じ場合、新しくアタッチされた VPC のルートは Transit Gateway ルートテーブルに伝達されません。

  • ローカルゾーンに存在する VPC サブネットのアタッチメントを作成することはできません。

VPC アタッチメントのライフサイクル

VPC アタッチメントは、リクエストが開始された時点から、さまざまな段階を経ることになります。それぞれのステージで実行可能なアクションがあり、そのライフサイクルの最後で、VPC アタッチメントは Amazon Virtual Private Cloud Consoleと API またはコマンドライン出力に一定期間表示されます。

次の図は、単一のアカウント設定、または [共有アタッチメントを自動承諾] がオンになっているクロスアカウント設定で、アタッチメントが経る可能性のある状態を示しています。


                     VPC アタッチメントのライフサイクル
  • 保留中 : VPC アタッチメントのリクエストが開始され、プロビジョニングプロセス中です。この段階では、アタッチメントは失敗するか、または available になる場合があります。

  • 失敗 : VPC アタッチメントのリクエストが失敗する可能性があります。この段階では、VPC アタッチメントは failed になります。

  • 失敗した : VPC アタッチメントのリクエストが失敗しました。この状態では、削除できません。失敗した VPC アタッチメントは 2 時間表示されたままになり、その後に表示されなくなります。

  • 可用 : VPC アタッチメントは使用可能で、トラフィックは VPC と Transit Gateway 間でフローできます。この段階では、アタッチメントは modifying または deleting になる場合があります。

  • 削除中 : 削除中の VPC アタッチメント。この段階では、アタッチメントは deleted になる場合があります。

  • 削除した : available VPC アタッチメントが削除されました。この状態では、VPC アタッチメントは変更できません。VPC アタッチメントは 2 時間表示されたままになり、その後に表示されなくなります。

  • 変更中 : VPC アタッチメントのプロパティを変更するリクエストが作成されました。この段階では、アタッチメントは available または rolling back になる場合があります。

  • ロールバック : VPC アタッチメントの変更リクエストを完了できず、システムによって行われた変更がすべて元に戻されようとしています。この段階では、アタッチメントは available になる場合があります。

次の図は、[共有アタッチメントを自動承諾] がオフになっているクロスアカウント設定で、アタッチメントが経る可能性のある状態を示しています。


                    [共有アタッチメントを自動承諾] がオフになっているクロスアカウント VPC アタッチメントのライフサイクル
  • 保留中-承諾: VPC アタッチメントのリクエストは承諾を待っています。この段階では、アタッチメントは pendingrejecting、または deleting になる場合があります。

  • 拒否中: 拒否処理中の VPC アタッチメント。この段階では、アタッチメントは rejected になる場合があります。

  • 拒否中 : pending acceptance VPC アタッチメントが拒否されました。この状態では、VPC アタッチメントは変更できません。VPC アタッチメントは 2 時間表示されたままになり、その後に表示されなくなります。

  • 保留中 : VPC アタッチメントが承諾され、プロビジョニングプロセス中です。この段階では、アタッチメントは失敗するか、または available になる場合があります。

  • 失敗 : VPC アタッチメントのリクエストが失敗する可能性があります。この段階では、VPC アタッチメントは failed になります。

  • 失敗した : VPC アタッチメントのリクエストが失敗しました。この状態では、削除できません。失敗した VPC アタッチメントは 2 時間表示されたままになり、その後に表示されなくなります。

  • 可用 : VPC アタッチメントは使用可能で、トラフィックは VPC と Transit Gateway 間でフローできます。この段階では、アタッチメントは modifying または deleting になる場合があります。

  • 削除中 : 削除中の VPC アタッチメント。この段階では、アタッチメントは deleted になる場合があります。

  • 削除した : available または pending acceptance VPC アタッチメントが削除されました。この状態では、VPC アタッチメントは変更できません。VPC アタッチメントは 2 時間表示されたままになり、その後に表示されなくなります。

  • 変更中: VPC アタッチメントのプロパティを変更するリクエストが作成されました。この段階では、アタッチメントは available または rolling back になる場合があります。

  • ロールバック : VPC アタッチメントの変更リクエストを完了できず、システムによって行われた変更がすべて元に戻されようとしています。この段階では、アタッチメントは available になる場合があります。

VPC への Transit Gateway アタッチメントの作成

コンソールを使用して VPC アタッチメントを作成するには

  1. アマゾン VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. ナビゲーションペインで [Transit Gateway アタッチメント] を選択します。

  3. [Transit Gateway アタッチメントの作成] を選択します。

  4. オプションで、[名前タグ] に Transit Gateway アタッチメントの名前を入力します。

  5. [Transit Gateway ID] で、アタッチメントの Transit Gateway を選択します。所有している Transit Gateway、または自分と共有された Transit Gateway を選択できます。

  6. [アタッチメントタイプ] で、[VPC] を選択します。

  7. [DNS サポート] と [IPv6 サポート] を有効にするかどうかを選択します。

  8. [ VPC ID] で、Transit Gateway にアタッチする VPC を選択します。

    この VPC には少なくとも 1 つのサブネットが関連付けられている必要があります。

  9. [サブネット ID] で、トラフィックをルーティングするために Transit Gateway が使用するアベイラビリティーゾーンごとに 1 つのサブネットを選択します。少なくとも 1 つのサブネットを選択する必要があります。アベイラビリティーゾーンごとに 1 つだけサブネットを選択できます。

  10. [Transit Gateway アタッチメントの作成] を選択します。

AWS CLI を使用して VPC アタッチメントを作成するには

[create-transit-gateway-vpc-attachment] コマンドを使用します。

VPC アタッチメントを変更する

コンソールを使用して VPC アタッチメントを変更するには

  1. アマゾン VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. ナビゲーションペインで [Transit Gateway アタッチメント] を選択します。

  3. VPC アタッチメントを選択後、アクション,Transit Gateway のアタッチメントの変更

  4. DNS サポートを有効にするには、[DNS サポート] を選択します。

  5. サブネットをアタッチメントに追加するには、サブネットの横にあるボックスをオンにします。

  6. Transit Gateway のアタッチメントの変更を選択します。

AWS CLI を使用して VPC アタッチメントを変更するには

[modify-transit-gateway-vpc-attachment] コマンドを使用します。

VPC アタッチメントタグを変更する

コンソールを使用して VPC アタッチメントタグを変更するには

  1. アマゾン VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. ナビゲーションペインで [Transit Gateway アタッチメント] を選択します。

  3. VPC アタッチメントを選択後、[アクション]、[タグの管理] の順に選択します。

  4. [タグの追加] [新しいタグの追加] を選択して、以下を実行します。

    • [キー] にはキー名を入力します。

    • [] にキー値を入力します。

  5. [Remove a tag (タグの削除)] タグの横にある [削除] を選択します。

  6. [Save] を選択します。

VPC アタッチメントの表示

コンソールを使用して VPC アタッチメントを表示するには

  1. アマゾン VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. ナビゲーションペインで [Transit Gateway アタッチメント] を選択します。

  3. [リソースタイプ]列で、VPCを探します。これらは VPC アタッチメントです。

  4. 詳細を表示するには、アタッチメントを選択します。

AWS CLI を使用して VPC アタッチメントを表示するには

[describe-transit-gateway-vpc-attachments] コマンドを使用します。

VPC アタッチメントの削除

コンソールを使用して VPC アタッチメントを削除するには

  1. アマゾン VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. ナビゲーションペインで [Transit Gateway アタッチメント] を選択します。

  3. VPC アタッチメントを選択します。

  4. アクションTransit Gateway のアタッチメントの削除を選択します。

  5. 確認を求めるメッセージが表示されたら、「delete」と入力し、[削除] を選択します。

AWS CLI を使用して VPC アタッチメントを削除するには

[delete-transit-gateway-vpc-attachment] コマンドを使用します。

VPC アタッチメントの作成のトラブルシューティング

次のトピックは、VPC アタッチメントの作成時に発生する可能性のある問題のトラブルシューティングに役立ちます。

Problem

VPC アタッチメントが失敗しました。

Cause

原因は、次のいずれかである可能性があります。

  1. VPC アタッチメントを作成しているユーザーは、サービスにリンクされたロールを作成するための適切なアクセス権限を持っていません。

  2. IAM リクエストが多すぎるため、スロットリングの問題が発生しています。例えば、AWS CloudFormationを使用してアクセス許可とロールを作成している場合などです。

  3. サービスにリンクされたロールがアカウントにあり、サービスにリンクされたロールが変更されました。

  4. Transit Gateway は available 状態にありません。

Solution

原因に応じて、次をお試しください。

  1. サービスにリンクされたロールを作成するための適切なアクセス権限がユーザーに付与されていることを確認します。詳細については、IAM ユーザーガイド の「サービスにリンクされたロールのアクセス許可」を参照してください。ユーザーにアクセス権限が付与されたら、VPC アタッチメントを作成します。

  2. コンソールまたは API を通じて VPC アタッチメントを手動で作成します。詳細については、「VPC への Transit Gateway アタッチメントの作成」を参照してください。

  3. サービスにリンクされたロールに正しいアクセス権限があることを確認します。詳細については、「トランジットゲートウェイサービスにリンクされたロール」を参照してください。

  4. Transit Gateway が available 状態であることを確認します。詳細については、「Transit Gateway の表示」を参照してください。