AWS Transit Gateway を使用してネットワーク接続を一元化 - AWS 規範ガイダンス

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Transit Gateway を使用してネットワーク接続を一元化

作成者: Mydhili Palagummi (AWS) と Nikhil Marrapu (AWS)

概要

このパターンでは、AWS Transit Gateway を使用して、オンプレミスネットワークを AWS リージョン内の複数の AWS アカウントの仮想プライベートクラウド (VPC) に接続できる最も単純な構成を示しています。この設定を使用して、リージョン内の複数の VPC ネットワークとオンプレミスネットワークを接続するハイブリッドネットワークを確立できます。これは、トランジットゲートウェイと、オンプレミスネットワークへの仮想プライベートネットワーク (VPN) 接続を使用することで達成されます。

前提条件と制限

前提条件 

  • AWS Organizations の組織のメンバーアカウントとして管理される、ネットワークサービスをホストするためのアカウント

  • Classless Inter-Domain Routing (CIDR) ブロックが重複しない、複数の AWS アカウントの VPC

機能制限

このパターンでは、特定の VPC 間またはオンプレミスネットワーク間のトラフィックの分離をサポートしません。トランジットゲートウェイに接続されているすべてのネットワークは、相互にアクセスできるようになります。トラフィックを分離するには、トランジットゲートウェイでカスタムルートテーブルを使用する必要があります。このパターンでは、最も単純な構成である単一のデフォルトトランジットゲートウェイルートテーブルを使用して、VPC とオンプレミスネットワークのみを接続します。

アーキテクチャ

ターゲットテクノロジースタック

  • AWS Transit Gateway

  • AWS Site-to-Site VPN

  • VPC

  • AWS Resource Access Manager (AWS RAM)

ターゲットアーキテクチャ

AWS Transit Gateway は、オンプレミスネットワークをリージョン内の複数の AWS アカウントの VPCs に接続します。

ツール

AWS サービス

  • AWS Resource Access Manager (AWS RAM)」 は、AWS アカウント、組織単位、または AWS Organizations の組織全体でリソースを安全に共有するのに役立ちます。

  • AWS Transit Gatewayは、仮想プライベートクラウド (VPC) とオンプレミスネットワークを接続する中央ハブです。

エピック

タスク説明必要なスキル

transit gateway を作成します。

ネットワークサービスをホストする AWS アカウントで、ターゲット AWS リージョンにトランジットゲートウェイを作成します。手順については、「トランジットゲートウェイの作成」を参照してください。次の点に注意してください:

  • デフォルトルートテーブルの関連付けを選択します。

  • デフォルトルートテーブル伝達を選択します。

ネットワーク管理者
タスク説明必要なスキル

VPN 接続のカスタマーゲートウェイデバイスを設定します。

カスタマーゲートウェイデバイスは、トランジットゲートウェイとオンプレミスネットワーク間の、Site-to-Site VPN 接続のオンプレミス側に接続されています。詳細については、AWS Site-to-Site VPN ユーザーガイドの「カスタマーゲートウェイデバイス」を参照してください。適用されるオンプレミスの顧客デバイスを特定または起動し、そのパブリック IP アドレスを書き留めます。VPN の設定は、このエピックの後半で完了します。

ネットワーク管理者

ネットワークサービスアカウントで、トランジットゲートウェイへの VPN アタッチメントを作成します。

接続をセットアップするには、トランジットゲートウェイの VPN アタッチメントを作成します。手順については、「トランジットゲートウェイ VPN アタッチメント」を参照してください。

ネットワーク管理者

オンプレミスネットワークのカスタマーゲートウェイデバイスに、VPN を設定します。

トランジットゲートウェイに関連付けられているSite-to-Site VPN 接続の設定ファイルをダウンロードして、カスタマーゲートウェイデバイスの VPN セッティングを設定します。手順については、「設定ファイルをダウンロード」を参照してください。

ネットワーク管理者
タスク説明必要なスキル

AWS Organizations 管理アカウントで、共有をオンにします。

トランジットゲートウェイを組織する、または特定の組織単位と共有するには、AWS Organizations で共有をオンにします。そうしないと、アカウントごとにトランジットゲートウェイを個別に共有する必要性がでてきます。手順については、「AWS Organizations 内のリソース共有の有効化」 を参照してください。

AWS システム管理者

ネットワークサービスアカウントにトランジットゲートウェイリソースシェアを作成します。

組織の他の AWS アカウントの VPC がトランジットゲートウェイに接続できるようにするには、ネットワークサービスアカウントで AWS RAM コンソールを使用してトランジットゲートウェイリソースを共有します。手順については、「リソース共有の作成」 を参照してください。

AWS システム管理者
タスク説明必要なスキル

個別のアカウントで VPC アタッチメントを作成します。

トランジットゲートウェイが共有されているアカウントで、トランジットゲートウェイ VPC アタッチメントを作成します。手順については、「VPC へのトランジットゲートウェイアタッチメントの作成」を参照してください。

ネットワーク管理者

VPC アタッチリクエストを受け入れます。

ネットワークサービスアカウントで、トランジットゲートウェイの VPC アタッチメントリクエストを受け入れます。手順については、「共有アタッチメントの承認」 を参照してください。

ネットワーク管理者
タスク説明必要なスキル

個々のアカウント VPC にルートを設定します。

個々のアカウント VPC に、Transit Gateway をターゲットとして使用して、オンプレミスのネットワークと他の VPC ネットワークへのルートを追加します。手順については、「ルートテーブルからのルートの追加と削除」 を参照してください。

ネットワーク管理者

トランジットゲートウェイのルートテーブル内のルート。

VPC と VPN 接続からのルートは伝達され、トランジットゲートウェイのデフォルトルートテーブルに表示されるはずです。必要に応じて、トランジットゲートウェイのデフォルトルートテーブルに静的ルート (静的 VPN 接続のための静的ルートが一例) を作成します。手順については、「静的ルートの作成」 を参照してください。

ネットワーク管理者

セキュリティグループとネットワークをアクセスコントロールリスト (ACL)ルールに加えます。

EC2 インスタンスと VPC 内のその他のリソースについては、セキュリティグループルールルールとネットワーク ACL ルールが 、VPC とオンプレミスネットワーク間のトラフィックを許可していることを確認します。手順については、「セキュリティグループを使用してリソースへのトラフィックを制御」 と「ACL にルールを追加または削除」 を参照してください。

ネットワーク管理者
タスク説明必要なスキル

VPC 間の接続をテストします。

ネットワーク ACL とセキュリティグループが、インターネット制御メッセージプロトコル (ICMP) トラフィックを許可することを確認し、次にVPC 内のインスタンスから、同じくトランジットゲートウェイに接続されている別の VPCへのネットワーク接続を確認します。

ネットワーク管理者

VPC とオンプレミスネットワーク間の接続をテストします。

ネットワーク ACL ルール、セキュリティグループルール、およびファイアウォールが ICMP トラフィックを許可することを確認し、オンプレミスネットワークと VPC の EC2 インスタンス間の接続を確認します。VPNを UP ステータスに接続させるには、まずオンプレミスネットワークからネットワーク通信を開始する必要があります。

ネットワーク管理者

関連リソース