翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# ネットワークアカウント
<a name="networking-account"></a>

ネットワークアカウントは、AMS マルチアカウントランディングゾーンアカウント、オンプレミスネットワーク、インターネットへの送信トラフィック間のネットワークルーティングの中央ハブとして機能します。さらに、このアカウントには、AMS エンジニアが AMS 環境のホストにアクセスするためのエントリポイントであるパブリック DMZ 踏み台が含まれています。詳細については、 以下のネットワークアカウントの大まかな図を参照してください。

![\[Network architecture diagram showing Egress VPC, DMZ VPC, and connections to on-premises and internet.\]](http://docs.aws.amazon.com/ja_jp/managedservices/latest/onboardingguide/images/malzNetworkAccount.png)


# ネットワークアカウントアーキテクチャ
<a name="malz-network-arch"></a>

次の図は、AMS マルチアカウントランディングゾーン環境を示し、アカウント間のネットワークトラフィックフローを示し、可用性の高いセットアップの例です。

 

![\[AWS network architecture diagram showing multiple accounts, VPCs, and connectivity components.\]](http://docs.aws.amazon.com/ja_jp/managedservices/latest/onboardingguide/images/AMS_MALZ_NET_FLOW-2.png)


![\[Diagram showing network traffic flow between AWS アカウント, VPCs, and internet gateways.\]](http://docs.aws.amazon.com/ja_jp/managedservices/latest/onboardingguide/images/AMS_MALZ_NET_FLOW_LEGEND.png)


AMS は、標準テンプレートとオンボーディング中に提供された選択したオプションに基づいて、ネットワーキングのあらゆる側面を設定します。標準の AWS ネットワーク設計が AWS アカウントに適用され、VPC が自動的に作成され、VPN または Direct Connect によって AMS に接続されます。Direct Connect の詳細については、[「AWS Direct Connect](https://aws.amazon.com/directconnect/)」を参照してください。標準 VPCs には、DMZ、共有サービス、アプリケーションサブネットが含まれます。オンボーディングプロセス中に、ニーズ (顧客部門、パートナーなど) に合わせて追加の VPCs がリクエストおよび作成される場合があります。オンボーディング後、ネットワーク図が提供されます。これは、ネットワークの設定方法を説明する環境ドキュメントです。

**注記**  
すべてのアクティブなサービスのデフォルトのサービス制限と制約については、[AWS Service Limits](https://docs.aws.amazon.com/general/latest/gr/aws_service_limits.html) ドキュメントを参照してください。

当社のネットワーク設計は、Amazon の[「最小特権の原則](https://en.wikipedia.org/wiki/Principle_of_least_privilege)」を中心に構築されています。これを実現するために、信頼できるネットワークからのトラフィックを除くすべてのトラフィックを DMZ 経由でルーティングします。唯一の信頼されたネットワークは、VPN や AWS Direct Connect (DX) を使用してオンプレミス環境と VPC 間で設定されるネットワークです。アクセスは踏み台インスタンスを使用して付与されるため、本番稼働用リソースに直接アクセスできなくなります。すべてのアプリケーションとリソースは、パブリックロードバランサーを介して到達可能なプライベートサブネット内に存在します。パブリックエグレストラフィックは、エグレス VPC (ネットワークアカウント) の NAT ゲートウェイを介してインターネットゲートウェイに、次にインターネットに流れます。または、トラフィックが VPN または Direct Connect 経由でオンプレミス環境に流れることもあります。

# AMS マルチアカウントランディングゾーン環境へのプライベートネットワーク接続
<a name="malz-net-arch-private-net"></a>

AWS は、仮想プライベートネットワーク (VPN) 接続、または AWS Direct Connect との専用ラインを介したプライベート接続を提供します。マルチアカウント環境のプライベート接続は、次に説明する方法のいずれかを使用して設定されます。
+ Transit Gateway を使用した一元化された Edge 接続
+ Direct Connect (DX) や VPN をアカウント仮想プライベートクラウド (VPCs) に接続する

# Transit Gateway を使用した一元化されたエッジ接続
<a name="malz-net-arch-cent-edge"></a>

AWS Transit Gateway は、VPCs とオンプレミスネットワークを単一のゲートウェイに接続できるサービスです。トランジットゲートウェイ (TGW) を使用して、既存のエッジ接続を統合し、単一の進入/退出ポイントにルーティングできます。トランジットゲートウェイは、AMS マルチアカウント環境のネットワークアカウントに作成されます。Transit Gateway の詳細については、[AWS Transit Gateway](https://aws.amazon.com/transit-gateway/)」を参照してください。

AWS Direct Connect (DX) ゲートウェイは、トランジット仮想インターフェイスを介して、トランジットゲートウェイにアタッチされている VPCs VPNs に DX 接続を接続するために使用されます。Direct Connect ゲートウェイを Transit Gateway に関連付けます。次に、Direct Connect ゲートウェイへの AWS Direct Connect 接続のトランジット仮想インターフェイスを作成します。DX 仮想インターフェイスの詳細については、[「AWS Direct Connect 仮想インターフェイス](https://docs.aws.amazon.com/directconnect/latest/UserGuide/WorkingWithVirtualInterfaces.html)」を参照してください。

この設定には次のような利点があります。以下を実行できます。
+ 同じ AWS リージョンにある複数の VPCs VPNs に対して 1 つの接続を管理します。
+ プレフィックスをオンプレミスから AWS、AWS からオンプレミスにアドバタイズします。

**注記**  
AWS のサービスで DX を使用する方法については、「Resiliency Toolkit」セクション[「Classic](https://docs.aws.amazon.com/directconnect/latest/UserGuide/getstarted.html)」を参照してください。詳細については、[「Transit Gateway の関連付け](https://docs.aws.amazon.com/directconnect/latest/UserGuide/direct-connect-transit-gateways.html)」を参照してください。

![\[AWS Transit Gateway network diagram showing connections to VPCs and Direct Connect.\]](http://docs.aws.amazon.com/ja_jp/managedservices/latest/onboardingguide/images/malz-cent-edge.png)


接続の耐障害性を高めるには、異なる AWS Direct Connect ロケーションから Direct Connect ゲートウェイに少なくとも 2 つのトランジット仮想インターフェイスをアタッチすることをお勧めします。詳細については、[AWS Direct Connect の障害耐性に関する推奨事項](https://aws.amazon.com/directconnect/resiliency-recommendation/)を参照してください。

# DX または VPN をアカウント VPCsに接続する
<a name="malz-net-arch-dx-vpn"></a>

このオプションを使用すると、AMS マルチアカウントランディングゾーン環境VPCs は Direct Connect または VPN に直接接続されます。トラフィックは、トランジットゲートウェイを経由することなくVPCs から Direct Connect または VPN に直接流れます。

# ネットワークアカウントのリソース
<a name="networking-account-resources"></a>

ネットワークアカウント図に示すように、以下のコンポーネントがアカウントに作成され、入力が必要です。

ネットワークアカウントには、Egress VPCs と **Perimeter** VPC とも呼ばれる **DMZ VPC** の 2 つの VPC が含まれています。 **** 

# AWS Network Manager
<a name="networking-manager"></a>

AWS Network Manager は、トランジットゲートウェイ (TGW) ネットワークを AMS に追加コストなしで視覚化できるサービスです。AWS リソースとオンプレミスネットワークの両方での一元化されたネットワークモニタリング、トポロジ図と地理的マップでのプライベートネットワークの単一のグローバルビュー、およびバイトイン/アウト、パケットイン/アウト、ドロップされたパケット、トポロジ、ルーティング、およびアップ/ダウン接続ステータスの変更に関するアラートなどの使用率メトリクスを提供します。詳細については、「[AWS Network Manager](https://aws.amazon.com/transit-gateway/network-manager/)」を参照してください。

このリソースにアクセスするには、次のいずれかのロールを使用します。
+ AWSManagedServicesCaseRole
+ AWSManagedServicesReadOnlyRole
+ AWSManagedServicesChangeManagementRole

# エグレス VPC
<a name="networking-vpc"></a>

Egress VPC は主にインターネットへの Egress トラフィックに使用され、最大 3 つのアベイラビリティーゾーン (AZs) のパブリック/プライベートサブネットで構成されます。ネットワークアドレス変換 (NAT) ゲートウェイはパブリックサブネットにプロビジョニングされ、トランジットゲートウェイ (TGW) VPC アタッチメントはプライベートサブネットに作成されます。すべてのネットワークからの送信またはアウトバウンドのインターネットトラフィックは TGW 経由でプライベートサブネットを経由して入り、VPC ルートテーブルを介して NAT にルーティングされます。

パブリックサブネットにパブリック向けアプリケーションを含む VPCs の場合、インターネットから発信されるトラフィックはその VPC 内に含まれます。リターントラフィックは TGW または Egress VPC にルーティングされませんが、VPC のインターネットゲートウェイ (IGW) 経由でルーティングされます。

**注記**  
ネットワーク VPC CIDR 範囲: VPC を作成するときは、VPC の IPv4 アドレスの範囲を Classless Inter-Domain Routing (CIDR) ブロックの形式で指定する必要があります。たとえば、10.0.16.0/24 です。これは VPC のプライマリ CIDR ブロックです。  
AMS マルチアカウントランディングゾーンチームは、今後他のリソース/アプライアンスがデプロイされる場合に備えて、バッファを提供するために 24 の範囲 (より多くの IP アドレスを使用) を推奨します。

# 境界 (DMZ) VPC
<a name="networking-dmz"></a>

Perimeter、または DMZ、VPC には、AMS オペレーションエンジニアが AMS ネットワークにアクセスするために必要なリソースが含まれています。これには、2～3 AZs のパブリックサブネットが含まれており、AMS Operations エンジニアがログインまたはトンネルスルーするための Auto Scaling グループ (ASG) の SSH Bastions ホストがあります。DMZ 踏み台にアタッチされたセキュリティグループには、**Amazon Corp Networks** からのポート 22 インバウンドルールが含まれています。

*DMZ VPC CIDR 範囲：* VPC を作成するときは、10.0.16.0/24 など、Classless Inter-Domain Routing (CIDR) ブロックの形式で VPC の IPv4 アドレスの範囲を指定する必要があります。これは VPC のプライマリ CIDR ブロックです。

**注記**  
AMS チームは、ファイアウォールなどの他のリソースが将来デプロイされる場合に備えて、バッファを提供するために 24 の範囲 (より多くの IP アドレスを使用) を推奨します。

# AWS Transit Gateway
<a name="networking-transit-gateway"></a>

AWS Transit Gateway (TGW) は、Amazon Virtual Private Cloud (VPCs) とオンプレミスネットワークを単一のゲートウェイに接続できるサービスです。トランジットゲートウェイは、AMS アカウントネットワークと外部ネットワーク間のルーティングを処理するネットワークバックボーンです。トランジットゲートウェイの詳細については、[AWS Transit Gateway](https://aws.amazon.com/transit-gateway/)」を参照してください。

このリソースを作成するには、次の入力を指定します。
+ *トランジットゲートウェイ ASN 番号*\$1: トランジットゲートウェイのプライベート自律システム番号 (ASN) を指定します。これは、ボーダーゲートウェイプロトコル (BGP) セッションの AWS 側の ASN になります。16 ビット ASN の場合、その範囲は 64512 〜 65534 です。