VPC 間のアクセスを許可せずに、トランジットゲートウェイに接続した単一の VPN 接続から複数の VPC 間の通信を許可する方法を教えてください。

最終更新日: 2022 年 7 月 7 日

2 つの仮想プライベートクラウド (VPC) があります。オンプレミスのユーザーは、単一の VPN 接続で両方の VPC にアクセスする必要があります。単一の VPN 接続を介して VPC とオンプレミスネットワーク間のネットワーク接続を確立したいです。どうすればよいですか?

簡単な説明

本番環境と開発環境など、単一の VPN 接続を持つ 2 つの VPC がある場合、これらのステップに従って複数の VPC のリソース間にネットワーク接続を確立します。これにより、以下のことが発生します。

  • オンプレミスユーザーは、VPN 内の全 VPC からリソースにアクセスできる
  • VPC リソースは他の VPC のリソースにアクセスできない

解決方法

トランジットゲートウェイを作成し、VPC とサイト間 VPN をアタッチする

  1. Amazon Virtual Private Cloud (Amazon VPC) コンソールで、トランジットゲートウェイを作成します
    : トランジットゲートウェイを作成するときに、[Default association] ルートテーブル設定をオフにします。
  2. トランジットゲートウェイに VPC をアタッチします
  3. サイト間 VPN を作成し、それを上記のトランジットゲートウェイにアタッチします
    : VPN ルートをトランジットゲートウェイのルートテーブルに自動的に伝播するには、 [Routing option] で [Dynamic] を選択します。このオプションには、ボーダーゲートウェイプロトコルが必要です。

トランジットゲートウェイのルートテーブルを作成し、そのテーブルを VPC に関連付ける

  1. Amazon VPC コンソールを開きます。
  2. ナビゲーションペインで、[Transit gateways] を選択します。
  3. トランジットゲートウェイの [Default association route table] 設定が、[Disable] に設定されていることを確認します。
    注: デフォルトアソシエートルートテーブルが [Enable] に設定されている場合は、ステップ 9 に進みます。
  4. [Transit gateway route tables] (トランジットゲートウェイルートテーブル) を選択します。
  5. [Create transit gateway route table] (トランジットゲートウェイルートテーブルを作成) を選択します。
    [Name tag] (名前タグ) に「Route Table A」と入力します。
    [Transit gateway ID] (トランジットゲートウェイ ID) で、対象のトランジットゲートウェイの ID を選択します。
    次に、[Create transit gateway route table] (トランジットゲートウェイルートテーブルを作成) を選択します。
  6. 前のステップで作成したルートテーブル A、またはトランジットゲートウェイのデフォルトルートテーブルを選択します。
  7. [Associations] (関連付け)、[Create association] (アソシエーションを作成) の順に選択します。
  8. [Choose attachment to associate] には VPC の関連付け ID を選択します。次に、[Create association] (アソシエーションを作成) を選択します。 すべての VPC が [Association] (関連付け) の下に表示されるまで、このステップを繰り返します。
  9. デフォルトのトランジットゲートウェイのルートテーブルから VPN の関連付けを削除します。

2 番目のトランジットゲートウェイのルートテーブルを作成し、VPN 接続に関連付ける

  1. Amazon VPC コンソールで、[Transit gateway route tables] (トランジットゲートウェイルートテーブル) を選択します。
  2. [Create transit gateway route table] (トランジットゲートウェイルートテーブルを作成) を選択します。
    [Name tag] (名前タグ) に「Route Table B」と入力します。
    [Transit gateway] (トランジットゲートウェイ) ID で、対象のトランジットゲートウェイの ID を選択します。
    次に、[Create transit gateway route table] (トランジットゲートウェイルートテーブルを作成) を選択します。
  3. 前のステップで作成したルートテーブル B を選択する
  4. [Associations] (関連付け)、[Create association] (アソシエーションを作成) の順に選択します。
  5. ルートテーブル B で作成した VPN 接続を関連付けます。

両方のルートテーブルに VPC と VPN からのルートを伝播する

  1. Amazon VPC コンソールで、[Transit gateway route tables] (トランジットゲートウェイルートテーブル) を選択します。
  2. [Route Table A] (ルートテーブル A) を選択します。
  3. [Actions] (アクション) を選択してから、[Create propagation] (伝播の作成) を選択します。
  4. [Choose attachment to propagate] (伝播するアタッチメントを選択) には VPN の伝播を選択します。すべてのアタッチメントに対して伝播が有効になっている場合は、このルートテーブルで VPN 接続の関連付けが有効になっていないことを確認します。
    重要: 動的ルーティングではなく静的ルート VPN 接続を作成した場合は、ルートテーブル A の VPN へのオンプレミスネットワークの静的ルートを作成する必要があります。ポリシーベースの静的 VPN 接続では、セキュリティアソシエーション (SA) の 1 つのペアのみが許可されます。オンプレミス CIDR と VPC の CIDR を 1 つの SA に統合します。詳細については、「AWS VPN エンドポイントとポリシーベースの VPN の間における接続問題をトラブルシューティングするにはどうすればよいですか?」を参照してください。
  5. [Create propagation] (伝播の作成) を選択します。
  6. トランジットゲートウェイのルートテーブルから、[Route table B] (ルートテーブル B) を選択します。
  7. [Actions] (アクション) を選択してから、[Create propagation] (伝播の作成) を選択します。
  8. [Choose attachment to propagate] (伝播するアタッチメントを選択) で、全 VPC に伝播を選択します。次に、[Create propagation] (伝播の作成) を選択します。

VPC とアタッチメントサブネットに関連付けられたルートテーブルを設定する

  1. Amazon VPC コンソールで、[Route tables] (ルートテーブル) を選択します。
  2. アタッチメントサブネットにアタッチされているルートテーブルを選択します。
  3. [Routes] タブを選択してから、[Edit routes] をクリックします。
  4. [Add route] (ルートを追加) タブを選択します。
    [Destination] (送信先) で、オンプレミスネットワークのサブネットを選択します。
    [Target] (ターゲット) で、対象のトランジットゲートウェイを選択します。
  5. [Save routes] (ルートの保存) を選択します。

: ユースケースで VPC 間のアクセスをより厳しく制限する必要がある場合は、VPC ごとに個別のルートテーブルを作成し、ルートを設定できます。次の点にご注意ください。

  • トランジットゲートウェイのルートテーブルでのルーティングは、トランジットゲートウェイの関連付けとトランジットゲートウェイのルートテーブルの関連付けに基づいています。
  • 任意のトランジットゲートウェイのルートテーブルで、トランジットゲートウェイアタッチメントの任意の宛先へルートを設定できます。Transit Gateway アタッチメントは、その特定のルートテーブルに関連付ける必要はありません。

この記事は役に立ちましたか?


請求に関するサポートまたは技術サポートが必要ですか?