こんにちは!イーゴリです。
Transit GatewayとDirect Connect Gatewayを使ってオンプレミス と AWS 間を接続する方法をご紹介したいと思います。
- 構成図
- Direct Connect Gatewayの作成
- Transit VIFの作業
- Transit Gatewayの作成
- Direct Connect GatewayとTransit Gatewayの関連付け
- Transit Gateway Attachment用のサブネットの用意
- Transit Gateway Attachment用の作成 (VPC側)
- Transit Gateway Route Tableの作成
- Transit GatewayのルートテーブルとTransit Gateway Attachmentの関連付け
- サブネットのルート変更
構成図
Direct Connect Gatewayの作成
[Direct Connect ゲートウェイの設定]の画面で、下記の設定を行った後、[Direct Connect ゲートウェイを作成する]をクリックします。
- 名前:<適切な名前>(私の場合、「prod-dxgw」)
- Amazon 側の ASN:私の場合、「64512」を入力します。
Transit VIFの作業
Transit VIFの用意
プライベート仮想インターフェイス(Private VIF)だとDirect Connect GatewayとTransit Gatewayの併用構成をすることはできないため、事前にトランジット仮想インターフェイス(Transit VIF)を用意する必要がありますので、選んだAWS Direct Connectを提供しているデリバリーパートナーにお問い合わせください。
Transit VIFの承諾
デリバリーパートナー側でトランジット仮想インターフェイス(Transit VIF)を用意するので、AWSコンソール上([Direct Connect]>[仮想インターフェイス])で、用意された対象の仮想インターフェイスをクリックします。
「仮想インターフェイスのタイプ」が「transit」であることを確認し、[承諾する]をクリックします。
[仮想インターフェイスを承諾する]の画面で、Transit VIFと関連付けたいDirect Connect Gateway を選択して、 仮想インターフェイスを[承諾する]をクリックします。
「状態」が「Available」になっていることと「BGPステータス」が「up」になっていることを確認します。
下記の①②③が想定通りになったか、確認します。
- Transit VIFの状態が「pending」から「down」に変更されて、最終的に「Available」となっている
- BGPのステータスが「Available」となっている
- 「Amazon側のASN」は承諾する前の状態のASNからDirect Connect GatewayのASNに切り替わっている
待機時間:15分程度
Transit Gatewayの作成
[Direct Connect]>[トランジットゲートウェイ]>[トランジットゲートウェイを作成する]をクリックします。
[Transit Gateway を作成]の画面で、下記の設定を行った後、[Transit Gateway を作成]をクリックします。
- 名前タグ:任意ですが、「prod-tgw」を入力します。
- Amazon 側の自律システム番号 (ASN):64513 (※)
- DNS サポート情報:✅
- VPN ECMP サポート:✅
自分でルートテーブルの関連付け及びルートテーブル伝播をコントロールしたいため、下記項目からチェックを外します。
- デフォルトルートテーブルの関連付け:◻
- デフォルトルートテーブル伝播情報:◻
「マルチキャストサポート情報」の箇所で、デフォルトのまま◻を残します。
- マルチキャストサポート情報:◻
※作成したDirect Connect Gatewayと重複しないように「64513」を入力します。
ASNの重複については下記の記事をご参考ください。
Transit Gatewayの「状態」が「Available」となったことを確認します。
Direct Connect GatewayとTransit Gatewayの関連付け
[Direct Connect]>[Direct Connect ゲートウェイ]>対象のDirect Connect Gatewayをクリックし、[ゲートウェイの関連付け]タブの[ゲートウェイを関連付ける]をクリックします。
[ゲートウェイを関連付ける]の画面で、下記の通り設定し、[ゲートウェイを関連付ける]をクリックします。
- ゲートウェイ:[対象トランジットゲートウェイ] (私の場合、「prod-twg」)
- 許可されたプレフィックス:172.16.0.0/16(AWS側のCIDRを指定)
上記の設定を行ったら、Direct Connect Gateway用のアタッチメントが作成されますが、そのTransit Gateway Attachmentのタグ名がないため、運用の時に分かりやすくするために、タグ名を付けましょう!
[VPC]>[Transit Gateway接続]>対象のTransit Gateway Attachmentのタグとして「prod-tgw-attach-dxgw」を付けます。
Transit Gateway Attachment用のサブネットの用意
事前にTransit Gateway Attachment用のサブネットを用意しましたが、Transit Gateway Attachment用のサブネットがない場合、作成することをAWSは推奨しています。
理由は下記となります。
質問: VPC をアタッチするときに指定するサブネットをアタッチ専用のサブネットとする必要性について、もう少し具体例を挙げて説明していただきたいです。そのサブネットの内部のEC2 インスタンスのルーティングに影響あるとのことでしたが、どのような影響があるのか?などを教えていただきたいです。
回答: Transit Gateway (TGW) のアタッチメントがついているサブネットと同一のサブネットに EC2 インスタンスが存在する場合に、その EC2 インスタンスはTGWと同じルーティングテーブルを参照します。 例えば インライン監査用の VPC の TGW の ENI がある Subnet 上に EC2 インスタンスを設置してしまうと、その EC2 インスタンスは必ずインライン監査のミドルボックス ENI に吸い込まれてしまい、EC2 インスタンスの意図するルーティングテーブルを作れなくなってしまいます。こういったことを防ぐために、TGW 専用のサブネットを作ることをお薦めしています。 こちらおよびこちらの資料を併せてご参照ください。
サブネットのマスクは短くても問題ないため、短いプライベートサブネット(CIDR: 172.16.0.0/27)を事前に作成しました。
172.16.0.0/24のCIDRをTransit Gateway Attachment用のサブネットの予備として用意したため、2つ目のTransit Gateway Attachment用のサブネットが必要になる場合、また172.16.0.0/24から余ったCIDRを取ります。
例:
| # | Transit Gateway Attachment用のサブネットのCIDR | 使用状態 |
|---|---|---|
| 1 | 172.16.0.0/27 | 今回利用するサブネット |
| 2 | 172.16.0.32/27 | 予備(未作成) |
| 3 | 172.16.0.64/27 | 予備(未作成) |
| 4 | 172.16.0.96/27 | 予備(未作成) |
| 5 | 172.16.0.128/27 | 予備(未作成) |
| 6 | 172.16.0.160/27 | 予備(未作成) |
| 7 | 172.16.0.192/27 | 予備(未作成) |
| 8 | 172.16.0.224/27 | 予備(未作成) |
Transit Gateway Attachment用の作成 (VPC側)
[VPC]>[Transit Gateway 接続]>[Transit Gateway アタッチメントを作成]をクリックします。
[Transit Gateway アタッチメントを作成]の画面で下記の設定を行った後、[Transit Gateway アタッチメントを作成]をクリックします。
詳細
- 名前タグ - オプション:prod-tgw-attach-vpc
- Transit Gateway ID:prod-tgw
- アタッチメントタイプ:VPC
VPC アタッチメント
- DNS サポート情報:✅
- IPv6 サポート:◻ チェックなし
VPC ID:prod-vpc-tgw
ap-northeast-1a ✅ | サブネット ID:prod-subnet-tgw-private-1a
Resource typeがVPCのTransit Gateway Attachmentとして作成されていることを確認します。 状態が「Pending」→「Available」になったことを確認します(3分程度待機)。
Transit Gateway Route Tableの作成
VPC用Transit Gateway Route Tableの作成
[VPC]>[Transit Gateway ルートテーブル]>[Transit Gateway ルートテーブルを作成]をクリックします。
[Transit Gateway ルートテーブルを作成]の画面で、下記の設定を行った後、[Transit Gateway ルートテーブルを作成]をクリックします。
- 名前タグ - オプション:任意ですが、私の場合、「prod-tgw-rtb-vpc」を入力します。
- Transit Gateway ID:prod-tgw(前回作成したトランジットゲートウェイ)
上記が完了しましたら、下記の静的か動的のいずれかの方法でルートを作成します。
方法①:静的のルーティングの作成
VPC用のルートテーブル(prod-tgw-rtb-vpc)の[ルート]のタブをクリックします。
[静的ルートを作成]をクリックします。
[静的ルートを作成]の画面で、下記の設定を行った後、[静的ルートを作成]をクリックします。
- CIDR:<オンプレミス環境のCIDRを入力>(私の場合、「10.0.0.0/16」)
- タイプ:アクティブ
- アタッチメントを選択:DXGWのアタッチメントを指定 (私の場合、「prod-tgw-attach-dxgw」)
ルート一覧で、対象のルートが追加されたことを確認します。
方法②:動的のルーティングの作成(伝播設定)
prod-tgw-rtb-vpcの[伝播]のタブをクリックし、[伝達を作成]をクリックします。
[伝達を作成]の画面で、伝達するアタッチメントとしてDXGWのアタッチメントを指定し(prod-tgw-attach-dxgw)、[伝達を作成]をクリックします。
VPC用のルートテーブル(prod-tgw-rtb-vpc)の[ルート]のタブでルートタイプが「伝達済み」と記載されていることを確認します。
Direct Connect Gateway用Transit Gateway Route Tableの作成
[VPC]>[Transit Gateway ルートテーブル]>[Transit Gateway ルートテーブルを作成]をクリックします。
[Transit Gateway ルートテーブルを作成]の画面で、下記の設定を行った後、[Transit Gateway ルートテーブルを作成]をクリックします。
- 名前タグ - オプション:任意ですが、私の場合、「prod-tgw-rtb-dxgw」を入力します。
- Transit Gateway ID:prod-tgw(前回作成したトランジットゲートウェイ)
上記が完了しましたら、下記の静的か動的のいずれかの方法でルートを作成します。
方法①:静的のルーティングの作成
VPC用のルートテーブル(prod-tgw-rtb-dxgw)の[ルート]のタブをクリックします。
[静的ルートを作成]をクリックします。
[静的ルートを作成]の画面で、下記の設定を行った後、[静的ルートを作成]をクリックします。
- CIDR:<AWS側のVPCのCIDRを入力>(私の場合、「172.16.0.0/16」)
- タイプ:アクティブ
- アタッチメントを選択:prod-tgw-attach-vpc (VPCのアタッチメントを指定)
ルート一覧で、対象のルートが追加されたことを確認します。
方法②:動的のルーティングの作成(伝播設定)
prod-tgw-rtb-dxgwの[伝播]のタブをクリックし、[伝達を作成]をクリックします。
[伝達を作成]の画面で、VPCのアタッチメントを指定し(prod-tgw-attach-vpc)、[伝達を作成]をクリックします。
VPC用のルートテーブル(prod-tgw-rtb-vpc)の[ルート]のタブでルートタイプが「伝達済み」と記載されていることを確認します。
Transit GatewayのルートテーブルとTransit Gateway Attachmentの関連付け
VPC用のTransit GatewayのルートテーブルとTransit Gateway Attachmentの関連付
[VPC]>[Transit Gateway ルートテーブル]>[prod-tgw-rtb-vpc]>[関連付け]>[関連付けを作成]をクリックします。
[関連付けを作成]の画面で、VPC用のTransit Gateway Attachment(prod-tgw-attach-vpc (VPCのアタッチメント))を選択し、[関連付けを作成]をクリックします。
Direct Connect Gateway用のTransit GatewayのルートテーブルとTransit Gateway Attachmentの関連付け
[VPC]>[Transit Gateway ルートテーブル]>[prod-tgw-rtb-dxgw]>[関連付け]>[関連付けを作成]をクリックします。
[関連付けを作成]の画面で、DXGW用のTransit Gateway Attachment(prod-tgw-attach-dxgw(DXGW))を選択し、[関連付けを作成]をクリックします。
サブネットのルート変更
[VPC]>[ルートテーブル]>[prod-rtb-private-1a](関連サブネット:prod-subnet-private-1a)>[ルート]>[ルートを編集]をクリックします。
下記のルートの追加後、[変更を保存]をクリックします。
| 送信先 | ターゲット | 備考 |
|---|---|---|
| 10.0.0.0/16 | VPCのアタッチメント | 私の場合、「prod-tgw-attach-vpc」 |
以上、御一読ありがとうございました。
本田 イーゴリ (記事一覧)
カスタマーサクセス部
・AWS SAP, DOP, SCS, DBS, SAA, DVA, CLF
・Azure AZ-900
・EC-Council CCSE
趣味:日本国内旅行(47都道府県制覇)・ドライブ・音楽
