AWS Site-to-Site VPN と AWS Transit Gateway を使用して、オンプレミスネットワークをインターネットに接続したいと考えています。
簡単な説明
AWS Site-to-Site VPN を使用すると、AWS リソースと、データセンターやブランチオフィスなどのオンプレミスネットワーク間の安全な接続が可能になります。
AWS Site-to-Site VPN は、仮想プライベートゲートウェイまたは AWS Transit Gateway を使用して、接続ごとに 2 つのトンネルを提供します。仮想プライベートゲートウェイは、リージョン内の 1 つの Amazon Virtual Private Cloud (Amazon VPC) への接続を提供します。トランジットゲートウェイは、インターネットだけでなく、リージョン内の複数の Amazon VPC にも接続します。
AWS Site-to-Site VPN の仕組みの詳細については、AWS Site-to-Site VPN とは?を参照してください。
解像度
トランジットゲートウェイを介してサイト間 VPN 接続を確立し、オンプレミスネットワークからインターネットアクセスを一元化します。この一元化されたセットアップでは、AWS ネットワーク翻訳サービス (NAT ゲートウェイ) を使用してインターネットに接続します。
オンプレミスネットワークからインターネットにアクセスするには、次の手順に従います:
1. トランジットゲートウェイを作成します。
2. トランジットゲートウェイを使用してSite-to-Site VPN を作成します。
3. Amazon VPC をリージョンのトランジットゲートウェイにアタッチします。
4. 同じ Amazon VPC のパブリックサブネットにパブリック NAT ゲートウェイを作成します。
5. トランジットゲートウェイに関連付けられた VPC のサブネットルーティングテーブルにデフォルトルート 0.0.0.0/0 を作成します。このルートは、以前に作成した NAT ゲートウェイを指します。
Destination Target
0.0.0.0/0 nat-12345678901234567
6. 先ほど使用したパブリック・サブネット・ルーティング・テーブルに、オンプレミスCIDRのルートを作成します。このルートはトランジットゲートウェイを指します。
Destination Target
10.0.0.0/16 tgw-12345678909876543
0.0.0.0/0 igw-12345678901234567
7. VPN アタッチメントに関連するトランジットゲートウェイルーティングテーブルにデフォルトルート 0.0.0.0/0 を作成します。次に、それを Amazon VPC アタッチメントに指定します:
CIDR Attachment ID Resource ID Resource type Route type Route state Prefix list ID
0.0.0.0 tgw-attach-98765432109876 vpc-987654321 VPC Static Active -
8. Amazon VPC アタッチメントに関連付けられたトランジットゲートウェイのルーティングテーブルに、オンプレミス CIDR のルート (静的ルートまたは伝達) を作成します。次に、それを VPN アタッチメントに指定します:
CIDR Attachment ID Resource ID Resource type Route type Route state Prefix list ID
10.0.0.0/16 tgw-attach-1234567890123 vpn-1234567897 VPN Static Active -
メモ: サイト間 VPN 暗号化ドメインは、オンプレミスの CIDR と任意の (0.0.0.0) 宛先、つまりポリシーベースの VPN 間のトラフィックを許可する必要があります。
関連情報
トランジットゲートウェイ VPN アタッチメントの作成
トランジットゲートウェイのルートテーブル