コンテンツにスキップ

AWS Transit Gateway

1. サービス概要

AWS Transit Gateway は、AWS が提供するフルマネージドサービスで、複数の VPC (Virtual Private Cloud) やオンプレミスネットワークを接続するためのハブとして機能する。
このサービスを利用することで、複雑なネットワーク接続を簡素化し、スケーラブルで柔軟なネットワークアーキテクチャを構築できる。
Transit Gateway は、リージョン内およびリージョン間でネットワークを接続し、トラフィックを効率的にルーティングする。

主なユースケースとして、

  • 複数の VPC を接続するハブ
  • オンプレミスネットワークと AWS 間の接続
  • 異なる AWS リージョン間の接続
  • グローバルネットワークの構築

などが挙げられる。

2. 主な特徴と機能

2.1 ネットワークのハブ

Transit Gateway は、複数の VPC やオンプレミスネットワークを接続するためのハブとして機能する。
これにより、複雑なネットワーク構成を簡素化し、一元的に管理できる。

2.2 VPC 接続の簡素化

複数の VPC を相互接続する際に、VPC ピアリングの複雑な設定を回避できる。
Transit Gateway は、すべての VPC を接続する中央ハブとして機能する。

2.3 オンプレミス接続のサポート

AWS Direct Connect または VPN を使用して、オンプレミスネットワークを Transit Gateway に接続できる。
これにより、ハイブリッド環境でのシームレスなネットワーク接続を確立できる。

2.4 リージョン間接続

Transit Gateway は、異なる AWS リージョンにまたがる VPC を接続できる。
これにより、グローバルなネットワークを構築できる。

2.5 ルーティングの制御

Transit Gateway は、ルーティングテーブルを使用して、トラフィックの転送方法を細かく制御できる。
これにより、ネットワークトポロジを柔軟に設定できる。

2.6 共有サービスへのアクセス制御

VPC に共有サービス (DNS サーバー、セキュリティツールなど) をデプロイし、Transit Gateway を介して複数の VPC からアクセスできる。
これにより、共有サービスの集中管理が容易となる。

2.7 セキュリティ

Transit Gateway は、VPC セキュリティグループ、ネットワーク ACL など、VPC のセキュリティ機能を活用できる。
これにより、ネットワークセキュリティを強化できる。

2.8 統合性

Transit Gateway は、AWS の他のサービス (AWS Direct Connect, Amazon VPC, AWS Network Manager, AWS Resource Access Manager など) と統合されており、ネットワーク管理を効率化できる。
CloudWatch と連携してモニタリングを行うことができる。

3. アーキテクチャおよび技術要素

  1. ユーザーは、AWS Transit Gateway を作成。
  2. VPC またはオンプレミスネットワークを、Transit Gateway にアタッチ。
  3. Transit Gateway は、ルーティングテーブルを使用して、トラフィックを適切な宛先に転送。
  4. 必要に応じて、異なるリージョン間の Transit Gateway ピアリングを設定。
  5. CloudWatch でネットワークのパフォーマンスを監視。

Transit Gateway は、フルマネージドサービスとして提供され、高い可用性、スケーラビリティ、セキュリティを内包している。
ネットワーク接続の複雑さを抽象化し、ユーザーはネットワークの設計と運用に集中できる。

4. セキュリティと認証・認可

セキュリティは Transit Gateway の重要な要素である:

  • IAM によるアクセス制御: AWS IAM を利用して、Transit Gateway リソースへのアクセスを制御し、権限を管理。
  • VPC セキュリティグループ: VPC セキュリティグループを利用して、VPC エンドポイントへのトラフィックを制御。
  • ネットワーク ACL: ネットワーク ACL を利用して、サブネットレベルでのアクセス制御を設定。
  • 暗号化: Transit Gateway を通過するデータは、必要に応じて暗号化を有効化。
  • 監査ログ: AWS CloudTrail を利用して、API 呼び出しやリソース変更を記録。

これにより、ネットワークの安全性とコンプライアンスを確保できる。

5. 料金形態

AWS Transit Gateway の料金は主に以下に基づく:

  • アタッチメント時間: Transit Gateway に VPC や Direct Connect ゲートウェイがアタッチされている時間に応じた課金。
  • データ処理量: Transit Gateway を介して転送されるデータ量に応じた課金。
  • リージョン間ピアリング: リージョン間のピアリング接続時間に応じた課金。

6. よくあるアーキテクチャ・設計パターン

一般的なパターンは以下の通りである:

  • 複数の VPC を接続するハブ: 複数の VPC を Transit Gateway に接続し、VPC 間の通信を簡素化。
  • オンプレミスネットワークと AWS 間の接続: AWS Direct Connect または VPN を使用して、オンプレミスネットワークを Transit Gateway に接続し、ハイブリッド環境を構築。
  • 異なる AWS リージョン間の接続: 異なるリージョンに存在する VPC を Transit Gateway ピアリングで接続し、グローバルネットワークを構築。
  • 共有サービスへのアクセス: 複数の VPC から、Transit Gateway を介して共有サービス (DNS サーバーなど) に安全にアクセス。
  • 複雑なネットワークトポロジの簡素化: 大規模で複雑なネットワークトポロジを、Transit Gateway を中心に構成し、管理を簡素化。

7. 設定・デプロイ手順 (ハンズオン例)

  1. AWS コンソールで Transit Gateway を作成。
  2. VPC を Transit Gateway にアタッチ。
  3. オンプレミス環境を Direct Connect または VPN 経由で Transit Gateway に接続。
  4. ルーティングテーブルを設定し、トラフィックの転送方法を定義。
  5. CloudWatch でネットワークのパフォーマンスを監視。

8. 試験で問われやすいポイント

8.1 ネットワークのハブ

  • 接続ポイント: 複数の VPC やオンプレミスネットワークを接続するための中央ハブであることを理解。
  • 管理簡素化: 複雑なネットワーク構成を簡素化し、一元的に管理できることを理解。

8.2 VPC 接続の簡素化

  • VPC ピアリング回避: VPC ピアリングの複雑な設定を回避できることを理解。
  • 中央ハブ: すべての VPC を接続する中央ハブとして機能することを理解。

8.3 オンプレミス接続サポート

  • Direct Connect/VPN: Direct Connect または VPN を使用してオンプレミスネットワークを接続できることを理解。
  • ハイブリッド環境: ハイブリッド環境でのシームレスなネットワーク接続を確立できることを理解。

8.4 料金体系

  • アタッチメント時間: Transit Gateway に VPC や Direct Connect ゲートウェイがアタッチされている時間による課金を理解。
  • データ処理量: Transit Gateway を介して転送されるデータ量による課金を理解。
  • リージョン間ピアリング: リージョン間のピアリング接続時間による課金を理解。

8.5 類似・関連サービスとの比較

  • VPC Peering: VPC 間を直接接続。Transit Gateway は複数 VPC、オンプレミス接続に対応。
  • AWS Direct Connect: オンプレミスと AWS 間の専用線。Transit Gateway は複数接続を統合。

8.6 試験で頻出となる具体的な問われ方と答え

  • Q: AWS Transit Gateway の主な用途は?
  • A: 複数の VPC やオンプレミスネットワークを接続するハブとして機能すること。
  • Q: Transit Gateway は VPC ピアリングとどう違う?
  • A: Transit Gateway は複数の VPC を接続するためのハブ、VPC ピアリングは一対一接続。
  • Q: Transit Gateway はオンプレミス環境と接続できる?
  • A: AWS Direct Connect または VPN 経由で可能。
  • Q: Transit Gateway は異なるリージョンの VPC を接続できる?
  • A: リージョン間ピアリングを設定すれば可能。
  • Q: Transit Gateway のセキュリティ対策は?
  • A: VPC セキュリティグループ、ネットワーク ACL など。
  • Q: Transit Gateway の料金体系は?
  • A: アタッチメント時間、データ処理量、リージョン間ピアリング時間による課金。
  • Q: Transit Gateway と VPC Peering の違いは?
  • A: VPC Peering は VPC 間を直接接続、Transit Gateway は複数 VPC のハブとなる。