Transit Gateway にアタッチされた単一の VPN 接続から複数の VPC 間の通信を許可し、それらの VPC 同士はアクセスできないようにする方法を教えてください。

所要時間2分
0

オンプレミスのユーザーが、単一の VPN 接続経由で 2 台の仮想プライベートクラウド (VPC) にアクセスする必要があります。単一の VPN 接続経由で、VPC とオンプレミスネットワーク間のネットワーク接続を確立したいです。ただし、VPC 同士が相互にアクセスできる状態は避けたいです。

解決策

Transit Gateway を作成し、VPC と Site-to-Site VPN をアタッチする

次の手順を実行します。

  1. Amazon Virtual Private Cloud (Amazon VPC) コンソールを開きます。
  2. Transit Gateway を作成します
    注: Transit Gateway を作成するときは、デフォルトルートテーブルの関連付け設定を無効にします。
  3. VPC を Transit Gateway にアタッチします
  4. AWS Site-to-Site VPN 接続を作成し、Transit Gateway にアタッチします。
    注: VPN のルートを Transit Gateway のルートテーブルに自動的に伝播するには、[ルーティングオプション][Dynamic] を選択します。このオプションには、ボーダーゲートウェイプロトコル (BGP) が必要です。

Transit Gateway のルートテーブルを作成し、VPC をそのテーブルに関連付ける

次の手順を実行します。

  1. Amazon VPC コンソールを開きます。
  2. ナビゲーションペインで [Transit Gateway] を選択します。
  3. Transit Gateway の [デフォルトルートテーブルの関連付け] 設定が、[無効] に設定されていることを確認します。
    注: [デフォルトルートテーブルの関連付け][有効] に設定されている場合は、まず、デフォルトの Transit Gateway ルートテーブルから VPN と VPC の関連付けを削除します。
  4. [Transit Gateway ルートテーブル] を選択します。
  5. [Transit Gateway ルートテーブルを作成] を選択し、次の手順を実行します。
    **[名前タグ]**に Route Table A と入力します。
    [Transit Gateway ID] で該当する Transit Gateway の ID を選択します。
  6. [Transit Gateway ルートテーブルを作成] を選択します。
  7. ルートテーブルを選択します。
  8. [関連付け] を選択し、[関連付けを作成] を選択します。
  9. [関連付けるアタッチメントを選択] で VPC のTransit Gateway アタッチメント ID を選択します。
  10. [関連付けを作成] を選択します。すべての VPC が [関連付け] に表示されるまで、ステップ 9 と 10 を繰り返します。

2 番目のTransit Gateway ルートテーブルを作成し、VPN 接続と関連付ける

次の手順を実行します。

  1. Amazon VPC コンソールを開きます。
  2. ナビゲーションペインで [Transit Gateway ルートテーブル] を選択します。
  3. [Transit Gateway ルートテーブルを作成] を選択し、次の手順を実行します。
    **[名前タグ]**に Route Table B と入力します。
    [Transit Gateway] の ID で該当する Transit Gateway の ID を選択します。
  4. [Transit Gateway ルートテーブルを作成] を選択します。
  5. ルートテーブルを選択します。
  6. [関連付け] を選択し、[関連付けを作成] を選択します。
  7. [関連付けるアタッチメントを選択] で、VPN 接続用の Transit Gateway アタッチメント ID を選択します。
  8. [関連付けを作成] を選択します。

VPC と VPN からのルートを対応するルートテーブルに伝播する

次の手順を実行します。

  1. Amazon VPC コンソールを開きます。
  2. ナビゲーションペインで [Transit Gateway ルートテーブル] を選択します。
  3. Route Table A を選択します。
  4. [伝播] を選択し、[伝播を作成] を選択します。
  5. [伝播するアタッチメントを選択] で、VPN 接続用の伝播を選択します。
    重要: 静的ルート VPN 接続を作成した場合は、Route Table A の VPN へのオンプレミスネットワーク用の静的ルートを作成します。ポリシーベースの静的 VPN 接続では、1 組のセキュリティアソシエーション (SA) のみが許可されます。オンプレミスの CIDR と VPC の CIDR を単一の SA に統合します。詳細については、「AWS VPN エンドポイントとポリシーベースの VPN の間の接続に関する問題をトラブルシューティングする方法を教えてください」を参照してください。
  6. [伝播を作成] を選択します。
  7. Transit Gateway のルートテーブルで、Route table B を選択します。
  8. [伝播] を選択し、[伝播を作成] を選択します。
  9. [伝播するアタッチメントを選択] で、VPC の Transit Gateway アタッチメント ID を選択します。
  10. [伝播を作成] を選択します。すべての VPC が [伝播] に表示されるまで、手順 9 と 10 を繰り返します。

Amazon VPC とアタッチメントのサブネットに関連付けるルートテーブルを設定します。

次の手順を実行します。

  1. Amazon VPC コンソールを使用します。
  2. ナビゲーションペインで [ルートテーブル] を選択します。
  3. ソースの Amazon Elastic Compute Cloud (Amazon EC2) インスタンスのサブネットにアタッチされているルートテーブルを選択します。
  4. [ルート] タブを選択し、[ルートの編集] を選択します。
  5. [ルートの追加] タブを選択し、次の手順を実行します。
    [宛先] でオンプレミスネットワークのサブネットを選択します。
    [ターゲット] で該当する Transit Gateway を選択します。
  6. [ルートを保存] を選択します。

VPC 間のアクセスをさらに厳しく制限する必要がある場合は、VPC ごとに個別のルートテーブルを作成し、ルートを設定します。Transit Gateway ルートテーブルのルーティングは、Transit Gateway アタッチメントとTransit Gateway ルートテーブルの関連付けに基づいています。任意の Transit Gateway ルートテーブル内の任意の宛先 Transit Gateway アタッチメントへのルートを設定できます。宛先 Transit Gateway アタッチメントを特定のルートテーブルに関連付ける必要はありません。

関連情報

Transit Gateway 経由での、オンプレミスから VPC への接続をトラブルシューティングする方法を教えてください

Transit Gateway で終了する Site-to-Site VPN の使用時に、Amazon VPC に接続できない理由を知りたいです

AWS公式
AWS公式更新しました 5ヶ月前
コメントはありません

関連するコンテンツ