Transit Gateway から Direct Connect と VPN フェイルオーバーを設定する方法を教えてください。

最終更新日: 2022 年 11 月 1 日

オンプレミスのリソースへのプライマリリンクとして AWS Direct Connect を設定したいと考えています。また、VPN を同じリソースへのセカンダリリンクとして設定したいと考えています。AWS Transit Gateway からこれを行うにはどうすればよいですか?

解決方法

タスク 1: トランジットゲートウェイを作成する

タスク 2: トランジットゲートウェイに VPC をアタッチする

タスク 3: AWS Site-to-Site VPN を作成し、それを上記のトランジットゲートウェイにアタッチする

注: 静的 VPN を使用している場合は、定義した静的ルートが、動的に伝播されるルートよりも特定性の低い CIDR を使用していることを確認してください。同じ CIDR を使用する経路では、Transit Gateway でのルート評価順序で、動的伝播ルートの優先順位が、静的ルートよりも低くなります。

タスク 4: Direct Connect ゲートウェイをトランジットゲートウェイにアタッチする

トランジットゲートウェイへのアタッチメントとしての各 VPC について、Direct Connect Gateway で許可されているプレフィックスのインタラクションに VPC CIDR 範囲を追加する必要があります。プレフィックスが追加されると、Transit Virtual Interface 経由でリモート側にアドバタイズされます。トランジット仮想インターフェイスにおける AWS からオンプレミスへの AWS Transit Gateway ごとに、プレフィックスを最大 20 個設定できます。このクォータを引き上げることはできません。詳細については、「AWS Direct Connect のクォータ」をご参照ください。20 個を超える VPC がある場合は、複数の VPC のルートを 1 つの CIDR 範囲に集約します。「Direct Connect Gateway が許可するプレフィックスのインタラクション」のセクションに集約ルートを入力します 。

VPC CIDR の集約ルートを作成すると、VPN 経由でアドバタイズされる CIDR は Direct Connect でアドバタイズされる CIDR よりもより具体的になります。その結果、カスタマーゲートウェイでは、Direct Connect 接続よりも VPN を優先します。

この問題を解決するには、以下の方法に従います。

  1. Direct Connect Gateway に関連する集約ルートを追加します。ターゲットアタッチメントには、Site-to-Site VPN アタッチメントトランジットゲートウェイルートテーブルへの集約ルートの一部である CIDR を持つ VPC を選択します。これで、集約ルートと特定のルートの両方が Site-to-Site VPN を介してアドバタイズされるようになりました。
  2. カスタマーゲートウェイでは、Site-to-Site VPN でアドバタイズされる特定的なルートを除外します。これで、カスタマーゲートウェイは、両方の接続で同じ集約ルートを持つようになりました。ゲートウェイは Direct Connect 接続を優先します。

タスク 5: トランジットゲートウェイのルートテーブルを作成し、すべてのアタッチメントのルート伝播を有効にする

注: Border Gateway Protocol (BGP) セッションと Direct Connect Transit Virtual Interface (VIF) には、同じプレフィックスをアドバタイズしてください。または、VPN 経由で BGP セッションに同じプレフィックスをアドバタイズします。

  1. Amazon Virtual Private Cloud (Amazon VPC) コンソールを開きます。
  2. ナビゲーションペインで、[Transit Gateways] を選択します。
  3. トランジットゲートウェイの [Default association route table] (デフォルトの関連付けルートテーブル) の設定が、[False] に設定されていることを確認します。
    注: この設定が [True] に設定されている場合はタスク 6 に進みます。
  4. [Transit Gateway Route Tables] (Transit Gateway ルートテーブル) を選択します。
  5. [Create Transit Gateway Route Table] (Transit Gateway ルートテーブルを作成) を選択し、以下の手順を完了します。
    [Name tag] (名前タグ) に「Route Table A」と入力します。
    [Transit Gateway ID] (トランジットゲートウェイ ID) で、対象のトランジットゲートウェイのトランジットゲートウェイ ID を選択します。
    [Create Transit Gateway Route Table] (Transit Gateway ルートテーブルを作成) をクリックします。
  6. [Route Table A] (またはトランジットゲートウェイのデフォルトルートテーブル) を選択し、[Associations] (関連付け)、[Create Association] (関連付けを作成) の順に選択します。
  7. [Choose attachment to associate] (関連付けるアタッチメントを選択) で、VPC の関連付け ID を選択し、[Create Association] (関連付けを作成) を選択します。Direct Connect ゲートウェイ、VPN、および VPC がすべて [Association] (関連付け) に表示されるまで、このステップを繰り返します。
  8. [Route Table Propagation] (ルートテーブルの伝播) を選択します。
  9. [Propagation] (伝播) を選択します。[Choose attachment to propagate] (アタッチメントを選択して伝達) で、Direct Connect ゲートウェイ、VPN、および VPC を選択します。

タスク 6: VPC とアタッチメントサブネットに関連付けられたルートテーブルを設定する

  1. Amazon VPC コンソールを開きます。
  2. ナビゲーションペインで、[Route Tables] (ルートテーブル) を選択します。
  3. アタッチメントサブネットにアタッチされているルートテーブルを選択します。
  4. [Routes] (ルート) タブを選択し、[Edit Routes] (ルートの編集) を選択します。
  5. [Add Route] (ルートの追加) タブを選択し、以下を完了します。
    [Destination] (送信先) で、オンプレミスネットワークのサブネットを選択します。
    [Target] (ターゲット) で、対象のトランジットゲートウェイを選択します。
    [Save routes] (ルートの保存) を選択します。

この記事はお役に立ちましたか?


請求に関するサポートまたは技術サポートが必要ですか?