181-AWS SAP AWS 「理論・実践・一問道場」トランジットゲートウェイ+RAM

type

status

date

slug

summary

理論

1. AWS OrganizationsとVPC管理

AWS Organizationsは、複数のAWSアカウントを一元的に管理するためのサービスです。これにより、アカウント間でのリソースの統合、ポリシー適用、およびセキュリティ管理が効率的に行えます。しかし、アカウントごとに異なるVPCを持つ場合、VPC間の通信をどのように確立するかが重要な課題となります。

2. VPC間の通信方法

VPC間で通信を行うためには、いくつかの方法があります。以下はその代表的な方法です：

VPCピアリング接続: 直接的な接続を確立するために、異なるVPC間でピアリング接続を作成します。しかし、ピアリング接続はVPCの数が増えると管理が複雑になるため、スケーラビリティに限界があります。

Transit Gateway: 複数のVPCを中央で接続するためのサービスで、各VPCを一元的に接続できます。Transit Gatewayは、複数のVPCを効率的に接続でき、スケーラビリティの問題を解決します。トラフィックの流れを一元管理できるため、大規模な環境に適しています。

3. AWS RAM (Resource Access Manager)

AWS RAMは、複数のアカウント間でリソースを共有するためのサービスです。これにより、VPC内のリソース（例えば、VPCピアリング接続やTransit Gatewayなど）を他のアカウントと共有できます。重要なのは、VPCそのものをRAMで共有することはできないという点です。VPC内の個別のリソースやサービスを共有することができますが、VPC全体を共有することはできません。

4. VPCの設計と運用

AWSでのVPC設計は、アカウントやリージョンごとにVPCを分けることが多いですが、これには以下のような注意点があります：

CIDR範囲の設計: 各VPCにはCIDR（Classless Inter-Domain Routing）範囲があり、アカウント間で重複しない範囲を設計する必要があります。

セキュリティグループとネットワークACL: VPC間の通信を制御するためには、セキュリティグループやネットワークACLを適切に設定することが重要です。特に、VPCピアリングやTransit Gatewayを使用する際は、通信を許可する設定が必要です。

5. スケーラビリティと運用負荷

ピアリング接続は、少数のVPCであれば効果的ですが、数百以上のVPCを接続する場合、接続管理が煩雑になるため、管理負荷が高くなります。

Transit Gatewayは、複数のVPCを一元的に接続し、運用負荷を軽減するため、規模が大きくなる場合に適しています。

6. 最適なソリューション選択

大規模なVPC間通信を管理する際は、Transit Gatewayを利用するのが最も効果的です。これにより、複数のVPCを簡単に接続し、管理が容易になります。

ピアリング接続やVPN接続は、小規模な環境や特定の要件に適していますが、大規模な環境での運用には限界があります。

まとめ：

AWS上でのVPC間通信の管理は、規模が大きくなると複雑になるため、Transit Gatewayを使用することで効率的かつスケーラブルなネットワーク設計が可能になります。また、AWS RAMを使用して、特定のリソースを他のアカウントと共有することができ、運用負荷を軽減できますが、VPC全体の共有はできない点に注意が必要です。

実践

略

一問道場

問題 #181

トピック 1

ある会社がAWSクラウドでネットワーク構成を設計しています。この会社はAWS Organizationsを使用して複数のアカウントを管理しており、3つの組織単位（OU）があります。各OUには100以上のAWSアカウントが含まれており、各アカウントには単一のVPCがあります。すべてのVPCは同じAWSリージョンにあり、各アカウントのCIDR範囲は重複していません。

会社は、同じOU内のVPCは互いに通信できるが、他のOUのVPCとは通信できないようにするソリューションを実装する必要があります。

最も運用負荷が少ないソリューションはどれですか？

A. AWS CloudFormationスタックセットを作成して、各OU内のアカウント間でVPCピアリングを確立します。スタックセットを各OUに展開します。

B. VPCそのものをRAMで共有するという点は誤りです。

C. 各OUにアカウントでトランジットゲートウェイを展開し、AWS Resource Access Manager（AWS RAM）を使用してそのトランジットゲートウェイを組織全体で共有します。各VPCにトランジットゲートウェイVPCアタッチメントを作成します。

D. 各OUに専用のネットワーキングアカウントを作成し、そのアカウントに単一のVPCを作成します。VPN接続をネットワーキングアカウントとOU内の他のアカウントとの間で確立します。サードパーティ製のルーティングソフトウェアを使用して、VPC間で遷移的なトラフィックをルーティングします。

解説

正解は C です。

理由：

C. トランジットゲートウェイは、複数のVPCを効率的に接続し、異なるOU間の通信を隔離するための最適なソリューションです。トランジットゲートウェイは、各OUのVPCを一元的に接続でき、管理の手間を最小限に抑えつつ、同じOU内でのVPC間の通信を可能にします。また、AWS Resource Access Manager（AWS RAM）を使用して、トランジットゲートウェイを組織全体で共有することにより、運用負荷を大幅に軽減できます。

他の選択肢の問題点：

A: CloudFormationスタックセットを使ってVPCピアリングを設定する方法は可能ですが、100以上のアカウント間で個別にピアリングを設定するのは運用負荷が高く、スケーラブルではありません。

B: ネットワーキングアカウントを作成し、VPCを共有する方法は、VPCピアリングよりも管理が簡単かもしれませんが、VPC間の接続を管理する方法としてはスケーラビリティに欠けます。

D: VPN接続を使用してトラフィックをルーティングする方法は、設定や運用に手間がかかり、他の選択肢と比較して非効率的です。

したがって、Cが最も運用負荷が少なく、スケーラブルで効果的な方法です。