【VPC外リージョンサービス】
Transit Gateway は、複数の VPC やオンプレミス環境をハブ&スポーク型で接続し、ネットワーク全体を効率的に集約・管理できるサービスです。
Transit Gateway Attachment(トランジットゲートウェイアタッチメント) を介して、各ネットワークを柔軟に接続します。たとえば、VPCを接続する VPC Attachment、VPN接続を統合する VPN Attachment、専用線接続を行う Direct Connect Gateway Attachment、および他リージョンのTransit Gatewayと接続する Peering Attachment など、目的に応じた接続タイプを選択できます。
通信制御には Transit Gateway Route Table(ルートテーブル) を使用し、アタッチメント単位で経路の分離や制御を行うことができます。Route Propagation(ルート伝播) により、VPNやDirect Connectから学習した経路を自動的に反映し、Route Association(ルート関連付け) によって各アタッチメントがどのルートテーブルを参照するかを指定できます。これにより、ネットワーク構成の変更にも柔軟に対応でき、Segmented Routing(分割ルーティング) による環境ごとの通信制御も容易になります。
Direct Connect や Site-to-Site VPN と併用することで、オンプレミス環境とのハイブリッド接続を実現できます。PrivateLink と組み合わせれば、特定のサービス単位でセキュアな一方向接続を構築することも可能です。
重要用語
ユースケース
| 多数VPCとオンプレのハブ&スポーク接続 | 複数のVPCとオンプレミスネットワークを一つのハブ(Transit Gateway)に接続し、個別にピアリングを張ることなくシンプルにネットワークを拡張する。 |
| マルチアカウント環境のネットワーク統合 | AWS Organizations配下の複数アカウントが持つVPCをTransit Gatewayに接続し、中央集約型でルーティングとセキュリティポリシーを管理する。 |
| リージョン間ネットワークの拡張 | Transit Gatewayのリージョン間ピアリングを利用して、複数リージョンのVPC間をプライベートに相互接続し、DR構成やグローバルシステムを構築する。 |
ベストプラクティス
| ハブアンドスポーク設計 | 複数VPCやオンプレ接続をTGWに集約してシンプルなネットワークにする。 |
| ルートテーブル分離 | 環境やセキュリティ要件ごとにTGWルートテーブルを分ける。 |
| 帯域とコストのモニタリング | アタッチメントごとのトラフィックを監視し、最適な設計を維持する。 |
高可用性・バックアップ・リトライ
| 高可用性・バックアップ・リトライ設計のポイント |
|---|
| 【デフォルト】AWS内部で冗長化 ・マルチAZ構成での自動配置 ・VPCアタッチメント用ENIの各AZ配置 |
セキュリティ
| 関連サービス | 設定内容 |
|---|---|
| CloudTrail(操作履歴の記録・監査・追跡) | 【自動記録】 作成・更新・削除・設定変更は自動記録される。(コントロールプレーンAPI) データ操作は追跡できない(データプレーンAPI) |
| Config(リソースの構成状態・設定変更を記録) | 【Configが有効な場合】 アタッチメント/ルートテーブル変更履歴・分離/ルーティング準拠評価 |
| GuardDuty(脅威を自動検出) | 【GuardDutyが有効な場合】 接続・ルート設定のAPI異常検知 |
ログ・監視標準メトリクス
| メトリクス名 | 説明 |
|---|---|
| BytesIn | 受信バイト数 |
| BytesOut | 送信バイト数 |
| PacketsIn | 受信パケット数 |
| PacketsOut | 送信パケット数 |
| BytesDropCountBlackhole | ブラックホールバイト破棄数 |
| PacketDropCountBlackhole | ブラックホールパケット破棄数 |
制限値(固定値/ハードリミット/ソフトリミット)
| 固定値 | 制限値 |
|---|---|
| 最大帯域幅/VPC接続 | 50 Gbps |
| ソフトリミット | 制限値 |
|---|---|
| Transit Gateway数/リージョン | 5 |
| VPCアタッチメント数 | 5,000 |
| VPNアタッチメント数 | 20 |
| Direct Connectアタッチメント数 | 20 |
| ピアリングアタッチメント数 | 50 |
| ルートテーブル数 | 20 |
| ルート数/ルートテーブル | 10,000 |
AWS CLIのサンプルコード
CloudFormationのサンプルコード
Terraformのサンプルコード
料金計算
| 課金項目 | 説明 |
|---|---|
| アタッチメント | Transit Gatewayアタッチメントの時間課金 |
| データ処理 | Transit Gateway経由のデータ処理量 |