目次

• 目次
• とある日
• Direct Connect ゲートウェイ - AWS Direct Connect
  • ワークロード
  • 仮想プライベートゲートウェイの関連付け
  • アカウント間の仮想プライベートゲートウェイの関連付け
  • トランジットゲートウェイの関連付け
  • アカウント間のトランジットゲートウェイの関連付け
• Transit Gateway - Amazon Virtual Private Cloud
• まとめ
• 〆

とある日

AWS の勉強用の記録。

よく問題集とかで出る項目だけを調べてまとめるだけ。

Direct Connect ゲートウェイ - AWS Direct Connect

AWS Direct Connect ゲートウェイを使用して VPC を接続します。

• 仮想インターフェース(以下VIF)とVPCの仮想プライベートゲートウェイ(以下VGW)の通信を簡素化する。
• 通信不可のユースケースがある
  • Direct Connect Gatewayを介したVPC(VGW)同士の通信は不可
  • Direct Connect Gatewayを介したVIF同士の通信は不可
  • 異なるAWSアカウントのVIFおよびVGWの接続は不可

上記のルートの通信が必要な場合は別の手段を用いる必要がある。

[新機能] AWS Direct Connect Gatewayで世界中のAWSリージョンとプライベート接続する | DevelopersIO

ワークロード

仮想プライベートゲートウェイの関連付け

シンプルな使用方法。

各 VPC には、仮想プライベートゲートウェイの関連付けを使用して Direct Connect ゲートウェイに接続する仮想プライベートゲートウェイがあります。Direct Connect ゲートウェイは、AWS Direct Connect ロケーションへの接続にプライベート仮想インターフェイスを使用します。ロケーションからお客様のデータセンターへの AWS Direct Connect 接続があります。

Direct Connectで複数のVPCにアクセスするときにゲートウェイを作成してゲートウェイからVPCにアクセスすることでアクセスを一元化できる。

アカウント間の仮想プライベートゲートウェイの関連付け

Direct Connect ゲートウェイを所有している Direct Connect 所有者 (アカウント Z) のシナリオを考えてみます。アカウント A とアカウント B は Direct Connect ゲートウェイの使用を希望しています。アカウント A とアカウント B はそれぞれ、関連付け提案をアカウント Z に送信します。アカウント Z はこの関連付け提案を承諾し、必要に応じて、アカウント A の仮想プライベートゲートウェイまたはアカウント B の仮想プライベートゲートウェイから許可されるプレフィックスを更新します。アカウント Z が提案を承諾すると、アカウント A とアカウント B はそれぞれの仮想プライベートゲートウェイから Direct Connect ゲートウェイにトラフィックをルートできるようになります。また、アカウント Z はゲートウェイを所有しているため、顧客へのルーティングを所有します。

先程のシンプルなVPCの構成でアカウントが別れたときでも使用できる方法。

ただ、ステップがことなる。

承認のフェーズが必要となる。

トランジットゲートウェイの関連付け

複数のVPC アタッチメントを持つ Transit GatewayにDirect Connect ゲートウェイを連携する。

この設定には次のような利点があります。以下を実行できます。

• 同じリージョンにある複数の VPN または VPC に対して 1 つの接続を管理する。
• オンプレミスから AWS に、または AWS からオンプレミスにプレフィックスをアドバタイズする。

アカウント間のトランジットゲートウェイの関連付け

Direct Connect ゲートウェイを所有している Direct Connect 所有者 (アカウント Z) のシナリオを考えてみます。アカウント A が Transit Gateway を所有していて、Direct Connect ゲートウェイを使用したいと考えています。アカウント Z は関連付け提案を受け入れ、オプションで、アカウント A の Transit Gateway から許可されるプレフィックスを更新できます。アカウント Z が提案を受け入れた後で、Transit Gateway にアタッチされた VPC は、Transit Gateway から Direct Connect ゲートウェイにトラフィックをルーティングできます。また、アカウント Z はゲートウェイを所有しているため、顧客へのルーティングを所有します。

トランジットゲートウェイの関連付けのアカウント連携バージョン。

Transit Gateway - Amazon Virtual Private Cloud

Transit Gateway を使用すると、同じリージョンに VPC と VPN 接続をアタッチして、それらの間でトラフィックをルーティングできます。Transit Gateway はAWSアカウント間で機能し、AWS RAMを使用して Transit Gateway を他のアカウントと共有できます。他のAWSアカウントと Transit Gateway を共有した後、アカウントの所有者は Transit Gateway にそれらの VPC をアタッチすることができます。どちらのアカウントのユーザーも、アタッチメントをいつでも削除できます。

• VPCとVPCの通信を簡素化する。
• 異なるAWSリージョンでも通信可能。
• 他のアカウントと共有可能。

VPCの連携を一元化できる。

Transit Gatewayを利用してVPC間で通信してみた | DevelopersIO

まとめ

Direct Connectを使っていて複数のVPCやアカウントをまとめて通信するときはDirect Connectゲートウェイを設定する。

Direct Connectゲートウェイは制限がある。

Direct ConnectゲートウェイとTransit Gatewayは目的が違う。

• Direct Connectゲートウェイ
  • Direct Connectが前提
  • VIFとVGWの1対多の通信を実現する
• Transit Gateway
  • VPC間の通信

〆

Direct Connectゲートウェイには制限があるので要件で使用できるか検討する必要がある。

問題で出たらその制限があるかないかをチェック。

ユースケースによっては2つの連携が必要になる場合がある。