翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS Transit Gateway を使用してネットワーク接続を一元化
Mydhili Palagummi と Nikhil Marrapu、Amazon Web Services
概要
このパターンでは、AWS Transit Gateway を使用して、オンプレミスネットワークを AWS リージョン内の複数の AWS アカウントの仮想プライベートクラウド (VPC) に接続できる最も単純な構成を示しています。この設定を使用して、リージョン内の複数の VPC ネットワークとオンプレミスネットワークを接続するハイブリッドネットワークを確立できます。これは、トランジットゲートウェイと、オンプレミスネットワークへの仮想プライベートネットワーク (VPN) 接続を使用することで達成されます。
前提条件と制限
前提条件
AWS Organizations の組織のメンバーアカウントとして管理される、ネットワークサービスをホストするためのアカウント
Classless Inter-Domain Routing (CIDR) ブロックが重複しない、複数の AWS アカウントの VPC
機能制限
このパターンでは、特定の VPC 間またはオンプレミスネットワーク間のトラフィックの分離をサポートしません。トランジットゲートウェイに接続されているすべてのネットワークは、相互にアクセスできるようになります。トラフィックを分離するには、トランジットゲートウェイでカスタムルートテーブルを使用する必要があります。このパターンでは、最も単純な構成である単一のデフォルトトランジットゲートウェイルートテーブルを使用して、VPC とオンプレミスネットワークのみを接続します。
アーキテクチャ
ターゲットテクノロジースタック
AWS Transit Gateway
AWS Site-to-Site VPN
VPC
AWS Resource Access Manager (AWS RAM)
ターゲットアーキテクチャ
ツール
AWS サービス
「AWS Resource Access Manager (AWS RAM)」 は、AWS アカウント、組織単位、または AWS Organizations の組織全体でリソースを安全に共有するのに役立ちます。
AWS Transit Gatewayは、仮想プライベートクラウド (VPC) とオンプレミスネットワークを接続する中央ハブです。
エピック
| タスク | 説明 | 必要なスキル |
|---|---|---|
transit gateway を作成します。 | ネットワークサービスをホストする AWS アカウントで、ターゲット AWS リージョンにトランジットゲートウェイを作成します。手順については、「トランジットゲートウェイの作成」を参照してください。次の点に注意してください。
| ネットワーク管理者 |
| タスク | 説明 | 必要なスキル |
|---|---|---|
VPN 接続のカスタマーゲートウェイデバイスを設定します。 | カスタマーゲートウェイデバイスは、トランジットゲートウェイとオンプレミスネットワーク間の、Site-to-Site VPN 接続のオンプレミス側に接続されています。詳細については、AWS Site-to-Site VPN ユーザーガイドの「カスタマーゲートウェイデバイス」を参照してください。適用されるオンプレミスの顧客デバイスを特定または起動し、そのパブリック IP アドレスを書き留めます。VPN の設定は、このエピックの後半で完了します。 | ネットワーク管理者 |
ネットワークサービスアカウントで、トランジットゲートウェイへの VPN アタッチメントを作成します。 | 接続をセットアップするには、トランジットゲートウェイの VPN アタッチメントを作成します。手順については、「トランジットゲートウェイ VPN アタッチメント」を参照してください。 | ネットワーク管理者 |
オンプレミスネットワークのカスタマーゲートウェイデバイスに、VPN を設定します。 | トランジットゲートウェイに関連付けられているSite-to-Site VPN 接続の設定ファイルをダウンロードして、カスタマーゲートウェイデバイスの VPN セッティングを設定します。手順については、「設定ファイルをダウンロード」を参照してください。 | ネットワーク管理者 |
| タスク | 説明 | 必要なスキル |
|---|---|---|
AWS Organizations 管理アカウントで、共有をオンにします。 | トランジットゲートウェイを組織する、または特定の組織単位と共有するには、AWS Organizations で共有をオンにします。そうしないと、アカウントごとにトランジットゲートウェイを個別に共有する必要性がでてきます。手順については、「AWS Organizations 内のリソース共有の有効化」 を参照してください。 | AWS システム管理者 |
ネットワークサービスアカウントにトランジットゲートウェイリソースシェアを作成します。 | 組織の他の AWS アカウントの VPC がトランジットゲートウェイに接続できるようにするには、ネットワークサービスアカウントで AWS RAM コンソールを使用してトランジットゲートウェイリソースを共有します。手順については、「リソース共有の作成」 を参照してください。 | AWS システム管理者 |
| タスク | 説明 | 必要なスキル |
|---|---|---|
個別のアカウントで VPC アタッチメントを作成します。 | トランジットゲートウェイが共有されているアカウントで、トランジットゲートウェイ VPC アタッチメントを作成します。手順については、「VPC へのトランジットゲートウェイアタッチメントの作成」を参照してください。 | ネットワーク管理者 |
VPC アタッチリクエストを受け入れます。 | ネットワークサービスアカウントで、トランジットゲートウェイの VPC アタッチメントリクエストを受け入れます。手順については、「共有アタッチメントの承認」 を参照してください。 | ネットワーク管理者 |
| タスク | 説明 | 必要なスキル |
|---|---|---|
個々のアカウント VPC にルートを設定します。 | 個々のアカウント VPC に、Transit Gateway をターゲットとして使用して、オンプレミスのネットワークと他の VPC ネットワークへのルートを追加します。手順については、「ルートテーブルからのルートの追加と削除」 を参照してください。 | ネットワーク管理者 |
トランジットゲートウェイのルートテーブル内のルート。 | VPC と VPN 接続からのルートは伝達され、トランジットゲートウェイのデフォルトルートテーブルに表示されるはずです。必要に応じて、トランジットゲートウェイのデフォルトルートテーブルに静的ルート (静的 VPN 接続のための静的ルートが一例) を作成します。手順については、「静的ルートの作成」 を参照してください。 | ネットワーク管理者 |
セキュリティグループとネットワークをアクセスコントロールリスト (ACL)ルールに加えます。 | EC2 インスタンスと VPC 内のその他のリソースについては、セキュリティグループルールルールとネットワーク ACL ルールが 、VPC とオンプレミスネットワーク間のトラフィックを許可していることを確認します。手順については、「セキュリティグループを使用してリソースへのトラフィックを制御」 と「ACL にルールを追加または削除」 を参照してください。 | ネットワーク管理者 |
| タスク | 説明 | 必要なスキル |
|---|---|---|
VPC 間の接続をテストします。 | ネットワーク ACL とセキュリティグループが、インターネット制御メッセージプロトコル (ICMP) トラフィックを許可することを確認し、次にVPC 内のインスタンスから、同じくトランジットゲートウェイに接続されている別の VPCへのネットワーク接続を確認します。 | ネットワーク管理者 |
VPC とオンプレミスネットワーク間の接続をテストします。 | ネットワーク ACL ルール、セキュリティグループルール、およびファイアウォールが ICMP トラフィックを許可することを確認し、オンプレミスネットワークと VPC の EC2 インスタンス間の接続を確認します。VPNを | ネットワーク管理者 |
関連リソース
スケーラブルでセキュアなマルチ VPC の AWS ネットワークインフラストラクチャを構築する
(AWS ホワイトペーパー) 「共有リソースの使用」 (AWS RAM ドキュメント)
「トランジットゲートウェイの操作」 (AWS Transit Gateway ドキュメント)
