こんにちは、クレスコ・デジタルテクノロジーズのOHです。
今回は、AWSの強力なネットワーキングサービスである、AWS Transit Gateway (TGW) についてご紹介します。

■あわせて読まれている資料：
クラウドのコンサルティングから導入までをワンストップで支援！
→クラウドテクノロジーサービス

AWS Transit Gatewayとは

AWS Transit Gateway(以下、TGW）とは、AWS上の仮想ネットワークであるAmazon Virtual Private Cloud (以下、VPC)とオンプレミスネットワーク間を接続させるための中央ハブです（図 1参照）。また、異なるAWSアカウント間での通信を可能にする中央ハブとしても機能します。

図 1.TGWアーキテクチャ図の例

TGWのコンポーネント

前述の通り、中央ハブとして機能するTGWですが、いくつかのコンポーネントがあるため、簡単に紹介します。

まずは、以下のコンポーネント構成図を見てみましょう。

図 2 コンポーネント構成図

各コンポーネントと役割は以下の表 1の通りです。

表 1.TGWのコンポーネントと役割

また、TGWアタッチメントの種類は以下の表 2の通りです。

表 2．TGWアタッチメントの種類と役割

■あわせて読まれている資料：
クラウドのコンサルティングから導入までをワンストップで支援！
→クラウドテクノロジーサービス

TGW導入のメリット

TGWを導入することで、以下の2つのメリットがあります。

• ネットワークの簡素化
• 耐障害性の向上

メリット①：ネットワークの簡素化

TGWを導入すると、複雑なネットワークを簡素化することができ、VPCやAWS Direct Connectを利用したときのネットワーク管理が楽になります(図 3、図 4 参照)。

また、ネットワーク構成がシンプルになることによりセキュリティポリシーの一貫性を保ちやすくなり、セキュリティリスクを低減することができます。

図 3.TGW を使わない場合

図 4.TGWを使う場合

メリット②：耐障害性の向上

TGW同士のピアリングとTGWルートテーブルを使用することで、リージョンを跨いだ通信が可能になりますです(図 5 参照)。
※TGWがない場合、異なるリージョン間の通信を確立するのは非常に困難です。

複数リージョンに分散してデータを保存することにより、特定リージョンで障害が発生してもデータが保持されるため、サービスの継続性を確保し、データの損失リスクを低減した耐障害性の高いシステムを実現することができます。 

図 5.リージョン間を跨いだ通信の例

TGWのユースケース

TGWのユースケースとしては、主に以下の3つがあります。

• TGWを中央ハブとして利用するとき
• オンプレミスからマルチAZ構成のFSx for Netappを利用したいとき
• オンプレミスからマルチＡＺ構成でのEC2のHAクラスターの実装

ユースケース①：TGWを中央ハブとして利用するとき

TGWを中央ハブとすることで、異なるAWSアカウント間での接続が可能になります。また、TGWルートテーブルにより、柔軟な通信制御を実現できます。

図 6.TGWを中央ハブとして利用するときの例

ユースケース②：オンプレミスからマルチAZ構成のFSx for Netappを利用したいとき

「FSx for NetApp」をオンプレミスから直接アクセスして利用したい場合には、TGWの利用が必須になります。

図 7.オンプレミスからマルチAZ構成のFSx for Netapp を利用する例

ユースケース③：マルチAZで構成されたEC2 HAクラスターに対しオンプレミスから直接アクセス

マルチAZで構成されたEC2 HAクラスターに対し、オンプレミスからVIPに直接アクセスして利用したい場合には、TGWの利用が必須になります。

図 8 オンプレミスからマルチAZ構成のHAクラスターの実装をする例

■あわせて読まれている資料：
クラウドのコンサルティングから導入までをワンストップで支援！
→クラウドテクノロジーサービス

【新機能】異なるVPC間のセキュリティグループを用いた通信制御

次にTGWのちょっとした新機能について、ご紹介します。

概要

2024年9月のRe:ineventにて、Transit Gatewayのアップデートが発表されました。
このアップデートにより、TGWを介して異なるVPC間でのセキュリティグループ相互参照を使った通信制御が可能となりました。

この新機能を利用することで、アプリケーションのスケールアップやスケールダウンに応じて、セキュリティグループを再構成する必要がなくなります。これにより、運用の効率化とセキュリティの強化が図れます。

また、TGWのセキュリティグループ参照を有効にする場合と無効にする場合のそれぞれの効果について紹介します。

表 3 セキュリティグループ参照の影響

やってみた

セキュリティグループ参照機能によって柔軟なアクセス制御がどのように実現されるのか、実際の構成や設定画面を見ながら確認してみましょう。

今回のテスト構成は図 9の通りです。

図 9 テスト構成図

TGW 作成

 TGW作成時に「セキュリティグループ参照サポート」にチェックを入れます。  

チェックを入れます。

作成後の画面で、「セキュリティグループ参照サポート」が有効になっていることを確認できます。

アタッチメント作成

アタッチメント作成時には、「セキュリティグループ参照サポート」が有効になっていることを確認してください。

「セキュリティグループ参照サポート」の機能を有効にする場合、VPC A とVPC B両方のVPCアタッチメントで「セキュリティグループ参照サポート」を有効にする必要があります。
※VPCアタッチメントの場合、「セキュリティグループ参照サポート」はデフォルトで有効になっています。

作成後の画面で、「セキュリティグループ参照サポート」が有効になっていることを確認できます。

以上でTGWの設定は完了になります。
この設定により、TGWを用いて異なるVPC間でのセキュリティグループの参照が可能となります。

セキュリティグループ設定

次に、セキュリティグループの設定を行います。
互いのEC2インスタンスにアタッチされているセキュリティグループのIDを指定します。

VPC A のセキュリティグループには、VPC BのEC2インスタンスにアタッチされているセキュリティグループIDを指定します。

VPC Bのセキュリティグループには、VPC AのEC2インスタンスにアタッチされているセキュリティグループIDを指定します。

以上でセキュリティグループの設定は完了です。

今回は省略しますが、上記の設定を行うことでセキュリティグループが反映されて、VPC AのインスタンスとVPC Bのインスタンス間で疎通確認を行うことができます。
なお、TGWのセキュリティグループ参照を無効にした場合、インスタンス感での疎通が取れなくなります。

まとめ 

セキュリティグループ参照機能により、IPアドレスリストの管理やアプリケーションの構成変更に伴うセキュリティグループの再構成が不要となります。その結果、インバウンド通信の柔軟な制御と運用負荷の軽減を実現します。

 
セキュリティグループ相互参照利用時の注意事項

• 対向VPCのセキュリティグループID情報が必要になります。
• 本機能は、TGWとVPCアタッチメントの両方で有効にする必要があります。
• 現時点では、アウトバウンドセキュリティグループに対する参照はサポートされていません。
• 現時点では、異なるリージョンのセキュリティグループを参照することはできません。

TGWのコスト

最後に、TGWのコストについて紹介します。
料金は月ごとに請求されます。以下の表 3は、2025年2月時点のTGWのコストを示しています。
TGWの料金はシンプルで、主にアタッチメントとデータ処理に基づいて毎月の料金が決められます。

表 4.コスト

まとめ

TGWを導入することで、ネットワークの統合管理が可能になり、耐障害性に優れたリージョンを跨いだ通信が実現できます。また、マルチAZ構成のHAクラスターを実装できる点も非常に魅力的ですね。
弊社では、お客様のご要件に沿った最適なクラウドソリューションをご提供しております。
TGWの導入をご検討の方は、ぜひ弊社ソリューションをご活用ください！

■サービス資料一覧はこちら↓

引用元

• AWS Transit Gateway（VPC およびアカウント接続を簡単にスケール）| AWS
• Amazon VPC Transit Gateway の仕組み - Amazon VPC
• Amazon VPC Transit Gateway とは - Amazon VPC
• 料金 - AWS Transit Gateway | AWS
• Amazon VPC Transit Gateway の Amazon VPC アタッチメント - Amazon VPC