AWSはまりポイント
私はこれまでお客様へのインフラソリューションの提案から導入まで携わってきましたが、その中で、はまりそうな注意すべきポイントについてご紹介していきたいと思います。
ということで今回のテーマは、AWSのリージョン間ピアリングではまりそうなポイントをご紹介していきたいと思います。
今回ご紹介するAWSの構成は、リージョンが2つあり、リージョン間ピアリングをVPC Peeringにしています。
まずは現状の構成は以下のようになっておりましたが、あくまで概要図で詳細は記載しておりませんのでご了承ください。
○移行前のAWS構成概要図
現状の構成を簡単に説明します。
- ・AWSで利用するリージョンは2つ
- ・オンプレとはインターネットゲートウェイ経由サイト間VPN接続とAWS Direct Connect ゲートウェイ経由専用線接続
- ・リージョン間接続はVPC Peeringを利用
現状はVPC Peering 数が数十個あり、VPC追加時に作業量が多く管理が煩雑になっていました。
また、将来リージョンを増やすことが計画されていてVPCも当然増えるため、今後のルーティング設計や管理の簡素化を検討することになりました。
今回はVPCの数が多いことからリージョン間通信をVPC Peeringから、これまでのメッシュ型ネットワークからTransit Gatewayを中心とするハブ型ネットワークとし、リージョナルゲートウェイを中心として、オンプレとの接続もまとめて経路を集中管理できる、Transit Gateway Peeringに移行する案が検討されました。
まずは現状の構成を維持してVPC Peeringでリージョンを増やした場合の構成は以下になります。
○Vng構成維持のAWS構成概要図
VPC Peering 数がさらに増え、VPC追加時の作業量が膨大になります。また移行作業計画の段階から、ロールバック時の作業量も当然膨大になることへの懸念がありました。
またルーティング設計や管理の簡素化も難しいことから、Transit Gateway Peeringに移行することを検討しました。
次に移行後の構成は以下になります。
○移行後のAWS構成概要図
移行後の構成を簡単に説明します。
- ・AWSで利用するリージョンは3つ以上
- ・オンプレとはインターネットゲートウェイ経由サイト間VPN接続とAWS Direct Connect ゲートウェイ経由専用線接続
- ・リージョン間接続はTransit Gateway Peeringを利用
移行前はVPC Peeringであったため、新たにVPCを追加する場合は接続するVPCそれぞれに設定をする必要があり、数十回ものピアリング設定をしていましたが、Transit Gateway Peeringにしてからは、アタッチメントしてルートテーブルの作成、アソシエーションやプロパゲーションなど設定すればよく、設定回数も減り管理もシンプルになります。
ここで移行前の確認として、はまりそうな注意すべきポイントがありましたので記載していきます。
- ・BGPではなくスタティックルートのみ
・Transit GatewayはBGPをサポートしていますが、Transit Gateway PeeringはスタティックルートのみサポートしてBGPはサポートしていません。
- ・Transit Gateway とAWS Direct Connect ゲートウェイの接続
Transit Gateway とAWS Direct Connect ゲートウェイを接続する場合、許可するプレフィックスを設定する項目があり、AWS側からオンプレミスのGWにBGP広報するCIDRの値となります。
こちらの制限が20個となり、CIDRが断片化されている場合はCIDRをまとめる必要があります。またVPCが増えBGP広報したいCIDRが増えた場合は、都度設定追加する必要があります。
- 使用できる帯域幅
Transit Gatewayは、VPC アタッチメント、AWS Direct Connect ゲートウェイ、または Transit Gateway ピア接続ごとの最大帯域幅が50Gbpsとなっています。
VPC Peeringは制限に記載がないため無制限となっています。
- セキュリティグループ参照
VPC Peering間でのセキュリティグループの参照はサポートされていますが、Transit Gateway Peering間のセキュリティグループ参照はサポートされていません。
- 料金体系
コストについては、Transit Gatewayは仮想インターフェイスの転送料に加え、Transit Gatewayの転送料、各アタッチメント毎の時間課金がかかり、VPC Peeringはアベイラビリティゾーンをまたいだ場合のデータ転送料がかかり課金方法が異なりますので、詳細についてはよく確認する必要があります。シンプル構成とするか、コスト優先とするか検討する必要があります。
各サービスについてはメリット、デメリットがあります。詳細は割愛していますので、是非各サービスを比較検討していただければと思います。
また他にAWS PrivteLinkがあり、インターネット経由しないプライベート接続で利用できますので、多くのVPCを接続する場合は是非検討していただければと思います。リージョン跨ぎはできないですが、セキュアな環境が必要な場合など有用です。
最後に各サービスについては、クオータ(制限)がありますので、事前に確認することは必須です。また調整可能なクオータについては、引き上げをリクエストできますが、リクエストは承認だけではなく部分的に承認、または拒否がありますので、リクエスト方法、提出資料等確認しておく必要があります。また今後の仕様変更や将来計画されている機能追加などは、AWSの最新情報を日々チェックしていただければと思います。
<References>
VPC Peering
https://docs.aws.amazon.com/ja_jp/vpc/latest/peering/what-is-vpc-peering.html
VPC クオータ
https://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/amazon-vpc-limits.html
Transit gateway
https://docs.aws.amazon.com/ja_jp/vpc/latest/tgw/what-is-transit-gateway.html
Transit gateway クオータ
https://docs.aws.amazon.com/ja_jp/vpc/latest/tgw/transit-gateway-quotas.html
Transit gateway Peering ルーティング
https://docs.aws.amazon.com/vpc/latest/tgw/how-transit-gateways-work.html#tgw-routing-overview
AWS PrivteLink
https://aws.amazon.com/jp/privatelink/features/
クォータ引き上げのリクエスト
https://docs.aws.amazon.com/ja_jp/servicequotas/latest/userguide/request-quota-increase.html
AWSの最新情報