Amazon Web Services ブログ
新機能 – トランジットゲートウェイでネットワークアーキテクチャをシンプルに
Amazon VPC(仮想プライベートクラウド)はAWSの中で最も有用で中心的な機能の1つです。お客様はさまざまな方法でVPCを設定し、多数の接続オプションやAWS Direct Connect(Direct Connect ゲートウェイ含む)、NAT ゲートウェイ、インターネットゲートウェイ、Egress-Only ゲートウェイ、VPCピアリング接続、AWSマネージドVPN接続、そしてAWS PrivateLinkなどのゲートウェイを利用することができます。
お客様は、VPC、サブネット、ルートテーブル、セキュリティグループ、およびネットワーク ACL を使用して、分離やアクセスコントロールの効果を得るために、それらの多くのリソースを作成します。
複数の事業部門、チーム、プロジェクトなどにサービスを提供するために、AWS アカウントとリージョンにまたがって数百の VPC を分散運用しているお客様は珍しくありません。
お客様が VPC 間の接続のセットアップを開始すると、もう少し複雑な局面に遭遇します。上記に挙げた接続オプションはすべて厳密なポイントツーポイント型であるため、VPC 間の接続数は急速に増加します。
AWS トランジットゲートウェイ
本日、私たちはハブ&スポーク型のネットワークトポロジーを構成するための機能である、トランジットゲートウェイの提供を開始しました。既存の VPC、データセンター、リモートオフィス、およびリモートゲートウェイをマネージドのトランジットゲートウェイに接続し、VPC、Active Directory、共有サービス、その他複数の AWS アカウントにまたがるようなリソースについても、ネットワークルーティングとセキュリティを完全に制御できます。ネットワークアーキテクチャ全体を簡素化し、運用オーバーヘッドを削減し、セキュリティを含めた外部接続を一元管理できます。さらに、トランジットゲートウェイを使用して既存のエッジ接続を統合し、単一の入力/出力ポイントを通じてルーティングできます。
トランジットゲートウェイはセットアップや利用が簡単で、高い拡張性と耐障害性を実現するように設計されています。 各ゲートウェイには最大 5,000 個の VPC を接続でき、各アタッチメントでは最大50 ギガビット/秒のバーストトラフィックを処理できます。 そして、AWSマネージドVPN接続もトランジットゲートウェイにアタッチすることができます。Direct Connectについては2019年の早い時期に対応を予定しています。
トランジットゲートウェイの作成
この新機能では、アカウント間で AWS リソースを簡単に共有できる新しい AWS サービスである AWS リソースマネージャを利用します。リソースを所有するアカウントは”Resource Share”を作成し、リソースにアクセスできる他の AWS アカウントをリストから選択します。トランジットゲートウェイは、この方法で共有できる最初のリソースタイプの 1 つで、ロードマップ上では他の多くのリソースと共有できる予定です。
トランジットゲートウェイを作成する最初のステップは、自分自身のAWSアカウントで行います。まず最初に、VPCコンソールを開き(CLI、API、CloudFormationも利用可能です)、”Transit Gateways”を選択し、”Create Transit Gateway”をクリックします。Name(名前)とDescription(説明)、Amazon側のゲートウェイのためのASN(AS番号)を入力し、”Auto accept shared attachments”(共有リクエストの自動承認)を選択します。
ゲートウェイは数分で利用可能になります。
VPCにアタッチすることが可能となりました。ワークロードがあるサブネットを選択します(アベイラビリティゾーンあたり1つのサブネット)。
その後、Resource Access Managerコンソールに移動し、”Create a resource share”をクリックします。
Resource share(共有リソース)に名前を入力、上記で作成したTransit Gatewayを追加し、共有したいAWSアカウントを追加します。また、共有したいOrganizationやOrganizational Unit(OU)を選択することも可能です。選択が完了したら、”Create resource share”をクリックして次に進みます。
Resource shareが作成され、数分で準備完了になります。
次に、ゲートウェイがシェアされたアカウントにログインし、Resource Access Managerコンソールに移動、表示されている”Inviration”をクリックします。
承諾対象であるInvitationであることを確認し、”Accept resource share”をクリックします。
Transit Gatewayを自分と共有されているリソースであることが確認できます。
次のステップでは、このAWSアカウント内の目的のVPCへトランジットゲートウェイをアタッチします。
ご覧のとおり、ネットワークモデルをシンプルにするためにトランジットゲートウェイを活用することができます。複数の VPC にまたがるアプリケーションを簡単に構築でき、複雑なネットワークを管理することなく、複数の VPC 間でネットワークサービスを共有できます。 例えば、このような構成があった場合、
以下のような構成となります。
また、トランジットゲートウェイをファイアウォールまたは IPS(侵入防止システム)に接続したり、ネットワークのすべての入出力トラフィックを処理する単一の VPC を作成することもできます。
注意点
トランジットゲートウェイをについて知っておいていただきたいいくつかの項目をご紹介します。
AWSインテグレーション – トランジットゲートウェイはAmazon CloudWatchへメトリクスを送信します。また、VPCフローログのレコードも生成します。
VPN ECMPサポート – VPN接続でEqual-Cost Multi-Pathのサポートを有効化することができます。復数の接続が同じCIDRブロックを広告していた場合、トラフィックはその接続で均等に分散されます。
ルーティングドメイン – 同一のトランジットゲートウェイ上で複数のルートテーブルを利用して、アタッチメント単位のルーティングを制御することができます。VPC トラフィックを分離や、特定の VPC から別の検査ドメインへのトラフィック転送が可能です。
セキュリティ – VPC セキュリティグループとネットワーク ACL を使用して、オンプレミスのネットワーク間のトラフィックフローを制御できます。
価格 – トランジットゲートウェイが接続されている時間ごとに 1 時間あたりの料金と、GB 毎のデータ処理料金が必要となります。
Direct Connect – AWS Direct Connectは今後サポートを予定しています。
すぐにご利用いただけます!
トランジットゲートウェイは本日からご利用できます!
– Jeff
翻訳はソリューションアーキテクトの吉田が担当しました。原文はこちら。