Amazon VPC Transit Gateway 設計のベストプラクティス - Amazon VPC

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon VPC Transit Gateway 設計のベストプラクティス

Transit Gateway 設計に関するベストプラクティスは次のとおりです:

  • 各 Transit Gateway VPC アタッチメントに個別のサブネットを使用します。各サブネットに対して、小さな CIDR (/28 など) を使用して、EC2 リソースのアドレスが増えるようにします。別のサブネットを使用する場合は、次の項目を設定できます:

    • Transit Gateway サブネットに関連付けられたインバウンドおよびアウトバウンド NACL を開いたままにします。

    • トラフィックフローに応じて、ワークロードサブネットに NACL を適用できます。

  • ネットワーク ACL を 1 つ作成し、Transit Gateway に関連付けられたすべてのサブネットに関連付けます。ネットワーク ACL は、インバウンド方向とアウトバウンド方向の両方で開いたままにします。

  • ネットワーク設計で複数の VPC ルートテーブル (複数の NAT ゲートウェイを経由してトラフィックをルーティングする中間ボックス VPC など) を必要としない限り、同じ VPC ルートテーブルをTransit Gateway に関連付けられたすべてのサブネットに関連付けます。

  • Border Gateway Protocol (BGP) Site-to-Site VPN 接続を使用します。接続用のカスタマーゲートウェイデバイスまたはファイアウォールがマルチパスをサポートしている場合は、機能を有効にします。

  • AWS Direct Connectゲートウェイアタッチメントおよび BGP Site-to-Site VPN アタッチメントのルート伝達を有効にします。

  • VPC ピアリングから Transit Gateway の使用に移行する場合。VPC ピアリングと Transit Gateway 間の MTU サイズの不一致により、非対称トラフィックで一部のパケットがドロップされる可能性があります。サイズの不一致によりジャンボパケットがドロップされないように、両方の VPC を同時に更新してください。

  • 設計上、Transit Gateway は可用性が高いため、高可用性を得るためにTransit Gateway を追加する必要はありません。

  • 設計で複数のTransit Gateway ルートテーブルが必要でない限り、Transit Gateway ルートテーブルの数を制限します。

  • 冗長性を確保するには、災害対策用に各リージョンで 1 つの Transit Gateway を使用します。

  • 複数の Transit Gateway のデプロイを行う場合は、それぞれの Transit Gateway に固有の自律システム番号 (Amazon 側の ASN) を使用することをお勧めします。リージョン間のピアリングも使用できます。詳細については、「AWS Transit Gateway のリージョン間ピアリングを使用したグローバルネットワークの構築」を参照してください。