AWS Transit Gateway よくある質問

ページトピック

全般
12
パフォーマンスと制限
1
セキュリティとコンプライアンス
1
機能の相互運用性
8
ネットワークマネージャー
17

全般

AWS Transit Gateway は、米国東部 (バージニア北部)、米国東部 (オハイオ)、米国西部 (オレゴン)、米国西部 (北カリフォルニア)、AWS GovCloud (米国東部)、AWS GovCloud (米国西部)、カナダ (中部)、南米 (サンパウロ)、アフリカ (ケープタウン)、欧州 (アイルランド)、欧州 (ストックホルム)、欧州 (ロンドン)、欧州 (フランクフルト)、欧州 (パリ)、欧州 (ミラノ)、中東 (バーレーン)、アジアパシフィック (香港)、アジアパシフィック (ムンバイ)、アジアパシフィック (大阪)、アジアパシフィック (東京)、アジアパシフィック (シンガポール)、アジアパシフィック (ソウル)、アジアパシフィック (シドニー)、アジアパシフィック (北京)、アジアパシフィック (寧夏)、アジアパシフィック (ジャカルタ)、中東 (アラブ首長国連邦)、欧州 (チューリッヒ)、欧州 (スペイン)、アジアパシフィック (ハイデラバード)、アジアパシフィック (メルボルン)、イスラエル (テルアビブ) およびカナダ西部 (カルガリー) の各 AWS リージョンでご利用いただけます。

Transit Gateway のピアサポートは、米国東部 (バージニア北部)、米国東部 (オハイオ)、米国西部 (オレゴン)、米国西部 (北カリフォルニア)、AWS GovCloud (米国東部)、AWS GovCloud (米国西部)、カナダ (中部)、欧州 (アイルランド)、欧州 (フランクフルト)、欧州 (パリ)、欧州 (ロンドン)、欧州 (ストックホルム)、欧州 (ミラノ)、中東 (バーレーン)、アフリカ (ケープタウン)、アジアパシフィック (香港)、アジアパシフィック (ムンバイ)、アジアパシフィック (東京)、アジアパシフィック (ソウル)、アジアパシフィック (シンガポール)、アジアパシフィック (シドニー)、アジアパシフィック (大阪)、アジアパシフィック (北京)、アジアパシフィック (寧夏)、南米 (サンパウロ)、アジアパシフィック (ジャカルタ)、中東 (アラブ首長国連邦)、欧州 (チューリッヒ) 欧州 (スペイン)、アジアパシフィック (ハイデラバード)、アジアパシフィック (メルボルン) およびイスラエル (テルアビブ) の各 AWS リージョンでご利用いただけます。

Transit Gateway マルチキャストのサポートは、米国東部 (バージニア北部)、米国東部 (オハイオ)、米国西部 (オレゴン)、米国西部 (北カリフォルニア)、AWS GovCloud (米国東部)、AWS GovCloud (米国西部)、カナダ (中部)、欧州 (アイルランド)、欧州 (ロンドン)、欧州 (フランクフルト)、欧州 (ストックホルム)、欧州 (パリ)、欧州 (ミラノ)、南米 (サンパウロ)、南アフリカ (ケープタウン)、アジアパシフィック (東京)、アジアパシフィック (シドニー)、アジアパシフィック (ムンバイ)、アジアパシフィック (香港)、アジアパシフィック (大阪)、アジアパシフィック (ソウル)、アジアパシフィック (シンガポール)、中東 (バーレーン)、アジアパシフィック (北京)、アジアパシフィック (寧夏)、アジアパシフィック (ジャカルタ)、中東 (アラブ首長国連邦)、欧州 (チューリッヒ)、欧州 (スペイン)、アジアパシフィック (ハイデラバード)、アジアパシフィック (メルボルン) およびイスラエル (テルアビブ) の各 AWS リージョンでご利用いただけます。

Transit Gateway マルチキャストの IGMP サポートは、米国東部 (バージニア北部)、米国東部 (オハイオ)、米国西部 (オレゴン)、米国西部 (北カリフォルニア)、欧州 (アイルランド)、欧州 (ロンドン)、欧州 (パリ)、欧州 (フランクフルト)、欧州 (ストックホルム)、欧州 (ミラノ)、アジアパシフィック (東京)、アジアパシフィック (ソウル)、アジアパシフィック (シンガポール)、アジアパシフィック (シドニー)、アジアパシフィック (ムンバイ)、アジアパシフィック (香港)、アジアパシフィック (北京)、アジアパシフィック (寧夏)、アジアパシフィック (大阪)、アジアパシフィック (ジャカルタ)、カナダ (中部)、南米 (サンパウロ)、アフリカ (ケープタウン)、中東 (バーレーン)、中東 (UAE)、欧州 (チューリッヒ)、欧州 (スペイン)、アジアパシフィック (ハイデラバード)、アジアパシフィック (メルボルン)、イスラエル (テルアビブ)、GovCloud (米国東部)、および GovCloud (米国西部) の各 AWS リージョンでご利用いただけます。

Transit Gateway Connect は、米国東部 (バージニア北部)、米国東部 (オハイオ)、米国西部 (オレゴン)、米国西部 (北カリフォルニア)、欧州 (アイルランド)、欧州 (ロンドン)、欧州 (パリ)、欧州 (フランクフルト)、欧州 (ストックホルム)、欧州 (ミラノ)、アジアパシフィック (東京)、アジアパシフィック (ソウル)、アジアパシフィック (シンガポール)、アジアパシフィック (シドニー)、アジアパシフィック (ムンバイ)、アジアパシフィック (香港)、アジアパシフィック (北京)、アジアパシフィック (寧夏)、アジアパシフィック (大阪)、アジアパシフィック (ジャカルタ)、カナダ (中部)、南米 (サンパウロ)、アフリカ (ケープタウン)、中東 (バーレーン)、中東 (UAE)、欧州 (チューリッヒ)、欧州 (スペイン)、アジアパシフィック (ハイデラバード)、アジアパシフィック (メルボルン)、イスラエル (テルアビブ)、GovCloud (米国東部)、および GovCloud (米国西部) の各 AWS リージョンでご利用いただけます。

AWS Transit Gateway で複数のルートテーブルを作成してネットワークを分割し、Amazon VPC と VPN をルートテーブルに関連付けることができます。これにより、AWS Transit Gateway 内に、従来のネットワークにおける仮想ルーティングおよび転送 (VRF) と同様の分離された複数のネットワークを作成できるようになります。AWS Transit Gateway にはデフォルトのルートテーブルが用意されています。複数のルートテーブルの使用は任意です。

AWS Transit Gateway では、添付された Amazon VPC と VPN 間の動的および静的なルーティングをサポートしています。デフォルトでは、Amazon VPC、VPN、Direct Connect ゲートウェイ、およびピアの Transit Gateway が、デフォルトのルートテーブルに関連付けられています。追加のルートテーブルを作成し、Amazon VPC、Direct Connect ゲートウェイ、VPN、Transit Gateway Connect、ピア Transit Gateways をこれに関連付けることができます。

ルートによって、パケットの送信先 IP アドレスに応じて次のホップが決まります。ルートでは、Amazon VPC、VPN 接続、Direct Connect ゲートウェイ、または Transit Gateway、あるいはピアの Transit Gateway を指定できます。

ルートを AWS Transit Gateway に伝播する方法は 2 つあります:

  1. オンプレミスネットワーク間で伝播されたルート: VPN または Direct Connect Gateway に接続すると、ルートはボーダーゲートウェイプロトコル (BGP) を使用して AWS Transit Gateway とオンプレミスのルーター間で伝播されます。
  2. Amazon VPC 間で伝播されたルート: ユーザーが Amazon VPC を AWS Transit Gateway にアタッチするか、アタッチされている Amazon VPC のサイズ変更を行うと、Amazon VPC のクラスレスドメイン間ルーティング (CIDR) が内部 API (BGP ではなく) を使用して AWS Transit ゲートウェイのルートテーブルに伝播します。CIDR は、IP アドレスおよび IP ルーティングを割り当てることで、インターネット上のルーターでルーティングテーブルが肥大化するスピードを低減するための方法です。これは、IPv4 アドレスが急激に枯渇するのを防ぐ上でも役立ちます。AWS Transit Gateway ルートテーブルのルートは、Amazon VPC のルートテーブルには伝播されません。VPC の所有者は、トラフィックを AWS Transit Gateway に送信するには、静的ルートを作成する必要があります。

Transit Gateway 間のピア接続の添付では、ルート伝播はサポートされません。ピアリング添付ファイルでトラフィックを送信するには、Transit Gateway ルートテーブルに静的ルートを作成する必要があります。

AWS Transit Gateway では、CIDR が同一の Amazon VPC 間のルーティングはサポートしていません。新しい Amazon VPC をアタッチする場合、その CIDR が、既にアタッチされている Amazon VPC と同一ならば、AWS Transit Gateway では、新しい Amazon VPC のルートを AWS Transit Gateway ルートテーブルに伝播しません。

AWS Transit Gateway Connect は AWS Transit Gateway の機能の 1 つです。これは、SD-WAN (ソフトウェア定義のワイドエリアネットワーク) ネットワーク仮想アプリケーションのネイティブ照合を通じて AWS Transit Gateway へのブランチ接続を簡素化します。AWS Transit Gateway Connect は Connect アタッチメントと呼ばれる新しいロジカルアタッチメントタイプを提供します。これは Amazon VPC または AWS Direct Connect を基本ネットワーク転送として利用するものです。これは ジェネリックルーティングカプセル化 (GRE) や Connect アタッチメント上のボーダーゲートウェイプロトコル (BGP) などの標準プロトコルをサポートしています。

AWS Transit Gateway Connect は数多くの主要 SD-WAN とネットワーキングパートナーによってサポートされています。詳しくは、パートナーページをご覧ください。

GRE や BGP などの標準プロトコルをサポートしている第三者ネットワークアプリケーションは、AWS Transit Gateway Connect で機能します。

はい。既存の AWS Transit Gateway で Connect アタッチメントを作成できます。

いいえ。AWS Transit Gateway Connect は静的ルートをサポートしていません。BGP は最小要件です。

はい。BGP セッションは GRE トンネル上に確立されています。

はい。その他の Transit Gateway アタッチメントと同様に、ルートテーブルを Connect に関連付けることができます。そのルートテーブルは VPC または AWS Direct Connect (基本転送メカニズム) アタッチメントの関連付けルートテーブルと同じ/違うものとなります。

パフォーマンスと制限

制限とクォータの詳細については、ドキュメントを参照してください。

この制限を超える必要がある場合は、サポートケースを作成してください。

セキュリティとコンプライアンス

AWS Transit Gateway は、Amazon VPC からコンプライアンスを継承しており、PCI DSS レベル 1、ISO 9001、ISO 27001、ISO 27017、ISO 27018、SOC 1、SOC 2、SOC 3、FedRAMP Moderate、FedRAMP High、HIPAA 適合基準を満たしています。

機能の相互運用性

はい。AWS Transit Gateway を異なる AWS アカウントの AWS Direct Connect Gateway に関連付けることができます。AWS Transit Gateway の所有者のみが Direct Connect Gateway への関連付けを作成できます。Resource Access Manager を使用して AWS Transit Gateway を Direct Connect Gateway に関連付けることはできません。詳細については、Direct Connect に関するよくある質問の AWS Transit Gateway サポートセクションを参照してください。

いいえ、Transit Gateway と Direct Connect ゲートウェイに同じ ASN を使用することはできません。

VPC アタッチメント内および VPC アタッチメント間のマルチキャストトラフィックを Transit Gateway にルーティングできます。マルチキャストルーティングは、AWS Direct Connect、AWS Site-to-Site VPN、およびピア接続アタッチメントではサポートされていません。

はい。AWS Transit Gateway Connect は IPv6 をサポートしています。GRE トンネルと、IPv6 アドレスのあるボーダーゲートウェイプロトコル (BGP) のアドレス間で構成できます。

はい。GRE トンネルおよび BGP アドレスを同じ、または異なるアドレスファミリーになるように構成することができます。例えば、IPv4 アドレスレンジのある GRE トンネルと IPv6 アドレスレンジのある BGP アドレスを構成できます。また、逆の構成もできます。

はい。AWS Transit Gateway はマルチキャストトラフィックの IGMPv2 (インターネットグループマネジメントプロトコルバージョン 2) をサポートしています。

はい。同じマルチキャストドメインで IGMP と静的メンバーの両方を持つことができます。IGMP 能力のあるメンバーは、IGMPv2 メッセージを送信することにより、ダイナミックにマルチキャストグループに参加、または脱退することができます。コンソール CLI または SDK を使用して、静的メンバーを追加または削除することができます。

はい。AWS Resource Access Manager (RAM) を使用してアカウントまたは AWS Organizations の組織全体に VPC サブネット関連付けの転送ゲートウェイマルチキャストドメインを共有できます。

ネットワークマネージャー

AWS Transit Gateway Network Manager は AWS Transit Gateway の機能の 1 つです。ネットワークリソースおよびリモートのブランチロケーションへの接続を集中的に管理およびモニタリングします。

Transit Gateway Network Manager を設定して管理するには、以下の手順に従ってください:

  • 新しい「グローバルネットワーク」 (最初は空のオブジェクト) を作成します。
  • 任意の AWS リージョンから AWS Transit Gateway を登録します。
  • オンプレミスリソース/クラウドリソースの追加: オンプレミス/クラウドのデバイス、サイト、リンク、接続、Connect ピア、および関連付けられている Site-to-Site VPN 接続に関する情報を入力します。
  • グローバルネットワークの監視: ネットワークマネージャーによる可視化、イベント、メトリクスを利用します。

AWS Transit Gateway Network Manager は数多くの主要 SD-WAN によってサポートされています。詳しくは、パートナーページをご覧ください。Network Manager とこれらのパートナーの SD-WAN ソリューションを統合することにより、ブランチとクラウドの接続の自動化が可能になり、グローバルネットワークのエンドツーエンドの監視を単一のダッシュボードから行えます。

「グローバルネットワーク」とは、AWS 内のユーザーのプライベートグローバルネットワークを表す AWS Transit Gateway Network Manager のオブジェクトです。それには AWS Transit Gateway ハブ、そのアタッチメント、AWS パートナー SD-WAN ネットワーク装置、オンプレミスデバイス、サイト、リンク、接続が含まれます。

登録された AWS Transit Gateway について、すべてのアタッチメントが自動的に含められます。添付には、VPC、VPN、Direct Connect Gateway、AWS Transit Gateway Connect、AWS Transit Gateway ピア接続が含まれます。

AWS Transit Gateway Network Manager のダッシュボードに、すべての AWS リージョンおよびオンプレミスでご利用の AWS Transit Gateway が表示されます。ネットワークリソースおよび接続の論理的ビューと地理的ビューが、ネットワークステータスと共に表示されます。

AWS Transit Gateway Network Manager のダッシュボードには、入出力バイト数、入出力パケット数、ドロップされたパケット数などのイベントとメトリクスも表示されます。接続ステータスは、グローバルネットワークのトポロジービューおよび地理的ビューに埋め込まれています。AWS Transit Gateway Network Manager は、AWS CloudWatch を通じて、グローバルネットワークに関するリアルタイムのネットワークイベントとメトリクスも提供します。これらのイベント、メトリクス、可視化によりネットワークを監視し、必要に応じてアクションを取ることができます。

ネットワークマネージャーのダッシュボードから、Transit Gateway の可用性および入出力バイト数、入出力パケット数、ドロップされたパケット数などのパフォーマンスメトリクスを表示できます。オンプレミスのデバイスおよびリンクについて、AWS Site-to-Site VPN のアップ/ダウンメトリクスも表示できます。

AWS Transit Gateway Network Manager は、ネットワークトポロジーの変更、ルーティングの更新、接続ステータスの更新に関する組み込みのイベント通知を提供します。これらのイベントは CloudWatch Events を通じて配信されます。

SD-WAN プロバイダーは、AWS Transit Gateway Network Manager との統合を提供します。Network Manager とプロバイダーの SD-WAN ソリューションを統合することにより、ブランチとクラウドの接続の自動化が可能になり、グローバルネットワークのエンドツーエンドのモニタリングを単一の画面 (ネットワークマネージャーのダッシュボード) から行えます。

パートナーの SD-WAN ソリューションでは、ユーザーの代わりに AWS アプリケーションプログラムインターフェイス (API) を使用して自動的にブランチデバイスを登録し、VPN 接続を作成した後、VPN 構成をブランチデバイスに適用して接続を確立します。

Route Analyzer は AWS Transit Gateway Network Manager の機能の 1 つです。グローバルネットワーク全体の Transit Gateways のルーティング構成を確認する際に役立ちます。

いいえ。Route Analyzer はデータパケットを送信しませんが、指定された送信元と送信先の間で関連する Transit Gateway ルートテーブル構成を認証します。

はい。Transit Gateway がグローバルネットワークに登録されている場合は使用できます。送信先へのパス上に複数の Transit Gateway がある場合、それらすべてをグローバルネットワークに登録する必要があります。

いいえ。Route Analyzer は Transit Gateway ルートテーブルのみを認証します。VPC ルートテーブルとカスタマーゲートウェイデバイスは分析の一部ではありません。

いいえ。Route Analyzer は Transit Gateway ルートテーブルのみを認証します。セキュリティグループルールとネットワーク ACL ルールは分析の一部ではありません。

はい。この機能は、Transit Gateway に設定されたミドルボックスアプライアンスアーキテクチャで使用できます。分析を実行すると、Route Analyzer は、送信元と送信先の間にミドルボックスアプライアンスがあるかどうかを確認するように求めます。