翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 # AWS Transit Gateway Connect を使用して VRF を AWS に拡張する *Amazon Web Services、Adam Till、Yashar Araghi、Vikas Dewangan、Mohideen HajaMohideen* ## 概要 仮想ルーティングと転送 (VRF) は従来のネットワークの機能です。分離された論理ルーティングドメインをルートテーブル形式で使用して、同じ物理インフラストラクチャ内のネットワークトラフィックを分離します。オンプレミスネットワークを AWS に接続するときに VRF 分離をサポートするように AWS Transit Gateway を構成できます。このパターンでは、サンプルアーキテクチャを使用してオンプレミスの VRF をさまざまなトランジットゲートウェイルートテーブルに接続します。 このパターンは、AWS Direct Connect のトランジット仮想インターフェイス (VIF) と Transit Gateway の Connect アタッチメントを使用して VRF を拡張します。[トランジット VIF](https://docs.aws.amazon.com/directconnect/latest/UserGuide/WorkingWithVirtualInterfaces.html) は、Direct Connect ゲートウェイに関連付けられた 1 つまたは複数の Amazon VPC トランジットゲートウェイにアクセスするために使用されます。[Transit Gateway Connect アタッチメント](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-connect.html)は、Transit Gateway を VPC で実行しているサードパーティの仮想アプライアンスと接続します。Transit Gateway Connect アタッチメントは、総称ルーティングカプセル化 (GRE)トンネルプロトコルをサポートして高パフォーマンスを実現し、動的ルーティングのためにボーダーゲートウェイプロトコル (BGP) をサポートします。 このパターンで説明するアプローチには、以下の利点があります。 + Transit Gateway Connect を使用すると、Transit Gateway Connect ピアに最大1,000のルートをアドバタイズし、そこから最大5,000のルートを受信できます。Transit Gateway Connect なしで Direct Connect トランジット VIF 機能を使用すると、Transit Gateway あたり 20 プレフィックスに制限されます。 + 顧客が使用している IP アドレススキーマに関係なくトラフィックの分離を維持し、Transit Gateway Connect を使用して AWS でホストされたサービスを提供できます。 + VRF トラフィックはパブリック仮想インターフェイスを通過する必要はありません。これにより、多くの組織のコンプライアンス要件やセキュリティ要件を簡単に遵守できます。 + 各 GRE トンネルは最大 5 Gbps をサポートし、Transit Gateway の Connect アタッチメントごとに最大 4 つの GRE トンネルを設定できます。これは、最大 1.25 Gbps をサポートする AWS Site-to-Site VPN 接続など、他の多くの接続タイプよりも高速です。 ## 前提条件と制限 **前提条件** + 必要な AWS アカウントが作成されていること (詳細についてはアーキテクチャを参照してください) + アカウントごとに AWS Identity and Access Management (IAM) ロールを引き受ける権限。 + 各アカウントの IAM ロールには、AWS Transit Gateway と AWS Direct Connect リソースをプロビジョニングするためのアクセス権限が必要です。詳細については、「[トランジットゲートウェイの認証とアクセス制御](https://docs.aws.amazon.com/vpc/latest/tgw/transit-gateway-authentication-access-control.html)」および「[Direct Connect のアイデンティティとアクセス管理](https://docs.aws.amazon.com/directconnect/latest/UserGuide/security-iam.html)」を参照してください。 + Direct Connect の接続が正常に作成されている。詳細については、「[接続ウィザードを使用して接続を作成する](https://docs.aws.amazon.com/directconnect/latest/UserGuide/dedicated_connection.html#create-connection)」を参照してください。 **制限事項** + プロダクション、QA、開発アカウントの VPC への Transit Gateway アタッチメントには制限があります。詳細については、「[VPC への Transit Gateway アタッチメント](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-vpc-attachments.html)」を参照してください。 + Direct Connect ゲートウェイの作成および使用には制限があります。詳細については、「[AWS Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/limits.html)」を参照してください。 ## アーキテクチャ **ターゲットアーキテクチャ** 以下のサンプルアーキテクチャは、Transit Gateway Connect アタッチメントを使用してトランジット VIF をデプロイするための再利用可能なソリューションを提供します。このアーキテクチャは、複数の Direct Connect ロケーションを使用することで耐障害性を実現します。詳細については、Direct Connect ドキュメントの「[最大限の耐障害性](https://docs.aws.amazon.com/directconnect/latest/UserGuide/maximum_resiliency.html)」を参照してください。オンプレミスネットワークにはプロダクション、QA、開発用の VRF があり、これらは AWS に拡張され、専用のルートテーブルを使用して分離されます。 ![AWS Direct Connect と AWS Transit Gateway リソースを使用して VRF を拡張するアーキテクチャ図](http://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/patterns/images/pattern-img/db17e177-6c94-4d81-ab39-0923ecab2f1b/images/10be0625-8574-40eb-bc00-bb0a07d0dc26.png) AWS 環境では、*Direct Connect アカウント*と*ネットワークハブアカウント*の 2 つのアカウントが VRF の拡張専用です。Direct Connect アカウントには、各ルーターの接続とトランジット VIF が含まれています。トランジット VIF は Direct Connect アカウントから作成しますが、ネットワークハブアカウントにデプロイして、ネットワークハブアカウントの Direct Connect ゲートウェイに関連付けることができます。ネットワークハブアカウントは、Direct Connect ゲートウェイを所有しています。AWS リソースは次のように接続されます。 1. トランジット VIF は、Direct Connect ロケーションのルーターを、Direct Connect アカウントの AWS Direct Connect に接続します。 1. トランジット VIF は、Direct Connect をネットワークハブアカウントの Direct Connect ゲートウェイに接続します。 1. [トランジットゲートウェイアソシエーション](https://docs.aws.amazon.com/directconnect/latest/UserGuide/direct-connect-transit-gateways.html)は、Direct Connect ゲートウェイをネットワークハブアカウント内のトランジットゲートウェイに接続します。 1. [Transit Gateway Connect アタッチメント](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-connect.html)は、Transit Gateway をプロダクション、QA、開発アカウントの VPC に接続します。 *トランジット VIF アーキテクチャ* 次の図は、トランジット VIF 構成の詳細を示しています。このサンプルアーキテクチャでは、トンネルソースに VLAN を使用していますが、ループバックを使用することもできます。 ![ルーターと AWS Direct Connect 間のトランジット VIF 接続構成の詳細](http://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/patterns/images/pattern-img/db17e177-6c94-4d81-ab39-0923ecab2f1b/images/e88d2546-61ef-4531-972b-089cdf44ed67.png) 以下は、トランジット VIF の AS 番号 (ASN) などの構成詳細です。 | | | [リソース] | Item | [Detail] (詳細) | | --- |--- |--- | | ルーター 01 | ASN | 65534 | | ルーター 02 | ASN | 65534 | | ルーター 03 | ASN | 65534 | | ルーター 04 | ASN | 65534 | | Direct Connect ゲートウェイ | ASN | 64601 | | トランジットゲートウェイ | ASN | 64600 | | CIDR ブロック | 10.100.254.0/24 | *Transit Gateway Connect のアーキテクチャ* 次の図と表は、Transit Gateway Connect アタッチメントを介して単一の VRF を構成する方法を示しています。VRF を追加する場合は、一意のトンネル ID、トランジットゲートウェイ GRE IP アドレス、および CIDR ブロック内の BGP を割り当てます。ピア GRE IP アドレスは、トランジット VIF のルーターピア IP アドレスと一致します。 ![ルーターとトランジットゲートウェイの間の GRE トンネル構成の詳細](http://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/patterns/images/pattern-img/db17e177-6c94-4d81-ab39-0923ecab2f1b/images/e58278e1-f3b4-442d-95d9-1dafab4aa5ac.png) 次の表には、ルーター構成の詳細が記載されています。 | | | ルーター | トンネル | IP アドレス | ソース | 目的地 | | --- |--- |--- |--- |--- | | ルーター 01 | トンネル 1 | 169.254.101.17 | VLAN 60
169.254.100.1 | 10.100.254.1 | | ルーター 02 | トンネル 11 | 169.254.101.81 | VLAN 61
169.254.100.5 | 10.100.254.11 | | ルーター 03 | トンネル 21 | 169.254.101.145 | VLAN 62
169.254.100.9 | 10.100.254.21 | | ルーター 04 | トンネル 31 | 169.254.101.209 | VLAN 63
169.254.100.13 | 10.100.254.31 | 次の表には、トランジットゲートウェイ構成の詳細が記載されています。 | | | トンネル | トランジットゲートウェイ GRE IP アドレス | ピア GRE IP アドレス | CIDR ブロック内の BGP | | --- |--- |--- |--- | | トンネル 1 | 10.100.254.1 | VLAN 60
169.254.100.1 | 169.254.101.16/29 | | トンネル 11 | 10.100.254.11 | VLAN 61
169.254.100.5 | 169.254.101.80/29 | | トンネル 21 | 10.100.254.21 | VLAN 62
169.254.100.9 | 169.254.101.144/29 | | トンネル 31 | 10.100.254.31 | VLAN 63
169.254.100.13 | 169.254.101.208/29 | **デプロイメント** 「[エピック](#extend-vrfs-to-aws-by-using-aws-transit-gateway-connect-epics)」セクションでは、**** 1 つの VRF に対する複数のカスタマールーターの構成例をデプロイする方法について説明します。ステップ 1 ~ 5 の完了後、AWS に拡張する新しい VRF ごとにステップ 6 ~ 7 を実行して、新しい Transit Gateway Connect アタッチメントを作成できます。 1. トランジットゲートウェイを作成します。 1. 各 VRF の Transit Gateway ルートテーブルを作成します。 1. トランジット仮想インターフェイスを作成します。 1. Direct Connect ゲートウェイを作成します。 1. Direct Connect ゲートウェイ仮想インターフェイスと、許可されたプレフィックスを持つゲートウェイアソシエーションを作成します。 1. Transit Gateway Connect アタッチメントを作成します。 1. Transit Gateway Connect ピアを作成します。 1. Transit Gateway Connect アタッチメントをルートテーブルに関連付けます。 1. ルートをルーターにアドバタイズします。 ## ツール ** サービス** + [AWS Direct Connect](https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html) は、標準のイーサネット光ファイバーケーブルを介して内部ネットワークを Direct Connect の場所にリンクします。この接続を使用すると、ネットワークパスのインターネットサービスプロバイダーを回避してパブリック AWS サービスに対する仮想インターフェイスを直接作成できます。 + [AWS Transit Gateway](https://docs.aws.amazon.com/vpc/latest/tgw/what-is-transit-gateway.html)は、仮想プライベートクラウド (VPC) とオンプレミスネットワークを接続する中央ハブです。 + [Amazon Virtual Private Cloud (Amazon VPC)](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html) を使用すると、定義した仮想ネットワーク内で AWS リソースを起動できます。この仮想ネットワークは、お客様自身のデータセンターで運用されていた従来のネットワークに似ていますが、AWS のスケーラブルなインフラストラクチャを使用できるというメリットがあります。 ## エピック ### アーキテクチャを計画する | タスク | 説明 | 必要なスキル | | --- | --- | --- | | カスタムアーキテクチャ図を作成します。 | [See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/patterns/extend-vrfs-to-aws-by-using-aws-transit-gateway-connect.html) | クラウドアーキテクト、ネットワーク管理者 | ### Transit Gateway リソースの作成 | タスク | 説明 | 必要なスキル | | --- | --- | --- | | トランジットゲートウェイを作成します。 | [See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/patterns/extend-vrfs-to-aws-by-using-aws-transit-gateway-connect.html) | ネットワーク管理者、クラウドアーキテクト | | トランジットゲートウェイルートテーブルを作成します。 | 「[トランジットゲートウェイルートテーブルの作成](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-route-tables.html#create-tgw-route-table)」の指示に従います。このパターンでは、次の点に注意してください。[See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/patterns/extend-vrfs-to-aws-by-using-aws-transit-gateway-connect.html) | クラウドアーキテクト、ネットワーク管理者 | ### トランジット仮想インターフェイスの作成 | タスク | 説明 | 必要なスキル | | --- | --- | --- | | トランジット仮想インターフェイスを作成します。 | [See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/patterns/extend-vrfs-to-aws-by-using-aws-transit-gateway-connect.html) | クラウドアーキテクト、ネットワーク管理者 | ### Direct Connect のリソースの作成 | タスク | 説明 | 必要なスキル | | --- | --- | --- | | Direct Connect ゲートウェイを作成します。 | [See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/patterns/extend-vrfs-to-aws-by-using-aws-transit-gateway-connect.html) | クラウドアーキテクト、ネットワーク管理者 | | Direct Connect ゲートウェイをトランジット VIF に接続します。 | [See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/patterns/extend-vrfs-to-aws-by-using-aws-transit-gateway-connect.html) | クラウドアーキテクト、ネットワーク管理者 | | 許可されたプレフィックスを使用して Direct Connect ゲートウェイアソシエーションを作成します。 | ネットワークハブアカウントで、「[トランジットゲートウェイを関連付ける方法](https://docs.aws.amazon.com/directconnect/latest/UserGuide/direct-connect-transit-gateways.html#associate-tgw-with-direct-connect-gateway)」の指示に従います。このパターンでは、次の点に注意してください。[See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/patterns/extend-vrfs-to-aws-by-using-aws-transit-gateway-connect.html)
このアソシエーションを作成すると、Direct Connect Gateway リソースタイプの Transit Gateway アタッチメントが自動的に作成されます。このアタッチメントは、トランジットゲートウェイのルートテーブルに関連付ける必要はありません。 | クラウドアーキテクト、ネットワーク管理者 | | Transit Gateway Connect アタッチメントを作成します。 | [See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/patterns/extend-vrfs-to-aws-by-using-aws-transit-gateway-connect.html) | クラウドアーキテクト、ネットワーク管理者 | | Transit Gateway Connect ピアを作成します。 | [See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/patterns/extend-vrfs-to-aws-by-using-aws-transit-gateway-connect.html) | | ### ルーターにルートをアドバタイズする | タスク | 説明 | 必要なスキル | | --- | --- | --- | | ルートをアドバタイズします。 | 新しいTransit Gateway Connect アタッチメントを、この VRF 用に作成したルートテーブルに関連付けます。たとえば、プロダクション Transit Gateway Connect アタッチメントを `Production-VRF` ルートテーブルに関連付けます。
ルーターにアドバタイズされるプレフィックス用の静的ルートを作成します。[See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/prescriptive-guidance/latest/patterns/extend-vrfs-to-aws-by-using-aws-transit-gateway-connect.html) | ネットワーク管理者、クラウドアーキテクト | ## 関連リソース ** ドキュメント** + Direct Connect ドキュメント + [Direct Connect ゲートウェイの操作](https://docs.aws.amazon.com/directconnect/latest/UserGuide/direct-connect-gateways.html) + [トランジットゲートウェイの関連付け](https://docs.aws.amazon.com/directconnect/latest/UserGuide/direct-connect-transit-gateways.html) + [AWS Direct Connect 仮想インターフェイス](https://docs.aws.amazon.com/directconnect/latest/UserGuide/WorkingWithVirtualInterfaces.html) + Transit Gateway ドキュメント + [トランジットゲートウェイの使用](https://docs.aws.amazon.com/vpc/latest/tgw/working-with-transit-gateways.html) + [Direct Connect ゲートウェイへのトランジットゲートウェイアタッチメント](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-dcg-attachments.html) + [Transit Gateway Connect アタッチメントと Transit Gateway Connect ピア](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-connect.html) + [Transit Gateway の 接続 アタッチメントを作成する](https://docs.aws.amazon.com/vpc/latest/tgw/tgw-connect.html#create-tgw-connect-attachment) ** ブログの投稿** + [AWS Transit Gateway Connect によるハイブリッドネットワークのセグメント化](https://aws.amazon.com/blogs/networking-and-content-delivery/segmenting-hybrid-networks-with-aws-transit-gateway-connect/) + [AWS Transit Gateway Connect を使用して VRF を拡張し、IP プレフィックスアドバタイズメントを増やす](https://aws.amazon.com/blogs/networking-and-content-delivery/using-aws-transit-gateway-connect-to-extend-vrfs-and-increase-ip-prefix-advertisement/) ## アタッチメント このドキュメントに関連する追加コンテンツにアクセスするには、次のファイルを解凍してください。「[attachment.zip](samples/p-attach/db17e177-6c94-4d81-ab39-0923ecab2f1b/attachments/attachment.zip)」