type
status
date
slug
summary
tags
category
icon
password
书籍
理論
Direct Connectゲートウェイ と VIF または Transit Gateway の使用
1. Direct Connect網ゲートウェイ + 2つのVIF
このアーキテクチャでは、Direct Connect を使って本社ネットワークと2つのVPCを接続します。各VPCに対して個別のVIFを使用します。
- 1つのDirect Connect網ゲートウェイ:複数のVPCを接続するために使用します。
- 2つのVIF(Virtual Interface):
- 各VPCには個別の私有VIFが必要で、本社ネットワークと各VPC間の通信を担当します。
- 1つのVIFはVPC1に、もう1つはVPC2に接続します。
流れ:
- 本社ネットワーク → VIF1 → Direct Connect網ゲートウェイ → VPC1
- 本社ネットワーク → VIF2 → Direct Connect網ゲートウェイ → VPC2
この方法では、Direct Connect網ゲートウェイが本社ネットワークと2つのVPC間の通信を管理します。VPC間の直接通信はなく、VPCごとに独立してVIFを使用します。
2. Direct Connect網ゲートウェイ + Transit Gateway + 1つのVIF
複数のVPCがある場合や、VPC間の通信を集中管理したい場合に、Transit Gateway を使用する方法です。
- 1つのDirect Connect網ゲートウェイ:本社ネットワークをTransit Gateway に接続します。
- 1つのVIF:本社ネットワークとDirect Connect網ゲートウェイを接続します。
- Transit Gateway:本社ネットワークと複数のVPC間で流れるトラフィックを集中管理します。
流れ:
- 本社ネットワーク → VIF → Direct Connect網ゲートウェイ → Transit Gateway → VPC1 & VPC2
この方法では、Transit Gateway がVPC1とVPC2間の通信を管理し、両方のVPCと本社ネットワークの接続を中継します。VPC間の通信が直接可能になり、1つのVIFで複数のVPCを接続できます。
どちらの方法を選ぶべきか?
- Direct Connect網ゲートウェイ + 2つのVIF:
- 複数のVPC間での直接通信は必要なく、各VPCごとに個別に接続したい場合。
- 本社ネットワークとVPC間の個別接続が求められる場合。
- Direct Connect網ゲートウェイ + Transit Gateway + 1つのVIF:
- 複数のVPC間で通信を集中管理したい場合(例えば、VPC1とVPC2が直接通信できるようにしたい場合)。
- VPC間通信をTransit Gatewayを介して管理し、本社ネットワークからのトラフィックを一元管理したい場合。
まとめ:
- 2つのVPCを接続する場合、Direct Connect網ゲートウェイ + 2つのVIF は各VPCに個別に接続する方法です。
- 複数のVPC間での通信を集中管理するには、Direct Connect網ゲートウェイ + Transit Gateway + 1つのVIF の方が効率的です。
ルート広告(BGPの広告)とは?
- 広告する(advertise) というのは、BGP(Border Gateway Protocol) を使って、特定の IPアドレス範囲(プレフィックス) を他のネットワークに通知する行為を指します。
- これにより、ネットワーク間で経路情報が交換され、受け取ったネットワークは、そのプレフィックスに到達するための経路を自動的にルートテーブルに登録します。
ルートテーブルの自動登録とは?
- ルートテーブルの自動登録は、BGP広告 を受け取った後、受信側のルーターが自動的にその経路情報を自分のルートテーブルに追加することです。
- これにより、ネットワーク間の通信が可能になり、各ネットワークがどのIP範囲にどうアクセスするかを決定します。
具体的な流れ(例):
- AWS VPCからプレフィックスを広告する:
- AWSが自分のVPCのプレフィックス(例:
10.0.0.0/16)を BGP を通じて オンプレミスネットワーク に「広告」します。 - オンプレミスのネットワーク(ルーター)は、このプレフィックスを受け取り、そのプレフィックスがどの経路を通じて到達するかを決定します。
- その後、オンプレミスのルーターは自動的に自分のルートテーブルに
10.0.0.0/16の経路を追加します。
- オンプレミスネットワークからプレフィックスを広告する:
- オンプレミスネットワークが自分のネットワークプレフィックス(例:
192.168.1.0/24)を BGP を通じて AWS に「広告」します。 - AWSのDirect Connectゲートウェイがこの情報を受け取り、AWS内のルーターが自動的にそのプレフィックスを自分のルートテーブルに登録します。
まとめ:
- 広告する という行為は、BGPを使用してネットワーク間でIPアドレス範囲(プレフィックス)を通知し、相手のネットワークがその情報を基に自分のルートテーブルを自動的に更新することを意味します。
- ルートテーブルの自動登録 は、BGP広告を受けた結果として、ルーターがその経路情報を自動的に自分のルートテーブルに追加するプロセスです。
したがって、「広告する」と「ルートテーブルの自動登録」は密接に関連しており、BGPを通じて自動的に経路情報が交換され、ルートテーブルが更新されるという流れを指します。
ルートテーブル例:
オンプレミスネットワーク(例:192.168.1.0/24)のルートテーブル:
宛先(Destination) | ゲートウェイ(Gateway) |
10.0.0.0/16 | AWS Direct Connect経由 |
AWS VPCのルートテーブル(例:10.0.0.0/16):
宛先(Destination) | ゲートウェイ(Gateway) |
192.168.1.0/24 | Direct Connectゲートウェイ |
自動登録:
- オンプレミスネットワーク のルーターは、AWS VPC のプレフィックス(
10.0.0.0/16)を広告してもらった後、その情報を自動的に自分のルートテーブルに登録します。
- 同様に、AWS VPC のルーターも、オンプレミスネットワーク のプレフィックス(
192.168.1.0/24)を広告してもらった後、それを自動的にルートテーブルに登録します。
これにより、AWS VPCとオンプレミスネットワーク間での通信が可能になります。
実践
略
一問道場
質問 #469
ある企業は、オンプレミスのインフラとAWS間に専用接続を確立したいと考えています。企業は、1 GbpsのAWS Direct Connect接続を自社のVPCに設定しています。アーキテクチャには、複数のVPCとオンプレミスのインフラを接続するためのトランジットゲートウェイとDirect Connectゲートウェイが含まれています。
企業は、Direct Connect接続を使ってトランジットVIF経由でVPCリソースに接続する必要があります。
これらの要件を満たすために必要な手順の組み合わせはどれですか?(2つ選んでください)
A. 1 GbpsのDirect Connect接続を10 Gbpsに変更する。
B. トランジットVIF経由でオンプレミスネットワークのプレフィックスを広告する。
C. Direct ConnectゲートウェイからVPCのプレフィックスをオンプレミスネットワークにトランジットVIF経由で広告する。
D. Direct Connect接続のMACsec暗号化モードを「mustencrypt」に設定する。
E. Direct Connect接続にMACsec接続キー名/接続関連キー(CKN/CAK)ペアを関連付ける。
解説
この問題の解説を行います。問題の要点は、AWS Direct Connectを利用して、オンプレミスのインフラストラクチャとAWS間で接続を確立し、トランジットVIF経由でVPCリソースにアクセスする方法を理解することです。
概要
企業は、AWS Direct Connectを使って自社のオンプレミスインフラとAWS環境を接続し、VPCリソース(例えば、EC2インスタンスなど)にアクセスしたいと考えています。設定には、トランジットゲートウェイ(Transit Gateway)とDirect Connectゲートウェイ(Direct Connect Gateway)を活用して、複数のVPCとオンプレミスのインフラを接続する必要があります。
流量は、オンプレミスからAWSへ、またはその逆に、**トランジットVIF(Virtual Interface)**を通じて流れることになります。この要求を満たすためには、いくつかの設定を適切に行う必要があります。
主要なコンポーネント
- AWS Direct Connect:オンプレミスのデータセンターとAWS間の専用回線を提供します。
- トランジットゲートウェイ:複数のVPCやオンプレミスネットワークを接続するためのAWSサービスです。
- Direct Connectゲートウェイ:Direct Connect接続をVPCに接続するためのサービスで、AWS上のVPCに接続された複数のネットワーク間の通信を可能にします。
- トランジットVIF:VPCリソースへのアクセスに使用される仮想インターフェースです。
問題の要点と解説
企業が目指すべき設定は、オンプレミスのネットワークからAWS上のVPCリソースへアクセスすることです。そのために必要な手順は以下の通りです:
選択肢の解説:
- A: 1 GbpsのDirect Connect接続を10 Gbpsに更新する
- この選択肢は、単に帯域幅の増加を提案していますが、問題の要件には帯域幅の増加は必須ではありません。この設定を行わなくても、トランジットVIFを経由してリソースへの接続は可能です。
- B: トランジットVIF経由でオンプレミスネットワークのプレフィックスを広告する
- 必須のステップです。トランジットVIFを介して、オンプレミスネットワークのIPプレフィックス(ネットワーク範囲)をAWSに広告する必要があります。これにより、AWSからオンプレミスネットワークへのルーティングが可能になります。
- C: Direct ConnectゲートウェイからVPCプレフィックスをオンプレミスネットワークにトランジットVIF経由で広告する
- 必須のステップです。Direct Connectゲートウェイは、VPC内のリソース(例:EC2インスタンスなど)のIPプレフィックスをオンプレミスネットワークに広告する役割を果たします。これにより、オンプレミスからVPCリソースへのルーティングが可能になります。
- D: Direct Connect接続のMACsec暗号化モード属性を「mustencrypt」に更新する
- この設定は、セキュリティを強化するためにMACsec(Media Access Control Security)を利用するための設定ですが、問題文に記載されている要件には関係ありません。したがって、必須ではありません。
- E: MACsec接続キー名/接続関連キー(CKN/CAK)ペアをDirect Connect接続に関連付ける
- Dと同様、これはセキュリティ設定に関連しており、暗号化を強化するオプションですが、要件には含まれていません。
正しい解答:
- BとCの組み合わせが正しい解答です。
- B: トランジットVIF経由でオンプレミスネットワークのプレフィックスを広告する。
- C: Direct ConnectゲートウェイからVPCプレフィックスをオンプレミスネットワークにトランジットVIF経由で広告する。
なぜBとCなのか:
- Bでは、オンプレミスからAWSにルーティングされるための情報(ネットワークプレフィックス)を提供します。これにより、オンプレミスネットワークがAWSリソースにアクセスできるようになります。
- Cでは、AWSのVPCリソースにアクセスできるよう、VPCのネットワークプレフィックスをオンプレミスネットワークに広告します。これにより、オンプレミスネットワークがVPCのリソースにアクセスできるようになります。
まとめ:
- トランジットVIFを使って、オンプレミスとAWSのVPCリソース間で通信を確立するためには、BとCの手順が必須です。
- A、D、Eはこのシナリオには関連性が低く、必要な設定ではありません。
- 作者:みなみ
- 链接:https://www.minami.ac.cn//%E8%B3%87%E6%A0%BC%E5%8B%89%E5%BC%B7/17cd7ae8-88e2-80bd-b933-e986b29892ef
- 声明:本文采用 CC BY-NC-SA 4.0 许可协议,转载请注明出处。
相关文章
