[AWS] Transit Gatewayを使ってVPN,VPC,別リージョン接続を試してみる

AWSAWS,Transit Gateway

はじめに

AWSのTrasit Gatewayを使ってAWSのネットワークサービスと接続してみます。

ケースは下記の4つ。それぞれ設定手順も記載します。

①Transit GatewayとVPCを接続する
②Transit Gatewayとオンプレ環境をVPNで接続してみる
③別VPC間を接続してみる
④別リージョンに存在するVPCを接続してみる

以降で上記の1~4の構築をします。

①Transit GatewayとVPCを接続する

構成

まずは最初にTransit Gatewayを構築しVPCと接続します。この後、オンプレと接続したり、別のVPCやリージョンと接続しますが、その為の下準備となります。

⓵Transit GatewayとVPCを接続する

なお、Transit Gatewayアタッチメントするサブネットとなる「tyo_vpc01_1a_pri_gw_sub01」「tyo_vpc01_1d_pri_gw_sub01」ですが当該サブネットにはインスタンスは作成しません。Transit Gateway専用のサブネットとします。理由は下記の推奨が行われているためです。

※下記AWS公式ブログから抜粋

Q. VPC をアタッチするときに指定するサブネットをアタッチ専用のサブネットとする必要性について、もう少し具体例を挙げて説明していただきたいです。そのサブネットの内部のEC2 インスタンスのルーティングに影響あるとのことでしたが、どのような影響があるのか?などを教えていただきたいです。
A. Transit Gateway (TGW) のアタッチメントがついているサブネットと同一のサブネットに EC2 インスタンスが存在する場合に、その EC2 インスタンスはTGWと同じルーティングテーブルを参照します。
例えば インライン監査用の VPC の TGW の ENI がある Subnet 上に EC2 インスタンスを設置してしまうと、その EC2 インスタンスは必ずインライン監査のミドルボックス ENI に吸い込まれてしまい、EC2 インスタンスの意図するルーティングテーブルを作れなくなってしまいます。こういったことを防ぐために、TGW 専用のサブネットを作ることをお薦めしています。

https://aws.amazon.com/jp/blogs/news/webinar-bb-aws-transit-gateway-2019/

設定方法

では早速設定に入ります。

まず、『VPC』から「Transit Gateway」を選択し、「Transit Gatewayを作成」を押します。

任意の名前タグを入力し、「Amazon側の自律システム番号(ASN)」に入力をします。ここは後にBGPを構成するときのAS番号になります。その他の設定はデフォルトです。入力が完了したら「Transit Gatewayを作成」ボタンを押します。

状態がAvailableになることを確認します。

次にTransit Gatewayをサブネットにアタッチします。まず、「Transit Gatewayアタッチメント」を選択し、「Transit Gatewayアタッチメントを作成」を押します。

Transit Gatewayアタッチメントの画面で下記の通り入力します。

状態がAvailableになることを確認します。

設定は以上です。次ページはTransit Gatewayとオンプレ環境をVPNで接続します。