Amazon Web Services ブログ
[AWS Black Belt Online Seminar] AWS Transit Gateway 資料及び QA 公開
先日 (2019/11/14) 開催しました AWS Black Belt Online Seminar「 AWS Transit Gateway 」の資料を公開しました。当日、参加者の皆様から頂いた QA の一部についても共有しております。
20191113 AWS Black Belt Online Seminar AWS Transit Gateway
AWS クラウドサービス活用資料集(すべての過去資料が閲覧できます)
Q. TGW を使う場合、DXGW も一緒に使う必要がありますか?TGW のみでも利用できるのでしょうか?
A. Direct Connect を使う場合は、DXGW を一緒に使う必要があります。構成については、こちらをご参照ください
Q. VPC をアタッチするときに指定するサブネットをアタッチ専用のサブネットとする必要性について、もう少し具体例を挙げて説明していただきたいです。そのサブネットの内部のEC2 インスタンスのルーティングに影響あるとのことでしたが、どのような影響があるのか?などを教えていただきたいです。
A. Transit Gateway (TGW) のアタッチメントがついているサブネットと同一のサブネットに EC2 インスタンスが存在する場合に、その EC2 インスタンスはTGWと同じルーティングテーブルを参照します。
例えば インライン監査用の VPC の TGW の ENI がある Subnet 上に EC2 インスタンスを設置してしまうと、その EC2 インスタンスは必ずインライン監査のミドルボックス ENI に吸い込まれてしまい、EC2 インスタンスの意図するルーティングテーブルを作れなくなってしまいます。こういったことを防ぐために、TGW 専用のサブネットを作ることをお薦めしています。
こちらおよびこちらの資料を併せてご参照ください。
Q. VPC でアドレスがバッティングしている場合、NAT のようなことができませんか?
A. はい。できます。1 つ 2 つのルーティングテーブルと 2 つのミドルボックスVPC、2 つの TGW と 1 つの VP を作ってミドルボックスインスタンスを作ることで NAT できます。しかし、構成が複雑になるのでPrivateLink を使って実現したほうが良いです。
Q. TGW 経由で別VPCからインターネットに出られるのは、NAT Gatway (のIP) からIGWに抜けていくから、という認識で合ってるでしょうか?IGW はその VP C以外の IP からのトラフィックを通さないという認識です。
A. はい、NAT Gateway の IP から IGW に抜けるからです。NAT インスタンス相当のアプライアンスでもできます。
Q. オンプレミスから DX-TGW-NATGW 経由でインターネットに出る経路を作る場合、NATGW の AZ 冗長は組み入れて実現できますでしょうか?
A. はい、通常の VPC における冗長と同様に実現可能です。
Q. 他 VPC かつ他 AZ への通信時に、同一 AZ の ENI を利用するという話がありましたが、戻りのルートが変わっているように見えましたが、非対称ルートにはならないのでしょうか?
A. はい、VPC 内で非対称ルートになります。
Q. TGW のアタッチメント ENI 用専用サブネットの CIDR はどの程度の広さで確保するのを推奨しますか。 /28 でも問題無いでしょうか。
A. はい、/28でも問題ありません。
Q. AZ またぎの場合は非対称ルーティングになるということでしょうか?
A. はい、AZ またぎの場合はそのようになります。
Q. 例えば ELB 配下にダイレクトコネクトを経由して、オンプレミスの SERVER をぶら下げることは可能なのでしょうか。
A. はい、可能です。ですが、TGW なしの Direct Connect や VPN 経由でも ELB(ALB/NLB) で IP アドレス指定ができますので、オンプレミスのサーバをぶら下げることができます。
Q. 通信制限する場合、AWS 推奨としては NACL や SG ではなくルートテーブルを使った方が良いですか?
A. どちらでも良いです。こちらの資料以降にそれぞれの推奨ケースを説明しています。
Q. Transit Gateway サービス単体で使えなくなるということはないと考えていいですか?回線冗長しても Transit Gateway が使えなくなると結局どの VPC にも繋がらなくなってしまうかなと。
A. マネージドサービスで内部で冗長しておりますので、考慮不要です。
Q. サブネットの設計に関する質問です。TG で ENI が作られますが、Route53 Resolver などでも ENI が作られると思います。VPC 内にこういったNW 関連の ENI がいくつか作られていきますが、NW 関連専用のサブネットを作るべきものなのでしょうか。※どういった通信経路にしたいかの設計次第だとは思いますが。。
A. TGW については、経路情報をいじる関係上専用サブネットを推奨させていただきました。他のエンドポイントについては、サービスのポリシー次第です。
Q. DirectConnect Gateway と VPN で冗長化する場合、片寄せすることは可能でしょうか。※ BGP のチューニングで実施?
A. はい、片寄せできます。BGP のパラメータで調整ください。
Q. VPC は複数の TGW とアタッチすることはできましたでしょうか。仮に 5000VPN を超えて TransitGateway を複数作った場合を気にしております。
A. はい、Transit Gateway の制限にあります通り、5 個まで 1VPC にアタッチ可能です。こちらの資料をご参照ください。
Q. TGW から VPC へパケットが入ってくる際は、アタッチしているサブネットを通るのでしょうか?NACL でアクセス制御する際にどこのサブネットの NACL に設定すべきか検討したい意図です。
A. はい、アタッチしたサブネットを通ります。
Q. Transit VIF、DXGW、TGW のアカウントが別アカウントでも大丈夫でしょうか?
A. はい、別アカウントで問題ございません。
Q. DXGW あたりの接続可能な TGW は最大 3 との事ですので、1 本の DX(DXGW) で TGW を経由して接続可能なリージョンは3リージョンまでになりますでしょうか?
A. はい、3 リージョンまでです。それ以上必要な場合は Transit VIF-DXGW-TGW のペアを増やしてください。
Q. vpc 間の経路制御は route domain 以外にありますか?
A. TGW ではございません。
Q. 日本で Transit VIF をサポートした回線プロバイダーはありますか?ご存知でしたら教えてください。
A. 占有型をサポートしている回線プロバイダーはすべて対応しております。Sub10G をサポートしている回線プロバイダー(サービスデリバリープログラムパートナー)もサポートしております。
Q. ひとつの VPC から異なる Transit Gateway には、アタッチメント可能でしょうか?
-
VPC A —– Transit Gateway A
VPC A —– Transit Gateway B
A. はい、可能です。最大5つまでアタッチメント可能です。
Q. Transit Gateway の制限についてホスト接続の Transit VIF の制限「1」 は、異なるホスト接続経由での Direct Connect 回線を接続すれば、冗長可能という理解でよろしいでしょうか?
A. はい、冗長可能です。
Q. 同一 AZ 内に存在しない場合どこの AZ にあるか存在のチェックに時間かかりませんか?
A. HyperPlaneアーキテクチャーにより迅速に解決されます。
Q. オンプレミスから Direct Connect と Transit Gateway を経由して各 VPC にアクセスする場合の可用性が気になっています。Transit Gateway 自体の話ではないのですがDirect Connect の SLA に Direct Connect Gateway は含まれているのでしょうか?
A. はい、含まれます。
Q. 現環境を TGW へ切り替える場合の手法ややり方などがありますでしょうか。
A. 「ネットワークデザインパターン Deep Dive」のP39から説明がございますのでご参照ください
Q. DirectConnect2回線で冗長し、DXGW-TGW とつなぐ場合、AWS 区間はマルチ AZ レベルの冗長性がとれているでしょうか?
A. AZ ではなく、ロケーション単位で冗長されます。AWS Direct Connect の回復性に関する推奨事項 をご参照ください。TGW自体はマネージドサービスですのでAZ内でも冗長化されております。
Q. ルート数の最大値は10,000でしたが、複数のルートテーブルを作った場合は、各ルートテーブルごとではなく、全てのルートテーブルの合計になりますでしょうか。
A. はい、全ルートテーブルの合計となります。
—
今後の AWS Webinar | イベントスケジュール
直近で以下を予定しています。各詳細およびお申し込み先は下記URLからご確認いただけます。皆様のご参加をお待ちしております。
「AWSome Day Online」は、実際に足を運んでいただく 1 日の AWSome Day の内容を 2.5 時間に凝縮し、ポイントを押さえて紹介いたします。AWS テクニカルインストラクターが主導するセッションを通じて、コンピューティング、ストレージ、データベース、ネットワークといった AWS の主要なサービスを段階的に学ぶことができます。また、AWSに関わる方への基礎知識として、請求、アカウントマネジメント、料金モデル等、実際の導入に向けた内容となっております。技術的な面だけではなく、これから AWS クラウドを学ぶために必要となる知識を身に付けたい方、エンジニアのみならず、営業職、プリセールス職、学生まで幅広い方々におすすめします。
日時: 11 月 25 日(月) 15:00 – 17:40 終了予定 | 詳細・お申込みについてはこちら≫
日時: 12 月 13 日(金) 15:00 – 17:40 終了予定 | 詳細・お申込みについてはこちら≫
—
AWS Black Belt Online Seminar:
- Amazon AppStream 2.0 | 2019 年 11 月 26 日 (火) | 12:00 – 13:00
- コンテナ モニタリング | 2019 年 11 月 27 日 (水) | 18:00 – 19:00
- AWS re:Invent 速報 | 2019 年 12 月 6 日 (金) | 12:00 – 13:00
- Amazon Chime | 2019 年 12 月 10 日 (火) | 12:00 – 13:00
- Amazon Connect Update | 2019 年 12 月 17 日 (火) | 12:00 – 13:00
- AWSのマネジメント&ガバナンス サービスアップデート | 2019 年 12 月 18 日 (水) | 18:00 – 19:00
—
AWS Hands-on for Beginners 〜Serverless 編〜
AWS Hands-on for Beginners 〜 Serverless 編 〜は、翻訳 Web API の構築を通して、サーバーレスアーキテクチャの基本を学んでいただけるウェビナーシリーズです。サーバーレスアーキテクチャの特徴とその中核となる AWS サービスの概要をお伝えした上で、実際に手を動かしてその理解を深めることができます。主に取り扱う AWS サービスは AWS Lambda、Amazon API Gateway、Amazon DynamoDB の3つです。前提となる必要知識はありませんので、サーバーレスアーキテクチャについて学ぶ第一歩としてご活用ください。
日時: オンデマンドのためいつでも自由に視聴できます | 詳細・お申込みについてはこちら≫
—