トランジットゲートウェイ VPN アタッチメントの作成 - AWS Site-to-Site VPN

トランジットゲートウェイ VPN アタッチメントの作成

転送ゲートウェイで VPN アタッチメントを作成するには、転送ゲートウェイとカスタマーゲートウェイを指定する必要があります。この手順を実行する前に、転送ゲートウェイを作成する必要があります。Transit Gateway の作成の詳細については、Amazon VPC Transit Gatewayの「Transit Gateway」を参照してください。

コンソールを使用して転送ゲートウェイで VPN アタッチメントを作成するには

  1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. ナビゲーションペインで、[Site-to-Site VPN Connections (Site-to-Site VPN 接続)] を選択します。

  3. [Create VPN connection] (VPN 接続の作成) を選択します。

  4. (オプション) [名前タグ] には、Site-to-Site VPN 接続の名前を入力します。これにより、Name というキーと指定した値を含むタグが作成されます。

  5. [Target gateway type] (ターゲットゲートウェイタイプ) で、[Transit gateway] (転送ゲートウェイ) を選択し、アタッチメントを作成する転送ゲートウェイを選択します。

  6. [カスタマーゲートウェイ] で、以下のいずれかを実行します。

    • 既存のカスタマーゲートウェイを使用するには、[既存] を選択してから、使用するゲートウェイを選択します。

      カスタマーゲートウェイが NAT トラバーサル (NAT-T) が有効になっているネットワークアドレス変換 (NAT) の内側にある場合は、NAT デバイスのパブリック IP アドレスを使用し、UDP ポート 4500 をブロックしないようにファイアウォールルールを調整します。

    • カスタマーゲートウェイを作成するには、[New (新規)] を選択します。

      [IP Address (IP アドレス)] に、静的パブリック IP アドレスを入力します。[Certificate ARN (証明書 ARN)] で、プライベート証明書の ARN を選択します (証明書ベースの認証を使用している場合)。[BGP ASN] に、カスタマーゲートウェイのボーダーゲートウェイプロトコル (BGP) 自律システム番号 (ASN) を入力します。詳細については、Site-to-Site VPN 接続のカスタマーゲートウェイオプション を参照してください。

  7. [ルーティング] オプションで、[動的] と [静的] のどちらを使用するかを選択します。

  8. [Tunnel Inside IP Version] (トンネル内部 IP バージョン) で、VPN トンネルが IPv4 トラフィックをサポートするか、IPv6 トラフィックをサポートするかを指定します。IPv6 トラフィックは、Transit Gateway の VPN 接続でのみサポートされます。

  9. (オプション) [Enable acceleration] (アクセラレーションの有効化) で、チェックボックスをオンにしてアクセラレーションを有効にします。詳細については、「Site-to-Site VPN 接続の高速化」を参照してください。

    アクセラレーションを有効にすると、VPN 接続で使用されるアクセラレーターが 2 つ作成されます。追加の変更が適用されます。

  10. (オプション) [Local IPv4 network CIDR] (ローカル IPv4 ネットワーク CIDR) で、VPN トンネルを介した通信を許可するカスタマーゲートウェイ (オンプレミス) 側の IPv4 CIDR 範囲を指定します。デフォルト: 0.0.0.0/0

    [リモート IPv4 ネットワーク CIDR] で、VPN トンネルを介した通信を許可する AWS 側の IPv4 CIDR 範囲を指定します。デフォルト: 0.0.0.0/0

    [トンネル内部 IP バージョン] で [IPv6] を指定した場合は、カスタマーゲートウェイ側と AWS 側で、VPN トンネルを介した通信を許可する IPv6 CIDR 範囲を指定します。両方の範囲のデフォルトは ::/0 です。

  11. (オプション) [トンネルオプション] では、トンネルごとに次の情報を指定できます。

    • トンネル内部 IPv4 アドレスの 169.254.0.0/16 範囲からサイズ /30 の IPv4 CIDR ブロック。

    • [Tunnel Inside IP Version (トンネル内部 IP バージョン)] で [IPv6] を指定した場合は、トンネル内部 IPv6 アドレスの fd00::/8 範囲から /126 の IPv6 CIDR ブロック。

    • IKE 事前共有キー (PSK)。IKEv1 または IKEv2 バージョンがサポートされています。

    • 高度なトンネル情報。次の情報が含まれます。

      • IKE ネゴシエーションのフェーズ 1 および 2 の暗号化アルゴリズム

      • IKE ネゴシエーションのフェーズ 1 および 2 の整合性アルゴリズム

      • IKE ネゴシエーションのフェーズ 1 および 2 の Diffie-Hellman グループ

      • IKE バージョン

      • フェーズ 1 および 2 のライフタイム

      • キー再生成のマージンタイム

      • キー再生成ファズ

      • 再生ウィンドウのサイズ

      • デッドピア検出の間隔

      • デッドピア検出タイムアウトアクション

      • 開始アクション

    これらのパラメータの詳細については、Site-to-Site VPN 接続のトンネルオプションを参照してください。

  12. [Create VPN Connection (VPN 接続の作成)] を選択します。

AWS CLIを使用して VPN アタッチメントを作成するには

create-vpn-connection コマンドを使用して、--transit-gateway-id オプションのトランジットゲートウェイ ID を指定します。