本ページは、AWS に関する個人の勉強および勉強会で使用することを目的に、AWS ドキュメントなどを参照し作成しておりますが、記載の誤り等が含まれる場合がございます。
最新の情報については、AWS 公式ドキュメントをご参照ください。
クラウドネットワークを管理するための重要なサービスの一つです。企業が複数の VPC(Virtual Private Cloud)やオンプレミスのネットワークを統合し、効率的かつセキュアな通信を確立するのに役立ちます。
【AWS Black Belt Online Seminar】AWS Transit Gateway(YouTube)(0:55:33)
AWS Transit Gateway は、クラウドルーターとして機能することで、大規模な
ネットワークの設計と実装を支援します。ネットワークが拡大しても、増分接続
の管理が複雑であることが原因で速度が低下する可能性があります。
AWS Transit Gateway は、中央ハブを介して VPC とオンプレミスネットワーク
を接続します。
次のような集約が可能になります。集約以外にも、Transit Gateway を介してそれぞれが通信できようになるメリットもあります。
- VPC ピアリングを集約できる
- VPN 接続を集約できる
- Direct Connect Gateway との接続を集約できる
Transit Gateway は主に次の要素から構成されています。
- アタッチメント
- Transit Gateway と接続する先
- VPC/Direct Connect Gateway/Site-to-Site VPN
- サブネットに紐づけて、ENI が割り当てられる
- Transit Gateway と接続する先
- Transit Gateway ルートテーブル
- 紐づけたネットワークのルートを管理する
- アソシエーション
- アタッチメントと Transit Gateway ルートテーブルを関連付ける
- プロパゲーション
- Transit Gateway ルートテーブルにルートを動的伝達する
ユースケース例では次のようなものが記載されています。
- 集中型ルーター
- 分離された VPC
- 共有サービスによる分離された VPC
- ピア接続
- 一元的な発信ルーティング
- アプライアンス VPC
TransitGateway ハンズオンがあります。 実際に操作をしてみると理解が深まると思います。
ハンズオンでは次のような構成を構築します。
各 Transit Gateway VPC アタッチメントに個別のサブネットを使用します。
各サブネットに対して、小さな CIDR (/28 など) を使用して、EC2 リソースの
アドレスが増えるようにします。
アタッチメントをサブネットに作成すると ENI が作成されます。同じサブネット内に EC2 リソースが存在するとアタッチメントの ENI の通信と、サブネット内の EC2 リソースの通信が意図しないものにならないよう専用のサブネットに配置するのが良さそうです。
ネットワーク ACL を 1 つ作成し、Transit Gateway に関連付けられたすべての
サブネットに関連付けます。ネットワーク ACL は、インバウンド方向とアウトバウンド
方向の両方で開いたままにします。
アタッチメントと EC2 リソースは通信が必要なので、ネットワーク ACL で通信先の CIDR のみ許可していると Transit Gateway 経由で疎通が行えないようになります。
ハンズオンの構成よりもベストプラクティスにもあるように、Transit Gateway のアタッチメントに個別のサブネットを作成したサンプル構成です。
