トランジットゲートウェイを使用して、Amazon Virtual Private Cloud (Amazon VPC) と仮想プライベートネットワーク (VPN) の間に安全な接続を実現したいと考えています。VPN を仮想プライベートゲートウェイからトランジットゲートウェイに移行する方法を教えてください。
解決方法
仮想プライベートゲートウェイからトランジットゲートウェイへの VPN 移行を完了するには、次の手順に従います。
注: AWS Command Line Interface (AWS CLI) コマンドの実行中にエラーが発生した場合は、AWS CLI の最新バージョンを使用していることを確認してください。
ステップ 1: トランジットゲートウェイを作成する
トランジットゲートウェイを作成する手順に従います。
注: クロスアカウントアタッチメントの自動受入を有効にするには、[Auto accept shared attachments] (共有アタッチメントを自動承諾) を選択してください。
AWS CLI を使用してトランジットゲートウェイを作成するには:
aws ec2 create-transit-gateway
ステップ 2: VPC をトランジットゲートウェイにアタッチする
VPC をトランジットゲートウェイにアタッチする手順に従います。
トラフィックをルーティングするためにトランジットゲートウェイで使用する各アベイラビリティーゾーンからサブネットを 1 つ指定する必要があります。各アベイラビリティーゾーンからサブネットを 1 つ指定すると、そのアベイラビリティーゾーン内のすべてのサブネットのリソースにトラフィックが到達できるようになります。
注: トランジットゲートウェイの Elastic Network Interface 用に、アベイラビリティーゾーンごとに個別のサブネットを作成するのがベストプラクティスです。
AWS CLI を使用して VPC をトランジットゲートウェイにアタッチするには、次の手順を実行します。
aws ec2 create-transit-gateway-vpc-attachment
--transit-gateway-id tgw-14324bbc412a43243
--vpc-id vpc-2321314314
--subnet-ids "subnet-12312312" "subnet-41343432"
ステップ 3: 静的 VPN ルートを削除する (トランジットゲートウェイに移行する静的 VPN 接続に必要)
静的 VPN ルートを削除するステップに従います。
AWS CLI を使用して静的 VPN ルートを削除するには、次の手順を実行します。
aws ec2 delete-vpn-connection-route
--vpn-connection-id vpn-12345678901234567
--destination-cidr-block 10.0.0.0/8
ステップ 4: 既存のサイト間 VPN をトランジットゲートウェイに移行する
VPN ターゲットを仮想ゲートウェイから新しいトランジットゲートウェイに移行するには、次の手順を実行します。
1. Amazon VPC コンソールを開きます。
2. ナビゲーションペインで、[Site-to-Site VPN Connections] (サイト間 VPN 接続) を選択します。
3. サイト間 VPN 接続を選択し、[Actions] (アクション)、[Modify VPN Connection] (VPN 接続を変更) の順に選択します。
4. [Target Type] (ターゲットタイプ) で、[Transit Gateway] (トランジットゲートウェイ) を選択します。
5. [target transit gateway ID] (ターゲットトランジットゲートウェイ ID) のドロップダウンリストからトランジットゲートウェイを選択します。
6. [Save] (保存) を選択します。
AWS CLI を使用してサイト間 VPN ターゲットを新しいトランジットゲートウェイに移行するには、次の手順を実行します。
aws ec2 modify-vpn-connection \
--vpn-connection-id vpn-12345678901234567 \
----transit-gateway-id tgw-12345678910aa213
ステップ 5: VPC ルートテーブルを更新または作成する
1. 次のステップに従って、ルートを変更したり、ルートテーブルに追加したりします。
2. 既存のルートについては、ルート Target を仮想ゲートウェイ ID から新しい仮想ゲートウェイ ID に変更します。
3. ルートが存在しない場合は、トランジットゲートウェイ ID を Target として新しいルートを作成します。
注: ルートテーブルで伝達が有効になっている場合でも、VPC 静的ルートを含める必要があります。
AWS CLI を使用して新しい VPC ルートを作成するには:
aws ec2 create-route
--route-table-id rtb-4011223344aabb55c
--destination-cidr-block 10.0.0.0/8
--transit-gateway-id tgw-12345678910aa213
AWS CLI を使用して既存のルートを変更するには:
aws ec2 replace-route
--route-table-id rtb-4011223344aabb55c
--destination-cidr-block 10.0.0.0/8
--transit-gateway-id tgw-12345678910aa213
ステップ 6: トランジットゲートウェイのルートテーブルを更新する
トランジットゲートウェイルートテーブルを作成または伝達するステップに従います。
AWS CLI を使用してトランジットゲートウェイルートを作成するには:
aws ec2 create-transit-gateway-route \
--destination-cidr-block 10.0.0.0/8 \
--transit-gateway-route-table-id tgw-rtb-00abc11def22ghi33 \
--transit-gateway-attachment-id tgw-attach-123abc456def789gh
注: VPN ターゲットを移行すると、サイト間 VPN の変更が完了するまで、サービスが一時的に中断されます。
関連情報
Transit Gateway 設計のベストプラクティス
Migrate from Transit VPC to AWS Transit Gateway (トランジット VPC から AWS トランジットゲートウェイに移行する)