Transit Gatewayを使ってオンプレミス環境とVPCを繋げよう
クラウドサービスを利用するにあたって、今あるオンプレミス環境との統合が可能か、開発者の方々は考えたことはないでしょうか。今回はAWS(Amazon Web Services)にて、提供されている「Transit Gateway」について解説していきます。
Transit Gatewayとは
Transit Gatewayは、AWSにて提供されているVPC(Amazon Virtual Private Cloud)とオンプレミスネットワークを単一のゲートウェイに接続できるようにするサービスのことです。
AWSで実行するワークロードの数が増えると、複数のアカウントでの運用が増加していきます。結果、VPC間のネットワークが複雑化し、それらを管理しなければなりません。ピアリングすることでVPC 間を接続することはできますが、数多くのVPCにわたるポイントツーポイント接続を管理することになるので、接続ポリシーを一元管理できないと、運用上コストがかかるうえに非効率的になってしまいます。特にオンプレミスの接続においては、VPNをそれぞれのVPCにアタッチする必要があり、VPCの数が数百単位まで増えると、構築するには時間がかかり、管理が難しくなります。
それを解決するのが、Transit Gatewayです。Transit Gatewayを使用することで、中央のゲートウェイからネットワーク上にあるVPC、オンプレミスのデータセンター、リモートオフィスのそれぞれに単一の接続を構築して管理することができます。Transit Gatewayがハブの役割を果たしてくれる他、接続されたネットワーク間をどのようにルーティングするか、制御してくれます。このような※ハブアンドスポーク型では、各ネットワークをTransit Gatewayにのみに接続して、他のすべてのネットワークに接続する必要がないため、大幅に管理を簡略化して運用コストを削減することができます。新たにVPCを追加したい場合は、Transit Gatewayに接続するだけで、同じTransit Gatewayに接続されている他のネットワークにも自動的につながります。接続が簡単なので、成長に合わせてネットワークを難なくスケーリングすることができ、複雑化したVPCを単一の接続に集約し、管理することができます。
※業務システム同士のデータ接続を仲介・支援するシステムのことを指す。
Transit Gatewayの特徴
ルーティング
Transit Gatewayは、VPCとVPN間の動的および静的階層を3ルーティングサポートしています。パケットの送信先IPアドレスに応じて、ルートで次の転送、中継が決定される仕組みです。また、ルートでは、VPCまたはVPN接続を指定することができます。
エッジ接続
Transit Gatewayとオンプレミスとのゲートウェイの間に、VPNを使用してVPN接続を作成することができます。また、同じプレフィックスを宣言する複数のVPN接続を作成することで、※ECMP(Equal Cost Multi Path)をこれらの接続の間で有効にできます。トラフィックを複数のパスに負荷分散することで、ECMP によって帯域幅を広げることができます。
※ネットワークトラフィックを高バンド幅の複数のリンクに分散することによってパフォーマンスを向上、負荷を分散させるルーティングアルゴリズムのこと
Amazon VPC 機能の相互運用性
Transit Gatewayでは、Transit GatewayにアタッチされているVPCからクエリが発行された際に、パブリックDNSホスト名をプライベートIPアドレスで解決することができます。また、VPCのインスタンスは、Transit Gatewayにアタッチされている他のVPCのNATゲートウェイ、Network Load Balancer、AWS PrivateLink、Amazon Elastic File Systemにアクセスすることができます。
モニタリング
Transit Gatewayでは統計とログが提供されます。これらは、Amazon CloudWatchや Amazon VPCフローログなどのサービスで使用され、Amazon VPCとVPN接続間の帯域幅の使用量、パケットフロー数、パケットドロップ数を取得することができます。また、Transit GatewayでAmazon VPCフローログを有効にすることができるため、AWS Transit Gatewayを使用してルーティングされたIPトラフィックに関する情報を取得することもできます。
マルチキャスト
Transit Gatewayマルチキャストを使用することで、クラウドに簡単にマルチキャストグループを作成し、管理することができるようになりました。クラウドのマルチキャストソリューションをスケールアップ、およびスケールダウンして同時に複数のサブスクライバ―に一連のコンテンツを届けることができます。Transit Gatewayマルチキャストを使用すると、誰がマルチキャストトラフィックを作り、誰がそれを消費しているか、細かいコントロールをすることができます。
セキュリティ
Transit GatewayはIdentity and Access Management(IAM)と統合されているため、ユーザーはTransit Gatewayへのアクセスを安全に管理することができます。IAMを使用すると、AWSのユーザーとグループを作成および管理し、アクセス権を使用してAWS Transit Gatewayへのアクセスを許可および拒否をすることができます。
自動処理プロビジョニング
既存のTransit Gatewaysに登録すると、ネットワークマネージャーがSite-to-Site VPN接続および関連するオンプレミスリソースを自動的に特定します。Cisco、Aruba、Silver Peak、AviatrixなどのTransit Gatewayを統合しているベンダーのSD-WANは、Transit Gatewayネットワークマネージャーの新しいAWS Site-to-Site VPN接続を自動的にプロビジョンし、また、Transit Gatewayネットワークマネージャーのオンプレミスネットワークを自動的に定義します。また、Transit Gatewayネットワークマネージャーでオンプレミスネットワークを手動でも定義することができます。
まとめ
Transit Gatewayの解説は以上です。Transit Gatewayは既存のオンプレミス環境とAWSを橋渡しすることのできるインフラサービスです。これらとAWSの各種サービスを利用することでより業務効率を引き上げることが可能でしょう。
