例: 共有サービス VPC のアプライアンス - Amazon Virtual Private Cloud

例: 共有サービス VPC のアプライアンス

共有サービス VPC でアプライアンス (セキュリティアプライアンスなど) を設定できます。トランジットゲートウェイアタッチメント間でルーティングされるすべてのトラフィックは、まず、共有サービス VPC のアプライアンスによって検査されます。

概要

次の図は、このシナリオの設定に重要なコンポーネントを示しています。トランジットゲートウェイには、3 つの VPC アタッチメントがあります。VPC C は共有サービス VPC です。VPC A と VPC B 間のトラフィックはトランジットゲートウェイにルーティングされ、その後、最終的な宛先にルーティングされる前に、検査のために VPC C のセキュリティアプライアンスにルーティングされます。アプライアンスはステートフルアプライアンスであるため、リクエストトラフィックとレスポンストラフィックの両方が検査されます。高可用性を実現するために、VPC C の各アベイラビリティーゾーンにアプライアンスがあります。


                共有サービス VPC のアプライアンス

このシナリオでは、次のエンティティを作成します。

  • 3 つの VPC。VPC の作成については、Amazon Virtual Private Cloud ユーザーガイドの「VPC を作成する」を参照してください。

  • トランジットゲートウェイ。詳細については、「トランジットゲートウェイを作成する」を参照してください。

  • 3 つの VPC アタッチメント、各 VPC に 1 つずつ。詳細については、「VPC へのトランジットゲートウェイアタッチメントの作成」を参照してください。

    VPC アタッチメントごとに、各アベイラビリティーゾーンでサブネットを指定します。共有サービス VPC の場合、これらは、トラフィックがトランジットゲートウェイから VPC にルーティングされるサブネットです。前の例では、サブネット A と C です。

    VPC C の VPC アタッチメントの場合、アプライアンスモードのサポートを有効にして、レスポンストラフィックがソーストラフィックと同じ VPC C のアベイラビリティーゾーンにルーティングされるようにします。

    注記

    現在、Amazon VPC コンソールを使用してアプライアンスモードのサポートを有効にすることはできません。代わりに、create-Transit-Gateway-vpc-Attachment コマンドと modify transit-Gateway-vpc-Attachment コマンドを使用できます。

ステートフルアプライアンスのアプライアンスモードサポートを有効にする

デフォルトでは、VPC アタッチメント間でトラフィックをルーティングする場合、トランジットゲートウェイは、送信先に到達するまで、トラフィックを送信元のアベイラビリティーゾーンと同じアベイラビリティーゾーンに保持します。トラフィックは、アベイラビリティーゾーンに障害が発生した場合、またはそのアベイラビリティーゾーンに VPC アタッチメントに関連付けられたサブネットがない場合にのみ、アタッチメント間でアベイラビリティーゾーンを通過します。VPC アタッチメントが複数のアベイラビリティーゾーンにまたがっており、ステートフルな検査のために送信元ホストと送信先ホスト間のトラフィックを同じアプライアンスを介してルーティングする必要がある場合は、アプライアンスが配置されている VPC アタッチメントのアプライアンスモードサポートを有効にします。これにより、双方向トラフィックは対称的にルーティングされます。つまり、トラフィックフローの有効期間中、VPC アタッチメント内の同じアベイラビリティーゾーンを経由してルーティングされます。

次の図は、アプライアンスモードサポートが有効でない場合のトラフィックフローを示しています。VPC B のアベイラビリティーゾーン 2 から発信されるレスポンストラフィックは、トランジットゲートウェイによって VPC C 内の同じアベイラビリティーゾーンにルーティングされます。したがって、アベイラビリティーゾーン 2 のアプライアンスは VPC A の送信元からの元のリクエストを認識しないため、トラフィックはドロップされます。


                    アプライアンスへのレスポンストラフィックのドロップ

ルーティング

各 VPC には 1 つ以上のルートテーブルがあり、トランジットゲートウェイには 2 つのルートテーブルがあります。

VPC ルートテーブル

VPC A と VPC B

VPC A と B には、2 つのエントリを持つルートテーブルがあります。最初のエントリは、VPC のローカル IPv4 ルーティングのデフォルトエントリです。このデフォルトエントリにより、この VPC 内のリソースが相互に通信できるようになります。2 番目のエントリは、他のすべての IPv4 サブネットトラフィックをトランジットゲートウェイにルーティングします。以下は、VPC A のルートテーブルです。

送信先 ターゲット

10.0.0.0/16

ローカル

0.0.0.0/0

tgw-id

VPC C

共有サービス VPC (VPC C) には、サブネットごとに異なるルートテーブルがあります。サブネット A はトランジットゲートウェイによって使用されます (VPC アタッチメントの作成時にこのサブネットを指定します)。サブネット A のルートテーブルは、サブネット B のアプライアンスにすべてのトラフィックをルーティングします。

送信先 ターゲット

192.168.0.0/16

ローカル

0.0.0.0/0

appliance-eni-id

サブネット B (アプライアンスを含む) のルートテーブルは、トラフィックをトランジットゲートウェイにルーティングします。

送信先 ターゲット

192.168.0.0/16

ローカル

0.0.0.0/0

tgw-id

トランジットゲートウェイルートテーブル

このトランジットゲートウェイは、VPC A と VPC B に 1 つのルートテーブルを使用し、共有サービス VPC (VPC C) には 1 つのルートテーブルを使用します。

VPC A と VPC B のアタッチメントは、次のルートテーブルに関連付けられています。ルートテーブルは、すべてのトラフィックを VPC C にルーティングします。

送信先 ターゲット ルートタイプ

0.0.0.0/0

VPC C のアタッチメント ID

静的

VPC C アタッチメントは、次のルートテーブルに関連付けられています。トラフィックを VPC A および VPC B にルーティングします。

送信先 ターゲット ルートタイプ

10.0.0.0/16

VPC A のアタッチメント ID

伝播済み

10.1.0.0/16

VPC B のアタッチメント ID

伝播済み