オンプレミスのユーザーが、単一の VPN 接続経由で 2 台の仮想プライベートクラウド (VPC) にアクセスする必要があります。単一の VPN 接続経由で、VPC とオンプレミスネットワーク間のネットワーク接続を確立したいです。ただし、VPC 同士が相互にアクセスできる状態は避けたいです。
解決策
Transit Gateway を作成し、VPC と Site-to-Site VPN をアタッチする
次の手順を実行します。
- Amazon Virtual Private Cloud (Amazon VPC) コンソールを開きます。
- Transit Gateway を作成します。
注: Transit Gateway を作成するときは、デフォルトルートテーブルの関連付け設定を無効にします。
- VPC を Transit Gateway にアタッチします。
- AWS Site-to-Site VPN 接続を作成し、Transit Gateway にアタッチします。
注: VPN のルートを Transit Gateway のルートテーブルに自動的に伝播するには、[ルーティングオプション] で [Dynamic] を選択します。このオプションには、ボーダーゲートウェイプロトコル (BGP) が必要です。
Transit Gateway のルートテーブルを作成し、VPC をそのテーブルに関連付ける
次の手順を実行します。
- Amazon VPC コンソールを開きます。
- ナビゲーションペインで [Transit Gateway] を選択します。
- Transit Gateway の [デフォルトルートテーブルの関連付け] 設定が、[無効] に設定されていることを確認します。
注: [デフォルトルートテーブルの関連付け] が [有効] に設定されている場合は、まず、デフォルトの Transit Gateway ルートテーブルから VPN と VPC の関連付けを削除します。
- [Transit Gateway ルートテーブル] を選択します。
- [Transit Gateway ルートテーブルを作成] を選択し、次の手順を実行します。
**[名前タグ]**に Route Table A と入力します。
[Transit Gateway ID] で該当する Transit Gateway の ID を選択します。
- [Transit Gateway ルートテーブルを作成] を選択します。
- ルートテーブルを選択します。
- [関連付け] を選択し、[関連付けを作成] を選択します。
- [関連付けるアタッチメントを選択] で VPC のTransit Gateway アタッチメント ID を選択します。
- [関連付けを作成] を選択します。すべての VPC が [関連付け] に表示されるまで、ステップ 9 と 10 を繰り返します。
2 番目のTransit Gateway ルートテーブルを作成し、VPN 接続と関連付ける
次の手順を実行します。
- Amazon VPC コンソールを開きます。
- ナビゲーションペインで [Transit Gateway ルートテーブル] を選択します。
- [Transit Gateway ルートテーブルを作成] を選択し、次の手順を実行します。
**[名前タグ]**に Route Table B と入力します。
[Transit Gateway] の ID で該当する Transit Gateway の ID を選択します。
- [Transit Gateway ルートテーブルを作成] を選択します。
- ルートテーブルを選択します。
- [関連付け] を選択し、[関連付けを作成] を選択します。
- [関連付けるアタッチメントを選択] で、VPN 接続用の Transit Gateway アタッチメント ID を選択します。
- [関連付けを作成] を選択します。
VPC と VPN からのルートを対応するルートテーブルに伝播する
次の手順を実行します。
- Amazon VPC コンソールを開きます。
- ナビゲーションペインで [Transit Gateway ルートテーブル] を選択します。
- Route Table A を選択します。
- [伝播] を選択し、[伝播を作成] を選択します。
- [伝播するアタッチメントを選択] で、VPN 接続用の伝播を選択します。
重要: 静的ルート VPN 接続を作成した場合は、Route Table A の VPN へのオンプレミスネットワーク用の静的ルートを作成します。ポリシーベースの静的 VPN 接続では、1 組のセキュリティアソシエーション (SA) のみが許可されます。オンプレミスの CIDR と VPC の CIDR を単一の SA に統合します。詳細については、「AWS VPN エンドポイントとポリシーベースの VPN の間の接続に関する問題をトラブルシューティングする方法を教えてください」を参照してください。
- [伝播を作成] を選択します。
- Transit Gateway のルートテーブルで、Route table B を選択します。
- [伝播] を選択し、[伝播を作成] を選択します。
- [伝播するアタッチメントを選択] で、VPC の Transit Gateway アタッチメント ID を選択します。
- [伝播を作成] を選択します。すべての VPC が [伝播] に表示されるまで、手順 9 と 10 を繰り返します。
Amazon VPC とアタッチメントのサブネットに関連付けるルートテーブルを設定します。
次の手順を実行します。
- Amazon VPC コンソールを使用します。
- ナビゲーションペインで [ルートテーブル] を選択します。
- ソースの Amazon Elastic Compute Cloud (Amazon EC2) インスタンスのサブネットにアタッチされているルートテーブルを選択します。
- [ルート] タブを選択し、[ルートの編集] を選択します。
- [ルートの追加] タブを選択し、次の手順を実行します。
[宛先] でオンプレミスネットワークのサブネットを選択します。
[ターゲット] で該当する Transit Gateway を選択します。
- [ルートを保存] を選択します。
VPC 間のアクセスをさらに厳しく制限する必要がある場合は、VPC ごとに個別のルートテーブルを作成し、ルートを設定します。Transit Gateway ルートテーブルのルーティングは、Transit Gateway アタッチメントとTransit Gateway ルートテーブルの関連付けに基づいています。任意の Transit Gateway ルートテーブル内の任意の宛先 Transit Gateway アタッチメントへのルートを設定できます。宛先 Transit Gateway アタッチメントを特定のルートテーブルに関連付ける必要はありません。
関連情報
Transit Gateway 経由での、オンプレミスから VPC への接続をトラブルシューティングする方法を教えてください
Transit Gateway で終了する Site-to-Site VPN の使用時に、Amazon VPC に接続できない理由を知りたいです