AWS Transit Gatewayの概要

Amazon Web Servicesは、11月に2018でAWS Transit Gatewayサービスを導入し、顧客がポイントツーポイントIPsecトンネルに依存することなく複数の仮想プライベートクラウド（VPC）に接続できるようにしました。 AWS Transit Gatewayは、VCP間でルーティングされるトラフィックを集中制御するハブアンドスポークモデルを可能にします。 これにより、運用コストと管理の複雑さが軽減され、VPCの追加に応じてネットワークを簡単に拡張できます。

まず、いくつかの背景。 VPCは、AWSクラウドの論理的に分離されたセクションであり、IPアドレス、サブネット、ルーティングテーブル、およびネットワークゲートウェイを制御できます。 これにより、保護されたリソースをプライベートに面したサブネットに配置し、Webサービスをパブリックに面したサブネットに配置して、 セキュリティ 必要に応じてアクセスを制御します。 

Amazonは、組織が複数のVPCとリモートリソースを接続するグローバルネットワークを作成するために、コアにファイアウォールまたはルーティングインスタンスを備えたTransit VPCをセットアップしていることを発見しました。 ただし、動的ルーティングに必要なすべてのIPsecトンネルをセットアップするには、多くの手動作業または慎重なスクリプト作成が必要でした。 AWS Transit Gatewayサービスは、この一般的な顧客の課題に対処するために開発されました。

Transit Gatewayを使用すると、1つのAWSリージョン内の複数のVPCに共有VPNを作成できます。 Transit Gatewayには、さまざまなVPCに実装されている認証や監視などのサービスに接続できるマスタールーティングテーブルが含まれています。 トランジットゲートウェイとインターネットの間に位置し、ファイアウォール、Webアプリケーションフィルタリング、データ損失防止などのサービスを提供するセキュリティVPCを作成することもできます。 インターネットと保護されたリソースの間を流れるトラフィックは、ポリシーに従って許可または拒否されます。

CloudFormationを含む他のAmazonツールを活用できます モデリング プロビジョニングツール、Lambdaサーバーレスコンピューティング、CloudWatchモニタリングおよびアラートツール。 ただし、Transit GatewayはAWS接続のみをサポートしていますが、他のリンクにリンクすることもできます 雲 IPsec VPN接続を介して。 

現在、トランジットゲートウェイにはいくつかの制限があります。 トランジットゲートウェイは、マルチリージョン接続をサポートしていません。 ファイアウォールによってトラフィックがレビューされる前にホップを追加しているため、遅延の追加が問題になる場合があります。 また、ルーティングアグリゲーションを使用できないため、ルーティングテーブルはどんどん大きくなります。 これらの制限を考慮して、トランジットゲートウェイが有益であるかどうかを検討する必要があります。

トランジットゲートウェイを設計する際、まずお客様の接続要件を確認します。 VPC間のデータフローモデルとは何ですか？ 何かを隔離する必要がありますか、またはすべてのVPCが互いに通信する必要がありますか？ これらは、ソリューションをホワイトボードするために顧客と一緒に座るときに尋ねるいくつかの質問です。 その後、検出を実行し、ベストプラクティスに従ってネットワークを設計し、実装、展開を進めます と 検証

私たちが探している成功基準の1つは、トランジットゲートウェイが、接続を要求したすべてのリソースに「接続」できるかどうかです。 ルーティング情報は正しいですか？ データトラフィックは設計どおりに流れていますか？ さらに、ハブアンドスポークモデルがあるため、非対称ルーティングを探す必要もあります。 矛盾を最小限に抑えるために、パケットは同じ方法でネットワークに出入りする必要があります。

複数のVPCを持つ組織は、それらを相互接続し、リモートサービスに接続するための効率的な方法を必要としています。 ラヒシステムズ ネットワークサービス チームは、AWS Transit Gatewayサービスを活用してこのプロセスを簡素化するお手伝いをします。