💨

【初心者向け】AWS Transit Gateway 入門!完全ガイド

2024/06/03に公開

AWS Transit Gateway

☘️ はじめに

本ページは、AWS に関する個人の勉強および勉強会で使用することを目的に、AWS ドキュメントなどを参照し作成しておりますが、記載の誤り等が含まれる場合がございます。

最新の情報については、AWS 公式ドキュメントをご参照ください。

👀 Contents

AWS Transit Gateway とは

クラウドネットワークを管理するための重要なサービスの一つです。企業が複数の VPC(Virtual Private Cloud)やオンプレミスのネットワークを統合し、効率的かつセキュアな通信を確立するのに役立ちます。

【AWS Black Belt Online Seminar】AWS Transit Gateway(YouTube)(0:55:33)

blackbelt-transitgw

AWS Transit Gateway サービス概要

AWS Transit Gateway ドキュメント

AWS Transit Gateway よくある質問

AWS Transit Gateway の料金

メリット

AWS Transit Gateway は、クラウドルーターとして機能することで、大規模な
ネットワークの設計と実装を支援します。ネットワークが拡大しても、増分接続
の管理が複雑であることが原因で速度が低下する可能性があります。
AWS Transit Gateway は、中央ハブを介して VPC とオンプレミスネットワーク
を接続します。

https://aws.amazon.com/jp/transit-gateway/?whats-new-cards.sort-by=item.additionalFields.postDateTime&whats-new-cards.sort-order=desc

次のような集約が可能になります。集約以外にも、Transit Gateway を介してそれぞれが通信できようになるメリットもあります。

  • VPC ピアリングを集約できる
    merit-vpc-peering

  • VPN 接続を集約できる
    merit-site2site-vpn

  • Direct Connect Gateway との接続を集約できる
    merit-directconnect

Transit Gateway の構造

Transit Gateway の概念

Transit Gateway は主に次の要素から構成されています。

transitgateway-concepts

  • アタッチメント
    • Transit Gateway と接続する先
      • VPC/Direct Connect Gateway/Site-to-Site VPN
    • サブネットに紐づけて、ENI が割り当てられる
  • Transit Gateway ルートテーブル
    • 紐づけたネットワークのルートを管理する
  • アソシエーション
    • アタッチメントと Transit Gateway ルートテーブルを関連付ける
  • プロパゲーション
    • Transit Gateway ルートテーブルにルートを動的伝達する

Transit Gateway のユースケース例

ユースケース例では次のようなものが記載されています。

  • 集中型ルーター
    • transit-gateway-three-vpcs
  • 分離された VPC
    • transit-gateway-isolated
  • 共有サービスによる分離された VPC
    • transit-gateway-isolated_shared
  • ピア接続
    • transit-gateway-peering
  • 一元的な発信ルーティング
    • tgw-centralized-nat-igw
  • アプライアンス VPC
    • transit-gateway-appliance

ハンズオン

TransitGateway ハンズオンがあります。
実際に操作をしてみると理解が深まると思います。

ハンズオンでは次のような構成を構築します。

Chapter1_1.png

ベストプラクティス

Transit Gateway 設計のベストプラクティス

各 Transit Gateway VPC アタッチメントに個別のサブネットを使用します。
各サブネットに対して、小さな CIDR (/28 など) を使用して、EC2 リソースの
アドレスが増えるようにします。

アタッチメントをサブネットに作成すると ENI が作成されます。同じサブネット内に EC2 リソースが存在するとアタッチメントの ENI の通信と、サブネット内の EC2 リソースの通信が意図しないものにならないよう専用のサブネットに配置するのが良さそうです。

ネットワーク ACL を 1 つ作成し、Transit Gateway に関連付けられたすべての
サブネットに関連付けます。ネットワーク ACL は、インバウンド方向とアウトバウンド
方向の両方で開いたままにします。

アタッチメントと EC2 リソースは通信が必要なので、ネットワーク ACL で通信先の CIDR
のみ許可していると Transit Gateway 経由で疎通が行えないようになります。

構成のサンプル

ハンズオンの構成よりもベストプラクティスにもあるように、Transit Gateway のアタッチメントに個別のサブネットを作成したサンプル構成です。

transitgateway-sample

📖 まとめ

transitgateway-overview

GitHubで編集を提案

Discussion