VPN を仮想プライベートゲートウェイからトランジットゲートウェイに移行する方法を教えてください。

最終更新日: 2019 年 5 月 23 日

トランジットゲートウェイを使用して、Amazon Virtual Private Cloud (Amazon VPC) と VPN の間に安全な接続を実現したいです。VPN を仮想プライベートゲートウェイからトランジットゲートウェイに移行する方法を教えてください。

簡単な説明

VPN を仮想プライベートゲートウェイからトランジットゲートウェイに移行するには、次の手順を実行します。

1.    トランジットゲートウェイを作成します

2.    VPC をトランジットゲートウェイにアタッチします

3.    VPN をトランジットゲートウェイにアタッチします

4.    仮想ゲートウェイからトランジットゲートウェイへのトラフィックのフェイルオーバー

解決方法

トランジットゲートウェイへの VPN を終了します。その後、仮想ゲートウェイからトランジットゲートウェイへのトラフィックをフェイルオーバーします。トランジットゲートウェイに接続されているすべての VPC は、単一の VPN 接続を使用してアクセスできます。トランジットゲートウェイにアタッチされているすべての VPC は、ルーティンググループとセキュリティグループを介して許可されている場合、互いに通信できます。

注: AWS Transit Gateway への単一の VPN 接続は、依然として最大 1.25 Gbps のスループットを持つ必要があります。もっと速い帯域幅が必要な場合は、トランジットゲートウェイへの複数の VPN 接続を終了してから、オンプレミスサブネットをそれらの間に分散させる必要があります。

始める前に、以下の点に注意してください。

  • TGW Migrator Tool を使用して、以下のステップ 1 と 2 を自動化することができます。
  • 変更を加えずに既存の仮想ゲートウェイからトランジットゲートウェイに移行するには、ModifyVpnConnection API 呼び出しを使用できます。これによりダウンタイムが発生する可能性があるため、スケジュールされたメンテナンス期間中に変更を加えることを検討してください。

ステップ 1: トランジットゲートウェイを作成する

トランジットゲートウェイを設定するときは、必ず [共有アタッチメントを自動承認] を選択して、クロスアカウントアタッチメントの自動承認を有効にしてください。

AWS Command Line Interface (CLI) を使用してトランジットゲートウェイを作成することもできます。

aws ec2 create-transit-gateway

ステップ 2: VPC をトランジットゲートウェイにアタッチする

トラフィックをルーティングするためにトランジットゲートウェイで使用する各アベイラビリティーゾーンからサブネットを 1 つ指定する必要があります。各アベイラビリティーゾーンからサブネットを 1 つ指定すると、そのアベイラビリティーゾーン内のすべてのサブネットのリソースにトラフィックが到達できるようになります。

CLI を使用して VPC をトランジットゲートウェイに接続するには、次の手順を実行します。

aws ec2 create-transit-gateway-vpc-attachment
--transit-gateway-id tgw-14324bbc412a43243
--vpc-id vpc-2321314314
--subnet-ids subnet-12312312,subnet-41343432

ステップ 3: VPN をトランジットゲートウェイに接続する

トランジットゲートウェイのアタッチメントを作成する場合、次の手順を実行します。

  • カスタマーゲートウェイの場合は、[既存] を選択してから、ドロップダウンからカスタマーゲートウェイ ID を選択します。
  • トンネルオプションの場合、CIDR 内のカスタムトンネルと VPN トンネル用の事前共有キーをオプションで指定できます。それ以外の場合、トンネルオプションはランダムに生成されます。

AWS CLI を使用して VPN アタッチメントを作成するには、create-vpn-connection コマンドを使用します。

VPN アタッチメントを作成したら、設定ファイルをダウンロードして、カスタマーゲートウェイに設定を適用します。インターネットプロトコルセキュリティ (IPsec) およびボーダーゲートウェイプロトコル (BGP) セッションを起動できますが、VPN経由で仮想ゲートウェイにトラフィックをルーティングし続けるようにしてください。

AWS Transit Gateway ルートドメインには、アタッチされている VPC と VPN のルートが含まれています。ルートテーブルを表示するには、次の手順に従ってください。

  • コンソールで、ナビゲーションペインの [トランジットゲートウェイルートテーブル] を選択し、ルートテーブルを選択します。
  • AWS CLI で、次のコマンドを実行します。
aws ec2 search-transit-gateway-routes --transit-gateway-route-table-id tgw-rtb-xxxxxxxxxxxxxxxxxx --filters Name=route-search.subnet-of-match,Values="0.0.0.0/0"

ステップ 4: 仮想ゲートウェイからトランジットゲートウェイへのフェイルオーバートラフィック

1.    Amazon Virtual Private Cloud (Amazon VPC) コンソールを開きます。

2.    ナビゲーションペインで [ルートテーブル] を選択します。

3.    仮想ゲートウェイエントリを含む VPC ルートテーブルごとに、次の手順を実行します。

  • リストから VPC ルートテーブルを選択します。
  • [ルートタブ] を選択し、[ルートの編集] を選択します。
  • トランジットゲートウェイを指すように、オンプレミスネットワーク用の特定性の低いルートを追加します。たとえば、仮想プライベートゲートウェイ経由でオンプレミスネットワークにアクセスするための現在のルートが 10.10.0.0/24 の場合は、10.10.0.0/16 の CIDR ブロックを使用します。この設定では、トラフィックをトランジットゲートウェイにリダイレクトする準備が整うまで、仮想プライベートゲートウェイへのルートが優先されるようにします。
  • トラフィックをトランジットゲートウェイにシフトするには、VPN トンネルを介したオンプレミス CIDR のアドバタイズを停止するように仮想ゲートウェイに接続されているカスタマーゲートウェイを設定します。あるいは、BGP セッションを無効にすることもできます。
  • VPC ルートのルート伝播を無効にします。

この記事はお役に立ちましたか?

改善できることはありますか?


さらにサポートが必要な場合