AWS Transit Gateway で構築するハブ&スポークネットワーク - マルチ VPC 接続の設計
ハブ&スポーク型で複数 VPC とオンプレミスを集約し、ルートテーブル分離でセキュリティ境界を確立する。ピアリングによるマルチリージョン接続も紹介します。
Transit Gateway の概要
Transit Gateway は複数の VPC とオンプレミスネットワークをハブ&スポーク型で接続するサービスです。VPC ピアリングは 1 対 1 の接続で、VPC 数が増えるとフルメッシュの管理が困難になります。Transit Gateway は単一のハブとして機能し、全 VPC と VPN 接続を集約します。
ルートテーブル分離とマルチアカウント
Transit Gateway のルートテーブルを分離することで、本番 VPC 同士は通信可能だが開発 VPC とは通信不可、共有サービス VPC は全 VPC からアクセス可能、といったセグメンテーションを実現します。RAM で Transit Gateway を他のアカウントに共有し、各アカウントの VPC をアタッチします。Direct Connect Gateway との統合では、オンプレミスから Transit Gateway を経由して全 VPC にアクセスでき、VPC ごとに VPN を構築する必要がありません。
ピアリングとマルチリージョン接続
Transit Gateway ピアリングで異なるリージョンの Transit Gateway を接続し、マルチリージョンのハブ&スポークネットワークを構築できます。ピアリング接続は AWS のグローバルバックボーンを経由し、インターネットを通らない低レイテンシの通信を提供します。ピアリングのルートは静的ルートで設定し、各リージョンの CIDR ブロックを相互に広告します。 Transit Gateway Connect アタッチメントを使うと、 SD-WAN アプライアンスとの GRE トンネルと BGP ピアリングを確立し、動的ルーティングでオンプレミスネットワークと統合できます。マルチキャストドメインを Transit Gateway 上に作成し、マルチキャストトラフィックを VPC 間で配信することも可能です。 ネットワーク設計の基礎から応用まで、書籍 (Amazon)で体系的に学べます。
Transit Gateway の料金構造
Transit Gateway の料金はアタッチメント数 (VPC、VPN、Direct Connect Gateway ごとに時間課金) とデータ処理量で構成されます。アタッチメントは 1 つあたり約 0.05 ドル/時 (約 36 ドル/月) で、VPC 数が多い環境ではアタッチメント料金が主要なコスト要因になります。データ処理料金は 1 GB あたり約 0.02 ドルです。ピアリングアタッチメントにはリージョン間データ転送料金が追加されます。VPC 間のトラフィックパターンを分析し、通信量の多い VPC 同士は VPC ピアリング (データ処理料金なし) を併用することで、Transit Gateway のデータ処理コストを削減できます。Flow Logs で Transit Gateway を通過するトラフィックを可視化し、コスト最適化の判断材料にします。
集中型インスペクション構成
セキュリティを一元化したい場合、検査専用の Inspection VPC を用意し、VPC 間や外部との通信をすべてそこへ集約する構成が有効です。Transit Gateway のルートテーブルを設計し、スポーク VPC からの通信を一度 Inspection VPC のファイアウォールへ向け、検査後に目的地へ転送します。AWS Network Firewall やサードパーティのアプライアンスを配置すれば、組織全体の通信を統一的なポリシーで監視・制御できます。ファイアウォールを各 VPC に分散させずに済むため、ルールの管理が簡潔になり、抜け漏れを防げます。
アプライアンスモードと経路の対称性
ステートフルなファイアウォールを経由させる構成では、往路と復路で異なる経路を通る非対称ルーティングが問題になります。検査装置は通信の状態を追跡するため、往復が別経路だとセッションが成立しません。Transit Gateway のアプライアンスモードを有効にすると、同一フローの往復が必ず同じアベイラビリティゾーンの経路を通るようになり、ステートフル検査が正しく機能します。集中型インスペクションを設計する際は、このモードの有効化が前提になることを押さえておきます。
設計上の考慮点とクォータ
Transit Gateway はアタッチメントごとに帯域の上限があり、大量のトラフィックが集中する経路では複数のアタッチメントへ分散する設計を検討します。ルートテーブルのエントリ数やアタッチメント数にもクォータがあるため、VPC が増え続ける前提で CIDR 設計を計画し、経路の集約 (サマリ化) を意識します。CIDR が重複すると正しくルーティングできないため、組織全体でアドレス空間を計画的に割り当てることが、後々の拡張をスムーズにする鍵になります。
監視とトラブルシューティング
Transit Gateway を通過するトラフィックは Flow Logs で記録でき、どの経路でどれだけの通信が流れているかを把握できます。これは障害の切り分けだけでなく、データ処理料金の最適化を判断する材料にもなります。CloudWatch のメトリクスでアタッチメントごとの転送量やパケット数を監視し、想定外の急増を検知します。経路が期待どおりに通っているかは、ルートテーブルの内容と Flow Logs を突き合わせて確認します。通信できない問題の多くは、ルートテーブルの関連付けや伝播の設定漏れに起因します。
まとめ
Transit Gateway はハブ&スポーク型でマルチ VPC ネットワークを集約するサービスです。ルートテーブル分離で本番・開発・共有サービスのセキュリティ境界を確立し、ピアリングでマルチリージョンのネットワークを構築します。Connect アタッチメントで SD-WAN との GRE/BGP 統合を実現し、Flow Logs でトラフィックパターンを可視化してコスト最適化の判断材料にします。