クラウド・仮想化

2019.12.27

Author:

AWS Transit Gatewayで複数VPC構成のネットワークを構築する

先日ラスベガスにて開催されたAmazon Web Services (以下 AWS)主催のイベント「AWS re:Invent 2019」に参加してきました。その中で、AWS Transit Gatewayについても多くのアップデートがあり、関連するセッションを聴いてきました。
ということで今回は、AWSクラウド上でAWS Transit Gatewayを使って複数のAmazon VPCで構成されたネットワークを構築する方法をご紹介したいと思います。

Amazon VPCとは

Amazon VPC(以下 VPC)は、AWSクラウド上に作成できる仮想的なネットワーク空間を指します。
VPCはAWSアカウント毎に作成でき、通常それぞれのVPCは他のVPCからは隔離され相互に通信できないようになっています。

この機能を利用して、開発環境と商用環境用にそれぞれ同一のIPアドレス空間のVPCを用意したり、ユーザテナント毎にVPCを分割したりといった構成が可能です。

複数VPC環境の問題点

複数VPCのネットワーク環境を運用する上での問題点はVPC間の通信です。
基本的には隔離されたネットワーク空間を作成するための機能であるVPCですが、共通的なサービスを提供するVPCや、オンプレミスネットワークなど特定のネットワーク間の通信は許可したいというケースがあります。

VPC間で通信させる方法の1つとして、「VPCピアリング」という通信させたいVPC間をピア接続する機能があります。
しかし、VPCの数が数百ともなると接続数も増え、スケーラビリティの観点から実用的ではありません。

AWS Transit Gatewayとは

この問題を解決するために昨年の「AWS re:Invent 2018」で発表されたサービスが「AWS Transit Gateway」です。
AWS Transit Gatewayを使用すると、VPCやオンプレミスネットワークとの接続をハブ&スポークのトポロジーで接続することができます。各ネットワークは AWS Transit Gateway にのみ接続するだけで他の全てのネットワークへのピア接続を設定する必要がないため、大幅に管理を簡略化して運用コストを削減できます。


AWS Transit Gatewayは単一のハードウェアで構成されたルータではなく、リージョン内の複数のアベイラビリティゾーンをまたいで冗長化された仮想的なルータであるため、信頼性にも長けています。

VPCを分割することのメリット

サブネットやセキュリティグループでなく、VPCでネットワークを分割することによるメリットは、主に請求管理の簡素化と影響範囲の局所化です。

AWS利用料はアカウント毎の請求のため、請求単位毎にアカウントを分割し、VPCを分割することで請求管理を簡素化できます。
VPCを分割せずに、複数のAWSアカウントで1つのVPCを共有するという構成(Shared VPC)をとることもできますが、その場合は、他のアカウントが行ったデプロイがVPC内のIPアドレスプールを枯渇させたりといったインシデントが他のアカウントにも影響してしまいます。VPCを分割することでこういった影響の範囲をVPC毎に局所化することができます。

また、AWS Transit Gatewayによるハブ&スポークのネットワークにすることにより、複数のルーティングテーブルでドメインを分割し、柔軟な通信のセグメンテーションと共有が可能になるというメリットもあります。
下図のように、VPC間の通信やインターネットからのインバウンド通信を、サードパーティのセキュリティアプライアンスを設置したVPCを経由させセキュリティを強化するといったことも可能になります。

「AWS re:Invent 2019」で発表されたAWS Transit Gatewayアップデート

ここからは先日の「AWS re:Invent 2019」で発表されたAWS Transit Gateway関連のアップデートをご紹介します。

Transit Gateway Multicast

AWS Transit Gatewayの機能として、接続されたVPCのサブネット間でマルチキャスト通信のルーティングが可能になりました。これによりAWSは、マルチキャストをサポートする初めてのクラウドサービスプロバイダーとなります。
※この機能は2019/12/23時点で米国東部 (バージニア北部) リージョンのみで利用可能です。

Inter-region peering and Accelerated Site-to-Site VPN

AWSの高速なバックボーン回線を利用した、リージョンを跨いだAWS Transit Gateway間の通信と、AWS Transit Gatewayに接続されたネットワーク間のSite-to Site VPN接続が可能になりました。

Network Manager

Network Managerを使用して、AWS Transit Gatewayで接続されたグローバルネットワークの可視化を行うことができるようになりました。大規模なネットワークを一元的にモニタリングできるダッシュボードが提供され、運用の複雑さを軽減します。

引用元: AWS Transit Gatewayの新機能– Network Managerを使用してグローバルネットワークを構築し、モニタリングを集中化

まとめ

本記事ではAWS Transit Gatewayを使って複数のVPCで構成された大規模なネットワークを構築する方法についてご紹介しました。
今回の「AWS re:Invent 2019」では、コンテナ、AI・機械学習関連のサービスアップデートがあった一方で、AWS Outpostsなどのエッジサービスに関するアップデートも多く、今後より一層クラウド内のネットワークが複雑化していくことが予想されます。
マルチテナントのサービスを提供しているエンタープライズのお客様や、大規模なサービス開発を行っているお客様で、パブリッククラウドとオンプレミスデータセンターの大規模ネットワークをご検討中のお客様にご興味をもっていただければ幸いです。

※本記事の内容は執筆者個人の見解であり、所属する組織の見解を代表するものではありません。

MORE「クラウド・仮想化」記事