2 つの仮想プライベートクラウド (VPC) があります。オンプレミスのユーザーは、単一の VPN 接続で両方の VPC にアクセスする必要があります。単一の VPN 接続を介して VPC とオンプレミスネットワーク間のネットワーク接続を確立したいです。どうすればよいですか?
簡単な説明
本番環境と開発環境など、単一の VPN 接続を持つ 2 つの VPC がある場合、これらのステップに従って複数の VPC のリソース間にネットワーク接続を確立します。これにより、以下のことが発生します。
- オンプレミスユーザーは、VPN 内の全 VPC からリソースにアクセスできる
- VPC リソースは他の VPC のリソースにアクセスできない
解決方法
トランジットゲートウェイを作成し、VPC とサイト間 VPN をアタッチする
- Amazon Virtual Private Cloud (Amazon VPC) コンソールで、トランジットゲートウェイを作成します。
注: トランジットゲートウェイを作成するときに、[Default association] ルートテーブル設定をオフにします。
- トランジットゲートウェイに VPC をアタッチします。
- サイト間 VPN を作成し、それを上記のトランジットゲートウェイにアタッチします。
注: VPN ルートをトランジットゲートウェイのルートテーブルに自動的に伝播するには、 [Routing option] で [Dynamic] を選択します。このオプションには、ボーダーゲートウェイプロトコルが必要です。
トランジットゲートウェイのルートテーブルを作成し、そのテーブルを VPC に関連付ける
- Amazon VPC コンソールを開きます。
- ナビゲーションペインで、[Transit gateways] を選択します。
- トランジットゲートウェイの [Default association route table] 設定が、[Disable] に設定されていることを確認します。
注: デフォルトアソシエートルートテーブルが [Enable] に設定されている場合は、ステップ 9 に進みます。
- [Transit gateway route tables] (トランジットゲートウェイルートテーブル) を選択します。
- [Create transit gateway route table] (トランジットゲートウェイルートテーブルを作成) を選択します。
[Name tag] (名前タグ) に「Route Table A」と入力します。
[Transit gateway ID] (トランジットゲートウェイ ID) で、対象のトランジットゲートウェイの ID を選択します。
次に、[Create transit gateway route table] (トランジットゲートウェイルートテーブルを作成) を選択します。
- 前のステップで作成したルートテーブル A、またはトランジットゲートウェイのデフォルトルートテーブルを選択します。
- [Associations] (関連付け)、[Create association] (アソシエーションを作成) の順に選択します。
- [Choose attachment to associate] には VPC の関連付け ID を選択します。次に、[Create association] (アソシエーションを作成) を選択します。 すべての VPC が [Association] (関連付け) の下に表示されるまで、このステップを繰り返します。
- デフォルトのトランジットゲートウェイのルートテーブルから VPN の関連付けを削除します。
2 番目のトランジットゲートウェイのルートテーブルを作成し、VPN 接続に関連付ける
- Amazon VPC コンソールで、[Transit gateway route tables] (トランジットゲートウェイルートテーブル) を選択します。
- [Create transit gateway route table] (トランジットゲートウェイルートテーブルを作成) を選択します。
[Name tag] (名前タグ) に「Route Table B」と入力します。
[Transit gateway] (トランジットゲートウェイ) ID で、対象のトランジットゲートウェイの ID を選択します。
次に、[Create transit gateway route table] (トランジットゲートウェイルートテーブルを作成) を選択します。
- 前のステップで作成したルートテーブル B を選択する
- [Associations] (関連付け)、[Create association] (アソシエーションを作成) の順に選択します。
- ルートテーブル B で作成した VPN 接続を関連付けます。
両方のルートテーブルに VPC と VPN からのルートを伝播する
- Amazon VPC コンソールで、[Transit gateway route tables] (トランジットゲートウェイルートテーブル) を選択します。
- [Route Table A] (ルートテーブル A) を選択します。
- [Actions] (アクション) を選択してから、[Create propagation] (伝播の作成) を選択します。
- [Choose attachment to propagate] (伝播するアタッチメントを選択) には VPN の伝播を選択します。すべてのアタッチメントに対して伝播が有効になっている場合は、このルートテーブルで VPN 接続の関連付けが有効になっていないことを確認します。
重要: 動的ルーティングではなく静的ルート VPN 接続を作成した場合は、ルートテーブル A の VPN へのオンプレミスネットワークの静的ルートを作成する必要があります。ポリシーベースの静的 VPN 接続では、セキュリティアソシエーション (SA) の 1 つのペアのみが許可されます。オンプレミス CIDR と VPC の CIDR を 1 つの SA に統合します。詳細については、「AWS VPN エンドポイントとポリシーベースの VPN の間における接続問題をトラブルシューティングするにはどうすればよいですか?」を参照してください。
- [Create propagation] (伝播の作成) を選択します。
- トランジットゲートウェイのルートテーブルから、[Route table B] (ルートテーブル B) を選択します。
- [Actions] (アクション) を選択してから、[Create propagation] (伝播の作成) を選択します。
- [Choose attachment to propagate] (伝播するアタッチメントを選択) で、全 VPC に伝播を選択します。次に、[Create propagation] (伝播の作成) を選択します。
VPC とアタッチメントサブネットに関連付けられたルートテーブルを設定する
- Amazon VPC コンソールで、[Route tables] (ルートテーブル) を選択します。
- アタッチメントサブネットにアタッチされているルートテーブルを選択します。
- [Routes] タブを選択してから、[Edit routes] をクリックします。
- [Add route] (ルートを追加) タブを選択します。
[Destination] (送信先) で、オンプレミスネットワークのサブネットを選択します。
[Target] (ターゲット) で、対象のトランジットゲートウェイを選択します。
- [Save routes] (ルートの保存) を選択します。
注: ユースケースで VPC 間のアクセスをより厳しく制限する必要がある場合は、VPC ごとに個別のルートテーブルを作成し、ルートを設定できます。次の点にご注意ください。
- トランジットゲートウェイのルートテーブルでのルーティングは、トランジットゲートウェイの関連付けとトランジットゲートウェイのルートテーブルの関連付けに基づいています。
- 任意のトランジットゲートウェイのルートテーブルで、トランジットゲートウェイアタッチメントの任意の宛先へルートを設定できます。Transit Gateway アタッチメントは、その特定のルートテーブルに関連付ける必要はありません。