AWS Direct Connect の VIF BGP セッションを介して、Virtual Private Cloud (Amazon VPC) のルートをオンプレミスネットワークにアドバタイズしたいと考えています。
簡単な説明
Direct Connect の Border Gateway Protocol (BGP) セッションを介して AWS がオンプレミスネットワークにアドバタイズされるルートは、次の接続タイプによって異なります。
- 仮想プライベートゲートウェイ (VGW) に接続された Direct Connect プライベート VIF
- VGW に関連付けられた Direct Connect ゲートウェイに接続された Direct Connect プライベート VIF
- トランジットゲートウェイに関連付けられた Direct Connect ゲートウェイに接続された Direct Connect トランジット VIF
解決策
Direct Connect のオンプレミスネットワークは、BGP を通じて手動で、または BGP への再配布を通じて、ルートをアドバタイズします。AWS がオンプレミスにアドバタイズして返すルートは、ゲートウェイのタイプによって異なります。
VGW に接続する Direct Connect プライベート VIF
VGW に関連付けられた VPC の IPv4/IPv6 CIDR は、オンプレミス BGP ピアに自動的にアドバタイズされます。例えば、CIDR 10.55.0.0/16 VGW の VPC は、プライベート VIF に直接関連付けられます。プレフィックス 10.55.0.0/16 は、自動的にオンプレミスにアドバタイズされます。VPC に関連付けられている追加の CIDR がある場合、それらのプレフィックスは BGP ピアにアドバタイズされます。
VGW に関連付けられた Direct Connect ゲートウェイに接続されたダイレクトコネクトプライベート VIF
1 つの Direct Connect ゲートウェイには、最大 20 個の VGW を関連付けることができます。すべての VPC CIDR プレフィックスは、オンプレミスの BGP ピアにアドバタイズされます。[許可されたプレフィックス]リストは、AWS からオンプレミスの BGP ピアへの BGP アドバタイズメントをフィルタで抽出します。
[許可されたプレフィックス] リストを使用して、同じ CIDR、または CIDR のより小さなサブネットを、Direct Connect ゲートウェイにアドバタイズすることができます。
次の例では、VPC-A CIDR 10.77.0.0/16、VPC-B CIDR 10.66.0.0/16、および VPC-C 192.168.0.0/16 が Direct Connect ゲートウェイにアタッチされています
[許可されたプレフィックス] リストが 10.0.0.0/8 のみを許可するように設定されている場合、プレフィックス 10.77.0.0/16 と 10.66.0.0/16 がオンプレミスの BGP ピアで受信されます。プレフィックスは [許可されたプレフィックス] リストのサブネットですが、オンプレミスの BGP ピアは 192.168.0.0/16 を受信しません。
[許可されたプレフィックス] リストが 10.0.0.0/8 および 192.168.5.0/24 を許可するように設定されている場合、プレフィックス 10.77.0.0/16 および 10.66.0.0/16 はオンプレミスの BGP ピアで受信されます。プレフィックスは [許可されたプレフィックス] リストのサブネットですが、オンプレミスの BGP ピアは 192.168.0.0/16 を受信しません。その IP 範囲が [許可されたプレフィックス] リストに含まれていないためです。
トランジットゲートウェイに関連付けられた Direct Connect ゲートウェイに接続する Direct Connect トランジット VIF
1 つの Direct Connect ゲートウェイを最大 6 つのトランジットゲートウェイに関連付けることができます。トランジットゲートウェイ全体で、および Direct Connect 接続を介して、数百の VPC がトラフィックを送信できます。オンプレミスネットワークは、個々の VPC すべてに対するルートを有しているか、集約されたルートを使用する必要があります。Direct Connect を使用してトランジットゲートウェイからオンプレミスへアドバタイズされるルートは、[許可されたプレフィックス] で定義されます。
すべてのプレフィックスは、オンプレミスの BGP ピアにアドバタイズされます。[許可されたプレフィックス] リストは、トランジットゲートウェイからオンプレミスの Direct Connect ピアにアドバタイズします。トランジットゲートウェイに接続された VPC CIDR ではない場合でも、8.8.8.8/32 などの任意の IP アドレスのルートをアドバタイズできます。
トランジットゲートウェイ用の [許可されたプレフィックス] リストのプレフィックス数は IPv4 と IPv6 の合計で 200 個に制限されます。次の例では、VPC-A CIDR 10.77.0.0/16、VPC-B CIDR 10.66.0.0/16、および VPC-C 192.168.0.0/16 が、 Direct Connect ゲートウェイに接続するトランジットゲートウェイにアタッチされています。[許可されたプレフィックス] リストが 10.0.0.0/8 と 192.168.5.0/24 を許可するように設定されている場合、オンプレミスネットワークではその 3 つの VPC CIDR プレフィックスを受け取りません。代わりに、BGP を介してアドバタイズされるプレフィックス 10.0.0.0/8 および 192.168.5.0/24 を受け取ります。
[許可されたプレフィックス] リストが 10.0.0.0/8 および 192.168.0.0/16 を許可するように設定されている場合、BGP を介してアドバタイズされたプレフィックス 10.0.0.0/8 および 192.168.0.0/16 を受け取ります。
[許可されたプレフィックス] リストが 0.0.0.0/0 のみを許可するように設定されている場合、BGP を介してアドバタイズされたデフォルトルート 0.0.0.0/0 だけを受け取ります。
トランジットゲートウェイと Direct Connect ゲートウェイとの関連付けまたは VGW の [許可されたプレフィックス] に対する変更は、ルートについて更新され、BGP セッションは停止しません。
注: [許可されたプレフィックス] リストに加えられた変更は、反映されるまでに数分かかる場合があります。
関連情報
許可されたプレフィックスのインタラクション
AWS Direct Connect のクォータ