Whether you're taking your first steps with Kubernetes or you're an experienced practitioner looking to sharpen your skills, our Amazon EKS workshop series delivers practical, real-world experience that moves you forward. Learn directly from AWS solutions architects and EKS specialists through hands-on sessions designed to build your confidence with Kubernetes. Register now and start building with Amazon EKS!
Site-to-Site VPN 接続が、トンネル B よりもトンネル A を優先するよう設定する方法を教えてください。
AWS Site-to-Site VPN 接続がトラフィックを AWS からオンプレミスネットワークに送信する際に、特定のトンネルを優先するよう設定したいです。
解決策
Site-to-Site VPN が特定のトンネルを優先するよう構成するには、静的または動的 VPN を使用します。
カスタマーゲートウェイと、仮想プライベートゲートウェイまたは Transit ゲートウェイのいずれかの間に静的 VPN を使用する
静的 VPN を使用すると、仮想プライベートゲートウェイまたは Transit ゲートウェイは、AWS からオンプレミスネットワークへのトラフィックを単一の VPN トンネルで送信します。Site-to-Site VPN は、優先トンネルを選択します。Site-to-Site VPN が特定のトンネルを優先するよう構成するには、トンネル A が UP、トンネル B が DOWN であるアクティブ/パッシブ構成を使用します。トンネル A は UP に設定されているため、Site-to-Site VPN からオンプレミスネットワークへのトラフィックは、トンネル A を経由します。
静的ルーティング接続の構成がアクティブ/アクティブであり、両トンネルが UP である場合は、Site-to-Site VPN が特定のトンネルを優先する構成を実現できません。たとえば、Site-to-Site VPN は AWS からオンプレミスネットワークへのトラフィックを送信する際に、無作為にトンネル A を選択する可能性があります。トンネル A がダウンした場合、Site-to-Site VPN からのトラフィックは自動でトンネル B にフェイルオーバーします。
カスタマーゲートウェイと、仮想プライベートゲートウェイまたは Transit ゲートウェイのいずれかの間に動的 VPN を使用する
ECMP ルーティングが無効な仮想プライベートゲートウェイまたは Transit ゲートウェイ
Equal Cost Multipath (ECMP) ルーティングが無効な場合、Site-to-Site VPN は、以下の両条件に当てはまる場合にオンプレミスネットワークへのトラフィックをトンネル A 経由で送信します。
- Site-to-Site VPN 接続の構成はアクティブ/アクティブである (両トンネルが UP)。
- Site-to-Site VPN 接続は、同じ Border Gateway Protocol (BGP) 属性で同じプレフィックスを仮想プライベートゲートウェイまたは Transit ゲートウェイにアドバタイズする。
注: アクティブ/アクティブ構成では、カスタマーゲートウェイの仮想トンネルインターフェイスで非対称ルーティングを有効にする必要があります。
アクティブ/パッシブ構成の結果は、動的ルーティングの場合も静的ルーティングの場合と同一です。トンネル A は UP に設定されているため、Site-to-Site VPN からオンプレミスネットワークへのトラフィックは、トンネル A を経由します。
ECMP ルーティングが有効な Transit ゲートウェイ構成
ECMP ルーティングが有効な場合、Transit ゲートウェイは、以下の両条件に当てはまる場合に VPN トンネル間のトラフィック負荷を分散します。
- カスタマーゲートウェイデバイスは、トンネル経由で同じプレフィックスをアドバタイズする。
- カスタマーゲートウェイデバイスからアドバタイズされるプレフィックスの BGP 属性は、両 VPN トンネルで同一である。これらの BGP 属性には、AS-Path プリペンド、AS_SEQUENCE 内の最初の自律番号 (AS)、Multi-Exit Discriminator (MED) が含まれます。
詳細については、「Transit ゲートウェイに関連付けられた複数の Site-to-Site VPN トンネルで ECMP ルーティングを行う方法を教えてください」を参照してください。
Transit Gateway で ECMP を使用する場合の制限事項については、「Equal Cost Multipath (ECMP) ルーティング」を参照してください。
カスタマーゲートウェイの構成
カスタマーゲートウェイデバイスは、一方の Site-to-Site VPN を他方よりも優先するよう設定します。次のいずれかの手順を実行します。
- 最長一致プレフィックスを、優先トンネルの仮想プライベートゲートウェイまたは Transit ゲートウェイにアドバタイズします。
- AS PATH 値を短縮します。プレフィックスが一致し、各 VPN 接続が BGP を使用する場合、カスタマーゲートウェイは AS PATH が最も短いプレフィックスを優先します。
- MED 値を低く設定します。AS PATH 値の長さが同一であり、AS_SEQUENCE 内の最初の AS 値がパス間で同一な場合、カスタマーゲートウェイは MED 値を比較します。カスタマーゲートウェイは、MED 値が最も低いパスを優先します。
注: 両トンネルの AS PATH 値を同一にするために、AS PATH 値は先頭に追加しないようおすすめします。AS PATH 値が同一な場合、トンネルの優先度は、AWS が VPN トンネルエンドポイントの更新時に設定した MED 値により決定されます。
注: AWS VPN は、仮想プライベートゲートウェイでの Site-to-Site VPN 接続では ECMP をサポートしません。AWS VPN は、Transit ゲートウェイでの Site-to-Site VPN 接続では ECMP をサポートします。
- 言語
- 日本語
