トランジット VPC ソリューション - スケーラブルで安全なマルチVPC AWS ネットワークインフラストラクチャの構築
VPC ピアリングとトランジット VPC とトランジットゲートウェイ

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

トランジット VPC ソリューション

トランジット VPCs は、VPCs 間接続用のハブアンドスポーク設計を導入することで、VPC ピアリングとは異なる方法で VPC 間の接続を作成できます。トランジット VPC ネットワークでは、1 つの中央 VPC (ハブ VPC) は、通常は IPsec 経由で BGP を利用する VPN 接続を介して他のすべての VPC (スポーク VPC) に接続します。中央 VPC には、VPN オーバーレイを使用して受信トラフィックを宛先にルーティングするソフトウェアアプライアンスを実行する Amazon Elastic Compute Cloud (Amazon EC2) インスタンスが含まれています。トランジット VPC ピアリングには次の利点があります。

  • 推移的ルーティングはオーバーレイ VPN ネットワークを使用して有効になり、ハブアンドスポーク設計が可能になります。

  • ハブトランジット VPC の EC2 インスタンスでサードパーティーベンダーソフトウェアを使用する場合、高度なセキュリティ (レイヤー 7 ファイアウォール/侵入防止システム (IPS)/侵入検知システム (IDS) ) に関するベンダー機能を使用できます。オンプレミスで同じソフトウェアを使用している場合は、統一された運用/モニタリングエクスペリエンスの恩恵を受けます。

  • Transit VPC アーキテクチャは、一部のユースケースで必要な接続を可能にします。例えば、AWS GovCloud インスタンスと商用リージョン VPC または Transit Gateway インスタンスを Transit VPC に接続し、2 つのリージョン間の VPC 間接続を有効にすることができます。このオプションを検討するときは、セキュリティとコンプライアンスの要件を評価します。セキュリティを強化するために、このホワイトペーパーで後述する設計パターンを使用して一元的な検査モデルをデプロイできます。

仮想アプライアンスを備えたトランジット VPC を示す図

仮想アプライアンスを備えたトランジット VPC

トランジット VPC には、インスタンスサイズ/ファミリーに基づいて EC2 でサードパーティーベンダーの仮想アプライアンスを実行する場合のコストの増加、VPN 接続あたりのスループットの制限 (VPN トンネルあたり最大 1.25 Gbps)、追加の設定、管理、障害耐性のオーバーヘッド (お客様はサードパーティーベンダーの仮想アプライアンスを実行している EC2 インスタンスの HA と冗長性を管理する責任があります) など、独自の課題があります。

VPC ピアリングとトランジット VPC とトランジットゲートウェイ

表 1 — 接続比較

条件 VPC ピアリング トランジット VPC トランジットゲートウェイ PrivateLink Cloud WAN VPC Lattice

スコープ

リージョン/グローバル リージョン別 リージョン別 リージョン別 グローバル リージョン別
アーキテクチャ フルメッシュ VPN ベース hub-and-spoke 添付ファイルベース hub-and-spoke プロバイダーまたはコンシューマーモデル 添付ファイルベース、マルチリージョン アプリ間の接続

スケール

125 個のアクティブなピア/VPC 仮想ルーター/EC2 によって異なります リージョンあたり 5000 個のアタッチメント 制限なし コアネットワークあたり 5000 個のアタッチメント サービスあたり 500 VPC の関連付け

セグメンテーション

セキュリティグループ カスタマー管理 Transit Gateway ルートテーブル セグメンテーションなし セグメント サービスおよびサービスネットワークポリシー

レイテンシー

VPN 暗号化のオーバーヘッドによる追加 追加の Transit Gateway ホップ トラフィックは AWS バックボーンにとどまるため、お客様はテストする必要があります Transit Gateway と同じデータプレーンを使用する トラフィックは AWS バックボーンにとどまるため、お客様はテストする必要があります

帯域幅制限

インスタンスあたりの制限、集計制限なし サイズ/ファミリーに基づく EC2 インスタンスの帯域幅制限の対象 最大 100 Gbps (バースト)/アタッチメント アベイラビリティーゾーンあたり 10 Gbps、最大 100 Gbps まで自動的にスケーリング 最大 100 Gbps (バースト)/アタッチメント アベイラビリティーゾーンあたり 10 Gbps

可視性

VPC Flow Logs VPC フローログと CloudWatch メトリクス Transit Gateway Network Manager、VPC フローログ、 CloudWatch メトリクス CloudWatch メトリクス Network Manager、VPC フローログ、 CloudWatch メトリクス CloudWatch アクセスログ

セキュリティグループ

相互参照

サポート サポートされません サポートされません サポートされません サポートされません 該当しない
IPv6 サポート サポート 仮想アプライアンスによって異なります サポート サポート対象 サポート対象 サポート