VPC 間のアクセスを許可せずに、トランジットゲートウェイにアタッチされた単一の VPN 接続から複数の VPC 間の通信を有効にするにはどうすればよいですか?

最終更新日: 2020 年 4 月 15 日

2 つの Virtual Private Cloud (VPC) があります。1 つは本番環境用で、もう 1 つは開発用です。オンプレミスのユーザーは、単一の VPN 接続で両方の VPC にアクセスする必要があります。VPN 接続を介して VPC とオンプレミスネットワーク間のネットワーク接続を確立しなければなりません。さらに、VPC 間のアクセスはブロックする必要があります。VPC 間のアクセスを許可せずに、トランジットゲートウェイにアタッチされた複数の VPC と VPN 接続間の通信を有効にするにはどうすればよいですか?

簡単な説明

次のステップを実行して、複数の VPC 内のリソース間のネットワーク接続を確立します。

  • オンプレミスユーザーは、VPN 内の全 VPC からリソースにアクセスできる
  • VPC リソースは他の VPC のリソースにアクセスできません

解決方法

トランジットゲートウェイを作成し、VPC とサイト間 VPN をアタッチする

  1. トランジットゲートウェイを作成します。 
  2. VPC をトランジットゲートウェイにアタッチします。
  3. サイト間 VPN を作成し、それを上記のトランジットゲートウェイにアタッチします

注:

  • トランジットゲートウェイを作成するときに、[Default association route table] 設定を無効にします。
  • VPN ルートをトランジットゲートウェイのルートテーブルに自動的に伝播するには、 [Routing option] で [Dynamic ] (Border Gateway Protocol が必要) を選択します。

トランジットゲートウェイのルートテーブルを作成し、VPC をそのテーブルに関連付ける

  1. Amazon Virtual Private Cloud (Amazon VPC) コンソールを開きます。
  2. ナビゲーションペインで、[Transit Gateways] をクリックします。
  3. トランジットゲートウェイの [Default association route table] 設定が、「Disable」に設定されていることを確認します。
    注: この設定が「Enable」に設定されている場合はタスク 8 に進みます。
  4. [Transit Gateway Route Tables] をクリックします。
  5. [Create Transit Gateway Route Table] をクリックし、以下の手順を完了します。
    [Name tag] に Route Table A と入力します。
    [Transit Gateway ID] で 対象の Transit Gateway の Transit Gateway ID を選択します。
    [Create Transit Gateway Route Table] をクリックします。
  6. Route Table A (またはトランジットゲートウェイのデフォルトルートテーブル) を選択します。次に、 AssociationsCreate Association の順に選択します。
  7. [Choose attachment to associate] には VPC のアソシエーション ID を選択します。次に、[Create Association] を選択します。すべての VPC が [Association] の下に表示されるまで、このステップを繰り返します。
  8. デフォルトのトランジットゲートウェイのルートテーブルから VPN の関連付けを削除します。

2 番目のトランジットゲートウェイのルートテーブルを作成し、VPN 接続の関連付けを関連付けます。

  1. [Transit Gateway Route Tables] をクリックします。
  2. [Create Transit Gateway Route Table] をクリックし、以下の手順を完了します。
    [Name tag] には「Route Table B」と入力します。
    [Transit Gateway ID] で対象のトランジットゲートウェイの Transit Gateway ID を選択します。
    [Create Transit Gateway Route Table] をクリックします。
  3. [Route Table B ] (またはトランジットゲートウェイのデフォルトルートテーブル) を選択します。次に、 AssociationsCreate Association の順に選択します。
  4. ルートテーブル B で作成した VPN 接続を関連付けます。

両方のルートテーブルで VPC と VPN からのルートを伝播する

  1. [Route Table A Propagation] をクリックします。
  2. [Propagation] をクリックします。[Choose attachment to propagate] には VPN の伝播を選択します。すべてのアタッチメントに対して伝播が有効になっている場合は、このルートテーブルで VPN 接続の関連付けが有効になっていないことを確認します。
    重要: 静的ルート オプション (動的ルーティングではなく) を使用して VPN 接続を作成した場合は、VPN 接続からのルート伝達を有効にする代わりに、ルートテーブル A の VPN へのオンプレミスネットワークの静的ルートを作成する必要があります。
  3. [Route Table B Propagation] をクリックします。
  4. [Propagation] をクリックします。[Choose attachment to propagate] で、全 VPC に伝播を選択します。

VPC とアタッチメントサブネットに関連付けられたルートテーブルを設定する

  1. Amazon VPC コンソールを開きます。
  2. ナビゲーションペインで、[Route Tables] をクリックします。
  3. アタッチメントサブネットにアタッチされているルートテーブルを選択します。
  4. [Routes] タブを選択してから、[Edit Routes] をクリックします。
  5. [Add Route] タブを選択し、以下を完了します。
    [Destination] で、オンプレミスネットワークのサブネットを選択します。
    [Target] で、対象の Transit Gateway を選択します。
    [Save routes] をクリックします。

注意: ユースケースで VPC 間のアクセスをより厳しく制限する必要がある場合は、VPC ごとに個別のルートテーブルを作成し、ルートを設定できます。次の点にご注意ください。

  • トランジットゲートウェイのルートテーブルでのルーティングは、トランジットゲートウェイの関連付けとトランジットゲートウェイのルートテーブルの関連付けに基づいています。
  • 任意のトランジットゲートウェイのルートテーブルで、トランジットゲートウェイアタッチメントの任意の宛先へルートを設定できます。トランジットゲートウェイのアタッチメントは、その特定のルートテーブルに関連付ける必要はありません。

この記事はお役に立ちましたか?

はい
いいえ

改善できることはありますか?

ご意見をお聞かせください

さらにサポートが必要な場合

AWS サポートにお問い合わせください