Help improve AWS Support Official channel in re:Post and share your experience - complete a quick three-question survey to earn a re:Post badge!
Transit Gateway を使用して Direct Connect と VPN フェイルオーバーを設定する方法を教えてください。
AWS Transit Gateway を使用して AWS Direct Connect と VPN フェイルオーバーを設定しようとしています。
解決策
Transit Gateway を作成し、Amazon VPC、VPN、Direct Connect をアタッチする
次の手順を実行します。
- Transit Gateway を作成します。
- Amazon Virtual Private Cloud (Amazon VPC) を Transit Gateway にアタッチします。
注: 後のステップで使用するために、アタッチメントの ID を書き留めておきます。 - AWS Site-to-Site VPN アタッチメントを作成します。
注: 静的 VPN では、 Border Gateway Patrol (BGP) が伝播するルートよりも広い CIDR を持つ静的ルートを使用してください。詳細については、「ルート評価の順序」を参照してください。 - AWS Direct Connect を Transit Gateway に関連付けます。
**注:](https://docs.aws.amazon.com/directconnect/latest/UserGuide/allowed-to-prefixes.html) 各 VPC アタッチメントにおいて、Amazon VPC の CDIR 範囲を **Direct Connect ゲートウェイで許可されるプレフィックスインタラクション[に追加する必要があります。完了すると、AWS はトランジット仮想インターフェイス経由でリモート側にプレフィックスをアドバタイズします。
注: トランジット仮想インターフェイスでは、Transit Gateway ごとに最大 200 個のプレフィックスを AWS からオンプレミスネットワークにアドバタイズできます。200 を超える CIDR プレフィックスをアドバタイズする場合は、サービスクォータに応じて、ルートを 200 CIDR プレフィックス以内にまとめます。ルートをまとめた後、[許可されるプレフィックスインタラクション] セクションに追加します。詳細については、「AWS Direct Connect のクォータ」を参照してください。
(オプション) VPN ルートが限定的である場合に、非対称ルーティングを防止する
Transit Gateway の VPN ルートテーブルからアドバタイズする VPC CIDR は、トランジット仮想インターフェイスでアドバタイズする CIDR よりも限定的です。その結果、カスタマーゲートウェイは Direct Connect よりも Site-to-Site VPN を優先し、非対称ルーティングが発生することがあります。
注: [Direct Connect ゲートウェイで許可されるプレフィックス] フィールドで Amazon VPC CIDR の要約ルートを作成すると、オンプレミスネットワークへの AWS VPN は、Amazon VPC CIDR をアドバタイズします。
非対称ルーティングを解決するには、次の手順を実行します。
- Direct Connect ゲートウェイに関連付けられている要約ルートを、Transit Gateway のルートテーブルに関連付けられている Site-to-Site VPN アタッチメントに追加します。ルートテーブルのターゲットアタッチメントには、CIDR を持つ Amazon VPC を選択します。この CIDR は、Site-to-Site VPN アタッチメントの Transit Gateway ルートテーブルに対する集約ルートに属している必要があります。集約ルートと限定的なルートを Site-to-Site VPN 経由でアドバタイズする必要があります。
- Site-to-Site VPN カスタマーゲートウェイから、VPN 経由で限定的な CIDR プレフィックスをアドバタイズするルートを除外します。カスタマーゲートウェイには、両方の接続経由での、同じ集約ルートが必要です。ゲートウェイは AWS Direct Connect 接続を優先します。
Transit Gateway のルートテーブルを作成し、ルート伝播を設定する
注: BGP セッション経由で、Direct Connect トランジット仮想インターフェイスと VPN には同じプレフィックスのセットをアドバタイズします。
次の手順を実行します。
- Amazon VPC コンソールを開きます。
- ナビゲーションペインで [Transit Gateway ] を選択します。
- ** [デフォルトの関連付けルートテーブル] が **False に設定されているかどうかを確認します。True の場合は、次のステップに進みます。
- [Transit Gateway ルートテーブル] を選択します。
- [Transit Gateway ルートテーブルを作成] を選択します。
- **[名前タグ]**に Route Table A と入力します。
- [Transit Gateway ID] で該当する Transit Gateway の ID を選択します。
- [Transit Gateway ルートテーブルを作成] を選択します。
- [Route Table A] または Transit Gateway のデフォルトルートテーブルを選択し、[関連付け] を選択します。
- [関連付けの作成] を選択します。
- [関連付けるアタッチメントを選択] で、Amazon VPC の関連付け ID を選択し、[関連付けを作成] を選択します。
注: Direct Connect ゲートウェイ、VPN、Amazon VPC がすべて [関連付け] に表示されるまで、上記のステップを繰り返します。 - [ルートテーブルの伝播] を選択します。
- [伝播] を選択します。
- [伝播するアタッチメントを選択] で Direct Connect ゲートウェイ、VPN、Amazon VPC を選択します。
Amazon VPC サブネットのルートテーブルを更新する
次の手順を実行します。
- Amazon VPC コンソールを開きます。
- ナビゲーションペインで [ルートテーブル] を選択します。
- アタッチメントのサブネットにアタッチされているルートテーブルを選択します。
- [ルート] タブを選択し、[ルートの編集] を選択します。
- [ルートを追加] タブを選択します。
- [宛先] でオンプレミスネットワークのサブネットを選択します。
- [ターゲット] で、トランジットゲートウェイを選択します。
- [ルートを保存] を選択します。
注: [ルーティングの更新] イベントを確認するには、Transit Gateway Network Manager を有効にします。詳細については、「ルーティングの更新イベント」を参照してください。
フェイルオーバーをテストする
Resiliency Toolkit の Direct Connect フェイルオーバーテストを使用すると、フェイルオーバーをテストできます。
関連情報
関連するコンテンツ
- 質問済み 2年前
