柔軟なコスト配分 - Amazon VPC
計測ポリシー

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

柔軟なコスト配分

デフォルトでは、Transit Gateway は送信者ベースのコスト配分モデルを使用して、ソースアタッチメントを所有するアカウントにデータ処理料金が割り当てられます。アタッチメントタイプ、特定のアタッチメント IDs、ネットワークアドレスなどのトラフィックフロープロパティに基づいて課金するアカウントを定義するカスタム計測ポリシーを作成できます。

計測ポリシーは、ルール番号の最小値から最大値まで評価される順序付けられたルールで構成されます。トラフィックがルールに一致すると、指定されたアカウントはルールの設定に従って課金されます。以下のオプションから、コストを割り当てるアカウント所有者を指定できます。

  • ソースアタッチメント所有者 - 料金はソースアタッチメントを所有するアカウントに割り当てられます (デフォルトの動作)

  • 送信先アタッチメント所有者 - 料金は送信先アタッチメントを所有するアカウントに割り当てられます

  • トランジットゲートウェイ所有者 - 料金はトランジットゲートウェイを所有するアカウントに割り当てられます

Flexible Cost Allocation を使用すると、一元化されたネットワークアーキテクチャを使用する組織のコスト管理が改善され、ネットワークトポロジーに関係なく、適切なビジネスユニットまたはアプリケーション所有者にコストを割り当てることができます。

注記

Flexible Cost Allocation を使用すると、計測使用量とコストを任意のアカウント所有者に柔軟に割り当てることができます。ただし、 AWS アカウントの税への影響は、地理的な場所、使用パターン、その他の要因によって大きく異なる場合があります。この機能を有効にする前に、 AWS 組織内のアカウントの請求、税金、コスト管理への影響を確認してください。リファレンス: Billing AWS and Cost Management とは

計測ポリシー

計測ポリシーを使用すると、トランジットゲートウェイのコスト配分ルールを設定して、トラフィックフロープロパティに基づいてデータ処理と転送コストに課金されるアカウントを制御できます。この機能により、一元化されたネットワークアーキテクチャを使用する組織のコスト管理とチャージバック機能が向上します。

計測ポリシーは、以下で構成されます。

  • 計測ポリシー - 計測ポリシールールを含む全体的な設定コンテナ。作成時に、ソースアタッチメント所有者へのすべてのトラフィックを課金するように設定されたデフォルトの計測ポリシーエントリが 1 つ含まれます。各トランジットゲートウェイには、1 つの計測ポリシーのみを含めることができます。

  • 計測ポリシーエントリ - 特定の一致基準を定義する計測ポリシー内の個々のルールと、使用量を計測するアカウント。各エントリには、評価順序のルール番号、トラフィック一致条件 (送信元と送信先のアタッチメントタイプ、アタッチメント IDs、CIDR ブロック、ポート、プロトコルなど)、および一致するトラフィックに対して課金するアカウント所有者が含まれます。ポリシーには最大 50 個のエントリを含めることができ、ルール番号の順に評価されます。

    計測使用量は、次のいずれかに割り当てることができます。

    • ソースアタッチメント所有者: トラフィックが発生するアタッチメントを所有するアカウントに計測使用量を割り当てます (デフォルトの動作)

    • 送信先アタッチメント所有者: トラフィックが終了するアタッチメントを所有するアカウントに計測使用量を割り当てます。

    • トランジットゲートウェイ所有者: トランジットゲートウェイを所有するアカウントに計測使用量を割り当てます。

  • ミドルボックスアタッチメント - (オプション) セキュリティ検査、負荷分散、またはその他のネットワーク機能のためにネットワークアプライアンスを介してトラフィックをルーティングする指定のトランジットゲートウェイアタッチメント。ミドルボックスアタッチメントを通過するトラフィックのデータ使用量は、計測ポリシーで指定されたアカウント所有者に計測されます。最大 10 個のミドルボックスアタッチメントを指定できます。サポートされているミドルボックスアタッチメントタイプは、Network Function (AWS Network Firewall)、VPC、VPN アタッチメントです。

計測ポリシーの仕組み

デフォルトでは、Transit Gateway は送信者ベースのコスト配分モデルを使用し、データ処理料金はソースアタッチメントを所有するアカウントに対して計測されます。計測ポリシーを使用すると、次のトラフィックフロープロパティに基づいて使用量を柔軟に計測するカスタムルールを作成できます。

  • 送信元と送信先のアタッチメントタイプ (VPC、VPN、Direct Connect Gateway、ピアリング、ネットワーク関数、VPN コンセントレータ)

  • 送信元と送信先のアタッチメント IDs

  • 送信元と送信先の IP アドレス、ポート範囲とプロトコル

計測ポリシーは、ルール番号の最小値から最大値まで評価される順序付けられたルールで構成されます。トラフィックがルールに一致すると、指定されたアカウントはルールの従量制アカウント設定に従って課金されます。計測ポリシーは、いくつかの一般的な組織シナリオに対処します。

  • ハイブリッド環境のコスト配分: Direct Connect Gateway を介してオンプレミス AWS から移行するデータのコストを、中央の IT 管理者アカウントの所有者ではなく、宛先 VPC アカウントの所有者に配分します。

  • 一元化された検査アーキテクチャ: 検査 VPC を介したトラフィックトラバースについて、中央セキュリティチームではなく、個々のアプリケーションまたは VPCs。

  • アプリケーションベースのチャージバック: トラフィックの方向に関係なく、ワークロードのすべてのデータ使用コストを VPC 所有者に割り当てます。

  • クライアントコスト配分: クライアントアカウントがトランジットゲートウェイへのアタッチメントを作成するときに、データコストをクライアントアカウントに割り当てます。

ミドルボックスアタッチメント

トランジットゲートウェイ計測ポリシーは、ミドルボックスアタッチメントをサポートしているため、ネットワークファイアウォールやロードバランサーなどのミドルボックスアプライアンスを介してルーティングされるネットワークトラフィックのデータ処理料金を柔軟に割り当てることができます。ミドルボックスアタッチメントの例としては、Network Firewall への AWS Network Function アタッチメントや、VPC 内のサードパーティーのセキュリティアプライアンスにトラフィックをルーティングする VPC アタッチメントなどがあります。送信元と送信先のトランジットゲートウェイアタッチメント間のトラフィックは、一般的なセキュリティ検査のユースケースのために、これらのミドルボックスアタッチメントを経由します。計測ポリシーを定義して、元のソースアタッチメント、最終送信先アタッチメント、またはトランジットゲートウェイアカウントの所有者にミドルボックスアタッチメントのデータ処理使用量を柔軟に割り当てることができます。Network Function アタッチメントの場合、 AWS Network Firewall データ処理料金も計測対象アカウントに割り当てられます。

Flexible Cost Allocation - Metering の使用タイプ

計測ポリシーによる柔軟なコスト配分は、次のデータ使用タイプに適用されます。

  • VPC、VPN、VPN Concentrator、Direct Connect アタッチメントでのトランジットゲートウェイデータ処理の使用

  • VPN アタッチメントでのSite-to-site VPN データ転送の使用

  • Direct Connect アタッチメントでの Direct Connect Data Transfer Out の使用。

  • TGW ピアリングアタッチメントでのデータ転送の使用

  • トランジットゲートウェイ Network Function アタッチメントでのデータ処理の使用

  • AWS Network Function アタッチメントでの Network Firewall (NFW) データ処理の使用。

柔軟なコスト配分は、アタッチメントの時間単位の使用とマルチキャストデータ処理の使用には適用されません。Transit Gateway Connect アタッチメントの場合、基盤となるトランスポート VPC または Direct Connect アタッチメントに計測ポリシーを定義できます。プライベート IP VPN アタッチメントの場合、基盤となるトランスポート Direct Connect アタッチメントに計測ポリシーを定義できます。

考慮事項と制限事項

トランジットゲートウェイに計測ポリシーを実装する場合は、次の点を考慮してください。

権限

  • トランジットゲートウェイ所有者のみが、計測ポリシーを作成、変更、または削除できます。

  • コスト配分設定は、トランジットゲートウェイレベルに適用されます。

  • アタッチメント所有者は、トランジットゲートウェイ所有者によって設定されたコスト配分設定を上書きすることはできません。

Transit Gateway ピアリング

トラフィックがトランジットゲートウェイピアリング接続を通過する場合:

  • 各トランジットゲートウェイは、独自の計測ポリシーを個別に適用します。

  • データ料金は、ローカルポリシーに基づいて各トランジットゲートウェイによって個別に割り当てられます。

  • トラフィックは、ソースアタッチメントからピアリング、および宛先アタッチメントへのピアリングの 2 つの異なるフローと考えることができます。

クラウド WAN 統合

トランジットゲートウェイが Cloud WAN コアネットワークにアタッチされている場合:

  • ピアリング接続のトランジットゲートウェイデータ転送料金は、トランジットゲートウェイの計測ポリシーに従って割り当てられます。

  • 計測ポリシーは、クラウド WAN コアネットワークではサポートされていません。

パフォーマンスへの影響

  • 計測ポリシーでは、追加のデータパスレイテンシーは発生しません。

  • 計測ポリシーは、アタッチメントあたりの最大帯域幅には影響しません。

  • Transit Gateway リソース共有機能に変更はありません。

請求の統合

  • コスト配分タグは、ビジネスユニット別にコストを整理するための計測ポリシーと引き続き連携します。

  • 計測ポリシーはコストが発生するアカウントを定義しますが、コスト配分タグはそれらのコストの分類に役立ちます。

  • 計測ポリシーの変更は、次の請求時間の終了時に有効になります。

IPv6 サポート

計測ポリシーは、IPv4 トラフィックと IPv6 トラフィックの両方でサポートされています。ポリシーエントリの CIDR ブロックマッチングは、両方のアドレスファミリーで機能します。

ミドルボックスアタッチメントのサポート

  • ミドルボックス計測ポリシーは、元の送信元アタッチメントと送信先アタッチメント間のトラフィックが、指定されたミドルボックスアタッチメント (VPC-to-VPCトラフィックの東西検査など) を介してヘアピン留めされていることを前提としています。したがって、ミドルボックスアタッチメントに出入りするフローのネットワーク 5 タプル (送信元/送信先 IPs、送信元/送信先ポート、プロトコル) は一致する必要があります。ミドルボックスアタッチメントに 5 タプルのミスマッチがあるフロー (検査 VPC の NAT 変換など) は、通常の送信元と送信先のアタッチメントフロー (ミドルボックスアタッチメントフローではなく) として扱われます。

  • ミドルボックスアタッチメントのすべての出力専用フロー (検査 VPC の IGW 経由でインターネットへの南北トラフィックなど) は、通常の送信元/送信先フロー (ミドルボックスアタッチメントフローではなく) として扱われます。

  • Network AWS ファイアウォールがパケットをドロップすると、Network Function アタッチメントの場合、計測ポリシーの設定に関係なく、すべてのデータ処理使用量が送信者アカウントに請求されます。

トピック