AWS Transit Gateway を使用して、 AWS Direct Connect と VPN フェイルオーバーを設定したいと考えています。
トランジットゲートウェイを作成します。
Amazon Virtual Private Cloud (Amazon VPC) をトランジットゲートウェイにアタッチします。
AWS Site-to-Site VPN を作成して、トランジットゲートウェイにアタッチします。 **注:**静的 VPN を使用する場合は、定義した静的ルートが BGP の伝播ルートよりも限定的ではない CIDR を使用するようにしてください。同じ CIDR を使用するルートのルート評価順序に従い、Transit Gateway は BGP で伝播されるルートよりも静的ルートを優先します。
Direct Connect ゲートウェイをトランジットゲートウェイにアタッチします。また、Amazon VPC CIDR 範囲を、各 Amazon VPC アタッチメントの Direct Connect ゲートウェイで許可されるプレフィックスインタラクションに追加する必要があります。プレフィックスを追加すると、トランジット仮想インターフェイスを介してリモート側にアドバタイズされます。 **注:**トランジット仮想インターフェイスでは、トランジットゲートウェイごとに最大 200 個のプレフィックスを AWS からオンプレミスにアドバタイズできます。200 を超える CIDR プレフィックスをアドバタイズするには、Service Quotas に従って 200 CIDR プレフィックス以下になるルートをまとめてください。ルートをまとめたら、許可されているプレフィックスインタラクションセクションに追加します。詳細については、「AWS Direct Connect のクォータ」を参照してください。
(オプション) AWS VPN Transit Gateway 関連のルートテーブルからアドバタイズされる VPC CIDR は、トランジット仮想インターフェイスでアドバタイズされる CIDR よりも具体的です。これにより、カスタマーゲートウェイは AWS Direct Connect 接続よりも VPN を優先することになるため、非対称ルーティングが発生する可能性があります。この問題を解決するには、次のステップを実行してください。 注:「Direct Connect ゲートウェイで許可されるプレフィックス」フィールドで Amazon VPC CIDR の要約ルートを作成すると、オンプレミスへの AWS VPN は Amazon VPC CIDR をアドバタイズします。
Direct Connect ゲートウェイに関連付けられている要約ルートを、Transit Gateway のルートテーブルに関連付けられている VPN アタッチメントに追加してください。ルートテーブルのターゲットアタッチメントには、CIDR を持つ Amazon VPC を選択します。CIDR は、Site-to-Site VPN アタッチメントの Transit Gateway ルートテーブルへの集約されたルートの一部である必要があります。集約されたルートと特定のルートの両方を Site-to-Site VPN 経由でアドバタイズする必要があります。
VPN カスタマーゲートウェイから、サイト間 VPN 上でより具体的な CIDR プレフィックスをアドバタイズするルートを除外してください。カスタマーゲートウェイには、両方の接続で同じ集約されたルートが必要です。ゲートウェイは AWS Direct Connect 接続を優先します。
Transit Gateway のルートテーブルを作成し、すべてのアタッチメントのルート伝播を有効にします。 **注:**Direct Connect トランジット仮想インターフェイスと Site-to-Site VPN の BGP セッションに同じプレフィックスのセットをアドバタイズします。
Amazon VPC コンソールを開きます。
ナビゲーションペインから、[Transit Gateways] を選択します。
トランジットゲートウェイの [デフォルト関連付けルートテーブル] 設定が False に設定されているかどうかを確認します。設定が True の場合は、次の手順に進みます。
[Transit Gateway ルートテーブル] を選択します。
[Transit Gateway ルートテーブルを作成] を選択します。
**[名前タグ]**に「Route Table A」と入力します。
[Transit Gateway ID] で、トランジットゲートウェイの Transit Gateway ID を選択します。
[Route Table A] (またはトランジットゲートウェイのデフォルトルートテーブル) を選択し、[関連付け] を選択します。
次に、[関連付けを作成] を選択します。
[関連付けるアタッチメントを選択] で、Amazon VPC の関連付け ID を選択し、[関連付けの作成] を選択します。Direct Connect ゲートウェイ、VPN、Amazon VPC のすべてが [関連付け] の下に表示されるまで、このステップを繰り返します。
[ルートテーブルの伝播] を選択します。
[伝播] を選択します。[伝播するアタッチメントを選択] で、Direct Connect ゲートウェイ、VPN、Amazon VPC を選択します。
Amazon VPC とアタッチメントサブネットに関連付けられているルートテーブルを設定します。
ナビゲーションペインから、[ルートテーブル] を選択します。
アタッチメントサブネットにアタッチされているルートテーブルを選択します。
[ルート] タブを選択し、[ルートの編集] を選択します。
[ルートを追加] タブを選択します。
[宛先] には、オンプレミスネットワークのサブネットを選択します。
[ターゲット] で、トランジットゲートウェイを選択します。
[ルートを保存] を選択します。
注:****ルーティング更新イベントをよりよく把握するには、Transit Gateway Network Manager を有効にするのがベストプラクティスです。詳しくは、「ルーティング更新イベント」を参照してください。
AWS Transit Gateway へのハイブリッド接続