ネットワーキング

AWS Transit Gateway で構築するハブ&スポークネットワーク - マルチ VPC 接続の設計

ハブ&スポーク型で複数 VPC とオンプレミスを集約し、ルートテーブル分離でセキュリティ境界を確立する。ピアリングによるマルチリージョン接続も紹介します。

約 1 分で読めます

Transit Gateway の概要

Transit Gateway は複数の VPC とオンプレミスネットワークをハブ&スポーク型で接続するサービスです。VPC ピアリングは 1 対 1 の接続で、VPC 数が増えるとフルメッシュの管理が困難になります。Transit Gateway は単一のハブとして機能し、全 VPC と VPN 接続を集約します。

ルートテーブル分離とマルチアカウント

Transit Gateway のルートテーブルを分離することで、本番 VPC 同士は通信可能だが開発 VPC とは通信不可、共有サービス VPC は全 VPC からアクセス可能、といったセグメンテーションを実現します。RAM で Transit Gateway を他のアカウントに共有し、各アカウントの VPC をアタッチします。Direct Connect Gateway との統合では、オンプレミスから Transit Gateway を経由して全 VPC にアクセスでき、VPC ごとに VPN を構築する必要がありません。

ピアリングとマルチリージョン接続

Transit Gateway ピアリングで異なるリージョンの Transit Gateway を接続し、マルチリージョンのハブ&スポークネットワークを構築できます。ピアリング接続は AWS のグローバルバックボーンを経由し、インターネットを通らない低レイテンシの通信を提供します。ピアリングのルートは静的ルートで設定し、各リージョンの CIDR ブロックを相互に広告します。 Transit Gateway Connect アタッチメントを使うと、 SD-WAN アプライアンスとの GRE トンネルと BGP ピアリングを確立し、動的ルーティングでオンプレミスネットワークと統合できます。マルチキャストドメインを Transit Gateway 上に作成し、マルチキャストトラフィックを VPC 間で配信することも可能です。 ネットワーク設計の基礎から応用まで、書籍 (Amazon)で体系的に学べます。

Transit Gateway の料金構造

Transit Gateway の料金はアタッチメント数 (VPC、VPN、Direct Connect Gateway ごとに時間課金) とデータ処理量で構成されます。アタッチメントは 1 つあたり約 0.05 ドル/時 (約 36 ドル/月) で、VPC 数が多い環境ではアタッチメント料金が主要なコスト要因になります。データ処理料金は 1 GB あたり約 0.02 ドルです。ピアリングアタッチメントにはリージョン間データ転送料金が追加されます。VPC 間のトラフィックパターンを分析し、通信量の多い VPC 同士は VPC ピアリング (データ処理料金なし) を併用することで、Transit Gateway のデータ処理コストを削減できます。Flow Logs で Transit Gateway を通過するトラフィックを可視化し、コスト最適化の判断材料にします。

まとめ

Transit Gateway はハブ&スポーク型でマルチ VPC ネットワークを集約するサービスです。ルートテーブル分離で本番・開発・共有サービスのセキュリティ境界を確立し、ピアリングでマルチリージョンのネットワークを構築します。Connect アタッチメントで SD-WAN との GRE/BGP 統合を実現し、Flow Logs でトラフィックパターンを可視化してコスト最適化の判断材料にします。

関連するサービス

AWS Transit Gateway複数の VPC とオンプレミスネットワークをハブ & スポーク型で接続するネットワークハブAmazon VPCAWS 上に論理的に分離された仮想ネットワークを構築するサービスAWS Direct Connectオンプレミスと AWS を専用線で接続し、安定した低レイテンシのネットワークを提供するサービス

関連する記事

AWS Direct Connect で構築する専用線接続 - 冗長構成とトラフィック制御専用線接続の冗長構成を設計し、Direct Connect Gateway で複数リージョンの VPC に接続する。LAG による帯域集約と MACsec 暗号化も紹介します。AWS RAM で実現するクロスアカウントリソース共有 - VPC サブネットと Transit Gateway の共有VPC サブネットや Transit Gateway をアカウント間で共有し、IP アドレス空間の一元管理と VPC ピアリングの削減を実現する手法を紹介します。AWS Network Manager でグローバルネットワークを可視化 - トポロジーと健全性の一元管理Transit Gateway や VPN を含むグローバルネットワークのトポロジーを可視化し、ルート分析で接続性を検証する手法を紹介します。

同じテーマの記事

AWS App Mesh で構築するサービスメッシュ - マイクロサービス間通信の制御と可観測性Envoy サイドカーによるカナリアデプロイ、リトライポリシー、mTLS 暗号化を宣言的に設定し、X-Ray 統合でサービス間の依存関係を可視化する手法を紹介します。AWS Cloud Map でサービスディスカバリを実現 - マイクロサービス間の動的な名前解決DNS ベースと API ベースの 2 方式でマイクロサービスのエンドポイントを動的に検出する。ECS・EKS との統合でサービスの登録・解除を自動化する手法を紹介します。CloudFront の 600 超 PoP はどう動いているのか - Anycast ルーティングとキャッシュ階層の仕組みCloudFront がユーザーのリクエストを最寄りの PoP にルーティングする Anycast の仕組み、エッジロケーションとリージョナルエッジキャッシュの 2 層構造、キャッシュヒット率を左右する設計要因を解説します。専用線接続の設計 - Direct Connect による安定した閉域網接続の実現AWS Direct Connect を活用した専用線接続の設計手法を解説し、専用接続とホスト接続の選択、冗長構成、VPC との統合による安定した閉域網接続の実現方法を紹介します。AWS Direct Connect で構築する専用線接続 - 冗長構成とトラフィック制御専用線接続の冗長構成を設計し、Direct Connect Gateway で複数リージョンの VPC に接続する。LAG による帯域集約と MACsec 暗号化も紹介します。Elastic IP アドレスの管理と設計 - 静的 IP の活用とコスト最適化Elastic IP の割り当て、EC2 との関連付け、未使用 EIP のコスト影響、代替手段の検討を解説します。ELB の 3 種類はなぜ 3 種類あるのか - ALB・NLB・CLB が分かれた設計判断の裏側ALB、NLB、CLB (Classic) の 3 種類のロードバランサーがなぜ統合されずに併存しているのかを、OSI 参照モデルのレイヤー、パフォーマンス特性、歴史的経緯から解説します。AWS Global Accelerator によるグローバルネットワーク最適化 - 低レイテンシ配信とフェイルオーバーAnycast IP で AWS グローバルネットワークにトラフィックを誘導し、エンドポイントグループの設計とヘルスチェックによるフェイルオーバーを実現する手法を紹介します。

内容が近い記事・サービス

AWS Transit Gateway複数の VPC やオンプレミスネットワークをハブ&スポーク型で相互接続し、ネットワーク構成を大幅に簡素化するサービスAWS ネットワークサービスの深さ - VPC・Transit Gateway・PrivateLink が実現する企業ネットワーク設計AWS の VPC、Transit Gateway、PrivateLink、Direct Connect、Network Firewall を中心としたネットワークサービス群を、Azure VNet/ExpressRoute や GCP VPC/Cloud Interconnect と比較し、エンタープライズネットワーク設計における柔軟性の優位性を解説します。AWS Network ManagerVPC、Transit Gateway、VPN、Direct Connect を含むグローバルネットワークのトポロジを一元的に可視化・監視・管理するサービスAWS Network Manager でグローバルネットワークを可視化 - トポロジーと健全性の一元管理Transit Gateway や VPN を含むグローバルネットワークのトポロジーを可視化し、ルート分析で接続性を検証する手法を紹介します。