お問い合わせ2024.01.11
はじめに
こんにちは、ちーたです。
今回の記事ではAWS Transit Gatewayについて解説します。どんな内容のサービスなのか、使うとどういうメリットがあるのか、どういった場合に導入するといいのかといった視点で説明します。
AWSを使ってネットワークを構成しようと考えている方は是非参考にしてください。
*2024年1月15日に記事内の一部の図を修正しました。
目次
-
- ■AWS Transit Gatewayとは?
- ■AWS Transit Gatewayを使うことのメリット
- ■AWS Transit Gatewayの構造・仕組み
- ■AWS Transit Gateway使用する上での注意点
- ■AWS Virtual Gateway(仮想プライベートゲートウェイ)とAWS Transit Gatewayの違い
- ■AWS Transit Gatewayの料金体系
- ■AWS Transit Gatewayのユースケース・どんなときに導入すべき?
- ■AWS Transit Gatewayの冗長化について
- ■AWS Transit GatewayのSLAについて
- ■AWS Transit Gatewayを後から導入することはできるの?
- ■アット東京のATBeX
AWS Transit Gatewayとは?
AWS Transit Gatewayとは、AWS Virtual Private Cloud(仮想プライベートクラウド、以下VPC)とオンプレミスとの接続を介したり、複数のVPC間をつなぐための仮想クラウドルータのようなものです。
AWS Transit Gatewayを使えば、複雑なネットワークを簡素化することができ、VPCやAWS Direct Connectなどネットワークの管理が楽になります。
今回は、AWS Transit GatewayとAWS Direct Connectを用いたオンプレミス環境からAWSまでの構成に焦点をあてて解説いたします。
AWS Transit Gatewayを使うことのメリット
VPN接続コストを削減できる
■Transit Gatewayを使わない場合①
■Transit Gatewayを使う場合①
複数のVPCを構築する場合、オンプレミスネットワークと接続するにはVPCごとに1つのSite-to-Site VPN(以下サイト間VPN)が必要になりますが(サイト間VPN1つに対して1つのVPCしか接続できないため)、AWS Transit Gatewayを使えばサイト間VPNからAWS Transit Gatewayに接続し、そこから各VPCに接続可能ですので、用意するサイト間VPNを1つにすることができます。
それによりサイト間VPNの接続料金を大幅に削減することができます。
AWS Direct Connectとの接続を集約できる
■Transit Gatewayを使わない場合➁
■Transit Gatewayを使う場合➁
AWS Transit Gatewayを使うことで、AWS Direct Connectの接続も集約することができます。
AWS Transit Gatewayを使わない場合、複数のVPCを構築したら、まずはDirect ConnectからDirect Connect Gatewayに接続し、そこからそれぞれのVPCに接続する必要があります。VPC間の接続をするのであればさらにVPC ピアリングの設定をする必要がありますが、AWS Transit Gatewayを使えばDirect Connect GatewayとAWS Transit Gatewayを接続し、AWS Transit GatewayからそれぞれのVPCに接続(アタッチメント)するだけでVPC間通信もできるようになります。そのためVPC間のピアリングを設定する必要がありません。
ネットワーク管理が楽になる
■Transit Gatewayを使わない場合③
「Transit Gatewayを使わない場合③」の図をご覧ください。オンプレミス環境から専用線(Direct Connect)で3つのAWS VPCと接続し、かつそのバックアップとしてサイト間VPNで接続するという構成イメージになっています。
重複しますが、この場合、Transit Gatewayを使わないと、Direct Connect GatewayからそれぞれのVPCに接続し、かつバックアップ用のサイト間VPNも3つ用意してVPCにつなぐことになります(サイト間VPN1つに対して1つのVPCしか接続できないため)。VPC間の通信も行いたいのであれば、VPC ピアリングの設定も必要です。
■Transit Gatewayを使う場合③
一方で、AWS Transit Gatewayを使えばネットワークルータの役目を果たしてくれるので、そこに接続を集約させることができます。「Transit Gatewayを使う場合③」をご覧ください。Direct Connect Gatewayからの接続と、サイト間VPCからの接続がTransit Gatewayに集約され、ネットワーク構成図が非常にシンプルになっていることがわかると思います。繰り返しにはなりますが、Transit Gateway経由でVPC間接続も行えるので、VPC間の通信用にVPCピアリングを設定する必要もなくなります。
追加でVPCを増やすときにも、既存のVPCとの間にピアリングを設定する必要がなく、AWS Transit Gatewayにアタッチメント(Transit Gatewayと他のネットワークとの接点)を作成するだけになるので、システムの拡張が非常に楽になります。
AWS Transit Gatewayがあることでネットワーク図が見やすくなり、管理が楽になります。
以下の表は、AWS Transit Gatewayを使わずにVPCを複数構築した場合のVPCピアリング数と、AWS Transit Gatewayを使った場合のVPCのアタッチメント数を比較した表です。
AWS Transit Gatewayを使えばアタッチメントを作成してVPCと紐づけるだけなのでVPCピアリングの設定の手間がかなり省けます。
| VPC数 | Transit Gatewayを使わない場合のVPCピアリング数 | Transit Gatewayを使った場合のアタッチメント数 |
| 2 | 1 | 2 |
| 3 | 3 | 3 |
| 4 | 6 | 4 |
| 5 | 10 | 5 |
| 10 | 45 | 10 |
AWS Transit Gatewayの構造・仕組み
①ルートテーブル
Transit Gatewayを作成すると、デフォルトのルートテーブルが自動的に作成されます。
ルートテーブルとは、「どの宛先にパケットを転送するか判断するための対応表」のことです。
アタッチメントを通して入ってきたパケットをどこにルーティング(伝播)させるかを決定します。
新規でルートテーブルを追加することも可能です。
②アタッチメント
アタッチメントとは、AWS Transit Gatewayと別のネットワークとの接点を意味します。
Virtual Private Cloud(VPC)、Virtual Private Network(VPN)、Direct Connect Gateway、Peering(他のTransit Gateway用)用のアタッチメントを作成することができます。
作ったアタッチメントは、Transit Gatewayのルートテーブルと紐づけます。
アタッチメントを作成する際には、どのTransit Gatewayに紐づけるのか、どのVPCのどのサブネットに紐づけるのかを設定します。
③アソシエーション(ルートテーブルとアタッチメントの関連付け)
Transit Gatewayのルートテーブルをアタッチメントに関連づけることを「アソシエーション」とよびます。
Transit Gatewayルートテーブルから見た視点では、複数のアタッチメントとアソシエーション可能です。
1つのTransit Gatewayルートテーブルと、複数のVPC、VPN等と紐づけられるということですね。
アタッチメント側からの視点では、いずれか1つのTransit Gatewayルートテーブルとのみアソシエーション可能です。
AWS Transit Gateway使用する上での注意点
非常に便利なAWS Transit Gatewayですが、使用する上でいくつか注意点もありますので、この章ではそれらについて説明します。
接続数などに制限がある
Transit Gatewayは複数のVPCやVPNと接続できますが、数に制限があります。以下の表に主なものをまとめましたので参考にしてください。
AWS上では、「制限」は「クオータ」と表現されています。
| タイプ | 内容 | 数 | 調整可能かどうか |
| 全般 | アカウントあたりのAWS Transit Gateway | 5 | Yes |
| ルーティング | Transit GatewayあたりのTransit Gatewayルートテーブル | 20 | Yes |
| アタッチメント | Transit Gatewayあたりのアタッチメント | 5000 | No |
| VPCあたりのTransit Gateway | 5 | No | |
| Transit Gatewayあたりのピアアタッチメント | 50 | Yes | |
| 帯域幅 | アベイラビリティーゾーンごとの VPC アタッチメントあたりの帯域幅 | 最大100Gbps | 要問い合わせ |
| AWS Direct Connect Gateway | AWS Direct Connect ゲートウェイあたりの Transit Gateway 数 | 6 | No |
| Transit Gatewayに関連付けられる Direct Connect ゲートウェイの数 | 20 | No |
*2023年12月現在の情報です。
引用元:https://docs.aws.amazon.com/ja_jp/vpc/latest/tgw/transit-gateway-quotas.html
詳しくは上記URLをご参照ください。
AWS Direct Connect Gateway とTransit Gatewayを併用するためにはTransit VIFを使う必要がある
AWS Direct Connectを使ってオンプレミスとVPCをつなぐ際に、Direct Connect Gatewayの利用が推奨されています。
その際に、VPC間の通信も行うのであればTransit Gatewayも導入するのが便利ですが、その場合はPrivate VIFではなくTransit VIFを利用することが必須になります。
*VIFというのはVirtual Interfaceの略で、Direct Connectを利用する際に必須となる論理回線のことです。
■Transit VIF イメージ図
ここで注意すべき点は、Transit VIFを取り扱っていないネットワーク回線事業者さまもいるということです。
AWS Direct Connectには専用型とホスト型の二つがありますが、2022年8月以前はTransit VIFを使う場合はホスト型接続でも1G以上でないと使えないという仕様でした。
その後改訂され、Direct Connectのホスト型接続の50~500Mbpsの低帯域を利用しているユーザーでもTransit VIFを利用することができるようになりました。
低帯域でもTransit Gateway(Transit VIF)を使えるようにはなったのですが、ネットワーク回線事業者によってはサービス内容が改訂前のものから変わっておらず1G以上でないとTransit VIFを使うことができなかったり、そもそもTransit VIFを取り扱ってない業者さまもいらっしゃったりするようですので、Direct Connect GatewayとTransit Gateway の併用を検討中の方はご注意ください。
アット東京の接続サービス「ATBeX」で提供しているAWS Direct Connectのホスト型接続なら、50M、100M、200Mなどの低帯域でもTransit VIFを使うことができますので、低帯域でTransit Gatewayの利用を御検討中の方は是非お問い合わせください。
仕様改訂に関する情報:https://aws.amazon.com/jp/about-aws/whats-new/2022/08/aws-direct-connect-expands-transit-gateway-support-connection-speeds/
AWS Virtual Gateway(仮想プライベートゲートウェイ)とAWS Transit Gatewayの違い
AWS Direct ConnectにはDirect Connect Gatewayというオプションがあり、それを利用すれば1つのVIFで複数のVPCに接続することが可能です。
複数のVPCと接続したい、またはDirect Connectを経由して東京リージョン内のVPCを別のリージョン内のVPCに接続したいような場合にはDirect Connect Gatewayを利用することになります。
その際、Transit Gatewayを使うかどうかはオプションのようなもので、必ず利用する必要はありません。
その場合はVPC側のGatewayはAWS Virtual Private Gateway(VGW)を利用することになります。
図としては以下のようなイメージになります。(図:Transit Gatewayを使わない場合④)
■Transit Gatewayを使わない場合④
このDirect Connect GatewayとVGWの組み合わせの場合、紐づけられるVPCは最大で10までとなり、かつVPC間の通信はできません。トラフィックのルーティングは 東京リージョンVPC→ Direct Connect→ データ センター ルータ → Direct Connect → 大阪リージョンVPCという流れになります。VPC間通信を行いたい場合は、別途VPCピアリングの設定をする必要があります。
「図Transit Gatewayを使わない場合④」の構成に加えてTransit Gatewayを利用すると、紐づけられるVPCの数が増え、かつTransit Gatewayで折り返してVPC間の通信が可能になります。
Direct Connect GatewayとVGWの組み合わせのときのような、トラフィックをオンプレミスルータまでUターンさせてAWSに戻す必要なく、VPC間でルーティングさせることができます。(図:Transit Gatewayを使う場合④)
■Transit Gatewayを使う場合④
Transit Gatewayに紐づけられるVPCの数は5000と大幅に増え、かつ異なるAWSアカウント同士でもVPC間通信が可能となります。
Direct Connect GatewayとVGWの組み合わせと、Direct Connect Gateway とTransit Gatewayの組み合わせの違いについて表にまとめましたので、是非参考にしてください。*2023年12月現在
| 内容 | Direct Connect Gateway&Virtual Private Gateway | Direct Connect Gateway&Transit Gateway |
| 紐づけられるVPC | 20 | 5000 |
| VPC間通信 | 不可 | 可能 |
| 異なるリージョンへの接続 | 可能 | 可能 |
| 費用 | 無料 | 有料 |
| 異なるアカウント間のVPC間通信 | 不可 | 可能 |
詳しくは以下のページをご参照ください。
https://docs.aws.amazon.com/ja_jp/directconnect/latest/UserGuide/direct-connect-gateways-intro.html
https://docs.aws.amazon.com/ja_jp/vpc/latest/tgw/transit-gateway-quotas.html
https://docs.aws.amazon.com/ja_jp/directconnect/latest/UserGuide/limits.html
AWS Transit Gatewayの料金体系
Transit Gatewayを利用すると、「アタッチメント利用料」と「データ通信量」の二つが料金としてかかります。
東京リージョンだと以下の料金です。*2023年12月現在
| AWS Transit Gateway のアタッチメントごとの料金 (USD) | $0.07/時間 |
| 処理データ 1 GB あたりの料金 (USD) | $0.02/時間 |
詳しくは以下のページをご参照ください。
AWS Transit Gatewayの料金:https://aws.amazon.com/jp/transit-gateway/pricing/
AWS Transit Gatewayの料金ですが、現在円安がかなり進んでいるためコストが膨らんでいます(2023年12月現在)。
拡張性を担保するなら最初からTransit Gatewayを導入しておいた方がいいですが、有料であるためランニングコストをしっかり把握して費用対効果は考えておいた方がいいでしょう。
クラウドでシステムを構築することの大きなメリットの1つはビジネス環境、ニーズの変化に応じた機能やリソースの追加、変更を自由に行うことができることではないかと思いますので、必要になったときにTransit Gatewayを導入するということでもいいのかもしれません。
その辺り含め参考にしてください。
AWS Transit Gatewayのユースケース・どんなときに導入すべき?
では、一体どんな場合にAWS Transit Gatewayを導入すべきなのでしょうか?
ユースケースについて説明します。
AWS Transit Gatewayを導入するべき構成例・多拠点と複数VPCを接続
■Transit Gatewayを使わない場合⑥
「Transit Gatewayを使わない場合⑥」のイメージ図をご覧ください。東京のデータセンターからAWS Direct Connect(専用線)でAWS Direct Connect Gatewayに接続し、そこから東京リージョン・大阪リージョンの複数VPCに接続しています。大阪データセンターからはサイト間VPN(インターネット)で大阪リージョンのVPCに接続している、という構成図になっています。
この場合、図上方のDirect Connect経由の接続では、Direct Connect Gatewayから東京と大阪すべてのVPCに接続していますが、その数が10を超えると接続できません(図の中にはVPCが12個あり、大阪リージョンの左下2つのVPCに接続できていません)。またVPC間の通信を行いたい場合は、それぞれにVPCピアリングの設定を行う必要があり、管理が煩雑になります。
大阪データセンターからのサイト間VPNも、接続したいVPCの数だけ用意しなければならず、数が増えるほど手間がかかります(図では3つのVPCに接続するため、3つのVPNが設置されています)。
■Transit Gateway を使う場合⑤
それに対し、「Transit Gateway を使う場合⑤」のイメージ図をご覧ください。
東京データセンターからのDirect Connect経由の接続は東京リージョンのTransit Gatewayに集約され、東京リージョン内のVPCはこのTransit Gatway経由に接続しています。
VPC間の通信のためのVPCピアリングも不要となっており、ネットワーク構成図が非常にシンプルになっています。
大阪データセンターからのサイト間VPNの接続は大阪リージョンのTransit Gatewayに集約され、大阪リージョン内のVPCはこのTransit Gatway経由に接続しています。
東京と大阪の各リージョンのTransit GatewayがTransit Gateway Peeringで接続され、Transit Gateway経由で東京リージョン、大阪リージョン、どちらのVPCとも通信できます。
このように、多拠点でかつVPCとの接続方法が異なっている場合などは、Transit Gatewayを入れることにより非常にシンプルな構成にすることが可能です。
VPCをAWSリージョン内に新規追加する場合の手間も少なくなります。
以上がAWS Transit Gatewayを入れた方が良い場合のユースケースでした。
補足説明をすると、最近ではシンプルな構成であっても、Transit Gatewayを最初から入れて構築することが多いです。というのも、AWSの中で新しいシステムを構築するとき、VPCを新しく作ることになるので、最初は「1拠点対1VPC」という構成であったとしても結局「1拠点対複数VPC」構成になることが多く、それであれば最初から拡張性を考えてTransit Gatewayを入れておこうという結論になるからです。
ただし、料金の章でも述べたように円安が進みランニングコストが膨らんでいるという状況もございますので・・・、よくよくランニングコストを確認し最初から導入するべきか御検討ください。
AWS Transit Gatewayの冗長化について
「Transit Gatewayは冗長化しなくていいの?」という疑問を持つ方もいらっしゃるかと思いますが、Transit GatewayはHyper Plane技術というものを使って大量のリソースを仮想的に分割して提供されており、一つのリソースに見えても内部的に冗長化されているので追加で設置する必要がありません。
詳しくは以下のページをご覧ください。
https://d1.awsstatic.com/webinars/jp/pdf/services/20200219_BlackBelt_Onpremises_Redundancy.pdf
AWS Transit GatewayのSLAについて
AWSは2021年6月にAWS Transit Gatewayのサービスレベルアグリーメント(SLA)が99.99%に更新されたと発表しました。
シングルTransit Gatewayの利用時に、稼働率が95%未満の場合、利用料は無料になります。
以下の表にまとめましたので参考にしてください。
| 単一 TGW 稼働率の割合 | Service Credit Percentage |
| 99.0%以上99.9%未満 | 10% |
| 95.0%以上99.0%未満 | 25% |
| 95.0%未満 | 100% |
*2023年12月時点の情報です。
引用元:https://aws.amazon.com/jp/transit-gateway/sla/
AWS Transit Gatewayを後から導入することはできるの?
結論から言うと、AWS Transit Gatewayを後から導入することは可能です。作業的にはAWSのコントロールパネル内で完結させることができます。
ただし、Direct Connectを接続するためのVIFをPrivate VIFからTransit VIFへ切り替える必要があり、「停止」や「メンテナンス」期間を設けることが必須となります。
それを許容できないクリティカルなシステムであり、かつ今後AWS Cloud側でVPCを増やしていく予定なのであれば、最初から構成の中にTransit Gatewayを組み込んでおいた方がいいでしょう。
逆に言えば、「停止」や「メンテナンス」期間を設けることが許されるシステムなのであれば、最初はTransit Gatewayは入れずに、後から入れるという計画でも良いと思います。
アット東京のATBeX
ここまでAWS Transit Gatewayについて解説しましたが、いかがでしたでしょうか。
Transit Gatewayを使ったネットワークを構築する場合、ネットワーク事業者さまによっては通信サービスのそもそもの仕様によりTransit Gatewayが利用できないケースもあるのでご注意ください。
弊社アット東京の接続サービス、「ATBeX」を使えば、Direct Connectのホスト型接続になっているので50Mbps~500Mbpsの低帯域でリーズナブルにTransit Gatewayを使い始めることが可能です。
かつAWS東京リージョンと大阪リージョン間の接続もできるので、DR化した構成も構築できます。
AWS Transit Gatewayを用いたネットワーク構築をお考えの方は、是非お問い合わせください。
この記事を書いた人 ちーた
同じカテゴリーの記事
-
2022.08.10 -
2021.10.21 -
2021.09.22
