Amazon Web Services ブログ

AWS ソリューション – Transit VPC

今日は新しい AWS ソリューションをご紹介します。とても興味深い機能です。AWS クイックスタートと同様に、これは AWS ソリューションアーキテクトがセキュリティと可用性のベストプラクティスを取り入れて構築した機能です。この新しい Transit VPC Solution は transit VPC と呼ばれる実に便利なネットワーク構築の実装方法を示します。この機能を使用して地理的に離れていたり、別々の AWS アカウントで実行している仮想プライベートクラウド (VPC) をグローバルネットワーク転送センターとして機能する一般的な VPC と接続することができます。このネットワークトポロジーはネットワーク管理を簡略化し、設定と管理を必要とする接続の数を減少することができます。さらに実装は仮想的に行うようになっているので、物理的なネットワーク機器は不要、コロケーション転送ハブの目の前にいる必要もありません。次の例をご覧ください。

この図では、transit VPC が中央にあり、その周囲に「スポーク型」の VPC と、企業データセンター、その他のネットワークが配置されています。transit VPC は複数の重要なユースケースをサポートします。

  • プライベートネットワーキング – 2 つ以上の AWS リージョンに渡るプライベートネットワークを構築できます。
  • 共有接続 – 複数の VPC はデータセンター、パートナーネットワーク、その他のクラウドと接続を共有できます。
  • クロスアカウント AWS の使用量 – VPC と AWS のリソースを複数の AWS アカウントに収めることができます。

ソリューションは AWS CloudFormation スタックを使用し、すべての AWS リソースを起動し構成します。500 Mbps から 2 Gbps のスループットオプション 3 つを提供します。それぞれ可用性を実現する接続ペアで実装されます。このスタックが使用する Cisco Cloud Services Router(CSR) が AWS Marketplace で入手可能になりました。既存の CSR ライセンス (BYOL モデル) を使用するか、CSR の使用量を時間単位で支払うことができます。transit VPC の実行に掛かる費用は、お客様がお選びになったスループットオプションとライセンスモデルによります。料金は 1 時間あたり 0.21 USD から 8.40 USD、プラス各スポーク VPC 1 時間あたり 0.10 USD の追加料金 (AWS リソース用) が適用されます。ソリューション特有のお客様専用 AWS Key Management Service (KMS) マスターキーに月額 1 USD の追加料金が適用されます。これらの料金はすべてネットワーク転送の料金には含まれません。テンプレートはクリエイティブに AWS Lambda 関数のペアをインストールしたり使用します。VGW Poller 関数は毎分実行されます。アカウントですべての AWS リージョンをスキャンし、VPN 接続がないスポーク VPC で適切にタグした仮想プライベートゲートウェイを探します。それが見つかると (必要に応じて) 対応するカスタマーゲートウェイと CSR への VPN 接続を作成し、S3 バケットにその情報を保存します。バケットの Put イベントが Cisco Configurator 機能をトリガーします。VPN 接続の情報を解析し必要な設定ファイルを生成したら SSH を使用して CSR にプッシュします。これにより VPN トンネルが現れ (BGP の作用を含む)、スポーク VPC で近隣の関係を確立します。この方法で Lambda を使用すると、活用されていない EC2 インスタンスを実行する必要なく、新しいスポーク VPC を素早くオンラインにさせることが可能になります。ソリューションの実装ガイドには、いつものように詳しい手順とセキュリティアドバイスが記載されています。

Jeff

PS – 一般的なネットワーク問題についてはネットワークのベストプラクティスガイダンスをご覧ください。