例: インターネットへの一元的な発信ルーティング - Amazon VPC

例: インターネットへの一元的な発信ルーティング

インターネットゲートウェイがない VPC からのアウトバウンドインターネットトラフィックを、NAT ゲートウェイとインターネットゲートウェイを含む VPC にルーティングするように、トランジットゲートウェイを設定できます。

Overview

次の図は、このシナリオの設定に重要なコンポーネントを示しています。VPC A と VPC B にインターネットアクセス (アウトバウンドのみ) が必要なアプリケーションがあります。NAT ゲートウェイとインターネットゲートウェイを使用して VPC C を設定します。すべての VPC をトランジットゲートウェイに接続します。VPC A と VPC B からのアウトバウンドインターネットトラフィックが VPC C へのトランジットゲートウェイを通過するようにルーティングを設定します。VPC C の NAT ゲートウェイは、トラフィックをインターネットゲートウェイにルーティングします。

Resources

このシナリオでは、次のリソースを作成します。

  • IP アドレス範囲が重複しない 3 つの VPC。詳細については、Amazon VPC ユーザーガイドの「VPC を作成する」を参照してください。

  • VPC A と VPC B には、それぞれ EC2 インスタンスを持つプライベートサブネットがあります。

  • VPC C には次のものがあります。

  • 1 つのトランジットゲートウェイ。詳細については、「Transit Gateway を作成する」を参照してください。

  • トランジットゲートウェイ上の 3 つの VPC アタッチメント。各 VPC の CIDR ブロックがトランジットゲートウェイルートテーブルに伝播されます。詳細については、「VPC への Transit Gateway アタッチメントの作成」を参照してください。

Routing

各 VPC には複数のルートテーブルがあり、トランジットゲートウェイには 1 つのルートテーブルがあります。

VPC A のルートテーブル

ルートテーブルの例を次に示します。最初のエントリにより、VPC 内のインスタンスが相互に通信できるようになります。2 番目のエントリは、他のすべての IPv4 サブネットトラフィックをトランジットゲートウェイにルーティングします。

送信先 ターゲット

VPC A CIDR

ローカル

0.0.0.0/0

transit-gateway-id

VPC B のルートテーブル

ルートテーブルの例を次に示します。最初のエントリにより、VPC 内のインスタンスが相互に通信できるようになります。2 番目のエントリは、他のすべての IPv4 サブネットトラフィックをトランジットゲートウェイにルーティングします。

送信先 ターゲット

VPC B CIDR

ローカル

0.0.0.0/0

transit-gateway-id

VPC C のルートテーブル

インターネットゲートウェイにルートを追加することにより、NAT ゲートウェイを使用して、サブネットをパブリックサブネットとして構成します。もう一方のサブネットはプライベートサブネットのままにします。

パブリックサブネットのルートテーブルの例を次に示します。最初のエントリにより、VPC 内のインスタンスが相互に通信できるようになります。2 番目と 3 番目のエントリは、VPC A と VPC B のトラフィックをトランジットゲートウェイにルーティングします。最後のエントリは、他のすべての IPv4 サブネットトラフィックをインターネットゲートウェイにルーティングします。

送信先 ターゲット
VPC C CIDR ローカル
VPC A CIDR transit-gateway-id
VPC B CIDR transit-gateway-id
0.0.0.0/0 internet-gateway-id

プライベートサブネットのルートテーブルの例を次に示します。最初のエントリにより、VPC 内のインスタンスが相互に通信できるようになります。2 番目のエントリは、他のすべての IPv4 サブネットトラフィックを NAT ゲートウェイにルーティングします。

送信先 ターゲット
VPC C CIDR ローカル
0.0.0.0/0 nat-gateway-id

転送ゲートウェイルートテーブル

トランジットゲートウェイのルートテーブルの例を次に示します。各 VPC の CIDR ブロックがトランジットゲートウェイルートテーブルに伝播されます。静的ルートは、アウトバウンドインターネットトラフィックを VPC C に送信します。オプションとして、VPC CIDR ごとにブラックホールルートを追加することで、VPC 間の通信を防止することもできます。

CIDR Attachment ルートタイプ

VPC A CIDR

VPC A のアタッチメント

伝播済み

VPC B CIDR

VPC B のアタッチメント

伝播済み

VPC C CIDR

VPC C のアタッチメント

伝播済み

0.0.0.0/0

VPC C のアタッチメント

static