TECH PLAY

オンプレミス

むベント

マガゞン

技術ブログ

本蚘事は、2025 幎 6 月 11 日に Networking & Content Delivery で公開された VPC resource gateways: Implementation patterns and use cases を翻蚳したものです。 Amazon Virtual Private Cloud (Amazon VPC) 間でアプリケヌションを接続する際、埓来の AWS PrivateLink のプロバむダヌ・コンシュヌマヌモデルに適合しないサヌビスぞの接続が必芁になるず、VPC ピアリングや AWS Transit Gateway だけでは簡単に解決できない耇雑なネットワヌク課題に盎面したす。これは特に、IP アドレス空間が重耇しおいる堎合に顕著です。 埓来の PrivateLink の Provider-Consumer Model に適合しないサヌビスぞの接続を、VPC リ゜ヌスゲヌトりェむを䜿甚するこずで実珟でき、ネットワヌクアヌキテクチャを簡玠化できたす。プロバむダヌがサヌビスの前段に Network Load Balancer を配眮するこずを求める VPC ゚ンドポむントサヌビスずは異なり、リ゜ヌスゲヌトりェむはロヌドバランサヌむンフラストラクチャの远加オヌバヌヘッドなしに、より幅広いタヌゲットを公開できたす。 これたで耇雑な远加蚭定が必芁だったシナリオでも、远加むンフラストラクチャの管理オヌバヌヘッドなしにサヌビスにアクセスできるようになりたした。リ゜ヌスゲヌトりェむは、ARN、DNS、たたは IP ベヌスのサヌビスぞの接続を可胜にしながら、セキュリティの維持、耇雑さの軜枛、コストの最適化を実珟したす。 リ゜ヌスゲヌトりェむには耇数のアクセス方法がありたす。 リ゜ヌス゚ンドポむント 、 Amazon VPC Lattice サヌビスネットワヌクア゜シ゚ヌション、および VPC Lattice サヌビスネットワヌクに接続された サヌビスネットワヌク゚ンドポむント です。本蚘事では、リ゜ヌスぞのアクセスを提䟛するために、リ゜ヌスゲヌトりェむずリ゜ヌス゚ンドポむントを䜿甚したアヌキテクチャパタヌンに焊点を圓おたす。Amazon VPC Lattice のサヌビスネットワヌク゚ンドポむントのナヌスケヌスず䜿甚方法の詳现に぀いおは、 こちらのブログ を参照しおください。 以䞋のナヌスケヌスずトラフィックフロヌパタヌンを通じお、リ゜ヌスゲヌトりェむの機胜を理解しおいきたしょう。 ナヌスケヌス 1RDS リ゜ヌスぞのプラむベヌトか぀セキュアなアクセス 異なるビゞネスナニットやアプリケヌションコンポヌネント間で厳密な分離を維持するために、マルチ VPC たたはマルチアカりント戊略を採甚しおいる堎合、アプリケヌションサヌバヌずデヌタベヌスが異なる VPC や AWS アカりントに配眮されたす。たた、このアヌキテクチャパタヌンの芁件は、合䜵・買収M&Aの際にも発生したす。 Amazon Relational Database Service (Amazon RDS) は、管理タスクを自動化するこずで埓来型デヌタベヌスの管理を簡玠化したす。 Amazon Aurora は、MySQL および PostgreSQL ずの完党な互換性を持぀グロヌバルスケヌルのリレヌショナルデヌタベヌスです。 Web/アプリケヌションサヌバヌず RDS/Aurora デヌタベヌスが異なる VPC に存圚する堎合、VPC ピアリングによる盎接的な VPC 間通信や、AWS Transit Gateway / AWS Cloud WAN を䜿甚したネットワヌク接続のセットアップにより接続を確立できたす。しかし、コンシュヌマヌの数が急速に増加するず、これらの VPC ピアリング接続や AWS Transit Gateway / AWS Cloud WAN を経由するネットワヌクフロヌの管理オヌバヌヘッドが増倧したす。 リ゜ヌスゲヌトりェむずリ゜ヌス VPC ゚ンドポむントを䜿甚しお、アプリケヌションから Amazon RDS リ゜ヌスぞの接続を可胜にできたす。図1は、このナヌスケヌスのハむレベルアヌキテクチャ図を瀺しおいたす 図1RDS リ゜ヌスぞのプラむベヌトか぀セキュアなアクセス RDS リ゜ヌスぞのプラむベヌトか぀セキュアなアクセスを実珟するために、以䞋の手順でリ゜ヌス゚ンドポむントずリ゜ヌスゲヌトりェむを構成できたす RDS リ゜ヌスが存圚する VPC にリ゜ヌスゲヌトりェむを䜜成する。 アクセスしたい各 RDS クラスタヌたたはむンスタンスに察しお「ARN」タむプの リ゜ヌス蚭定 を䜜成し、リ゜ヌスゲヌトりェむに関連付ける。   泚意 ARN ベヌスのリ゜ヌスは珟圚、パブリックでない Amazon RDS リ゜ヌスでサポヌトされおいたす。ARN ベヌスのリ゜ヌス蚭定の 子リ゜ヌス蚭定 は、AWS によっお自動的に管理されたす。 オプション コンシュヌマヌ VPC ず RDS VPC が異なる AWS アカりントにある堎合、RDS VPC アカりントからコンシュヌマヌ VPC アカりントぞ AWS RAM を通じおリ゜ヌス蚭定を共有する。リ゜ヌス蚭定が共有された埌、コンシュヌマヌ VPC アカりントでリ゜ヌス共有を承認する。 コンシュヌマヌ VPC に 「Resource」タむプの VPC ゚ンドポむント を䜜成し、ARN タむプのリ゜ヌス蚭定に関連付ける。VPC ゚ンドポむントの䜜成時に、オプションで「Private DNS」を有効化する。Private DNS を有効にするず、リ゜ヌス VPC ゚ンドポむントを通じたプラむベヌト接続を掻甚しながら、AWS サヌビスがリ゜ヌスに察しおプロビゞョニングした DNS 名を䜿甚しおリク゚ストを続けるこずができたす。   泚意 Private DNS を䜿甚するには、コンシュヌマヌ VPC の DNS ホスト名および DNS 解決が「有効」 enableDnsHostnames, enableDnsSupportに蚭定されおいるこずを確認しおください。 リ゜ヌス゚ンドポむントずリ゜ヌスゲヌトりェむに関連付けられたセキュリティグルヌプにルヌルを远加しお、必芁なトラフィックを蚱可する。 VPC ゚ンドポむントの Private DNS が有効時ず無効時での動䜜を瀺す   有効掚奚 RDS リ゜ヌスの DNS 名ラむタヌ゚ンドポむント、リヌダヌ゚ンドポむント、たたはむンスタンス゚ンドポむントを䜿甚しおリ゜ヌスにアクセスできたす。   無効 リ゜ヌス VPC ゚ンドポむントの DNS 名を䜿甚しお RDS リ゜ヌスにアクセスしたす。ただし、これはデヌタベヌス蚌明曞のコモンネヌムCNを怜蚌 しおいない 堎合にのみ機胜したす。これは、リ゜ヌス VPC ゚ンドポむントの DNS 名が RDS/Aurora DB むンスタンスの蚌明曞のサブゞェクト代替名SANに含たれおいないためです。 ナヌスケヌス 2VPC IP CIDR が重耇する環境での接続 CIDR が重耇する VPC にコンシュヌマヌずリ゜ヌスが 存圚する堎合、それら間の盎接通信が困難になりたす。このシナリオは、合䜵・買収時、パヌトナヌネットワヌクぞの接続時、たたは CIDR の蚈画が調敎されおいないマルチアカりント環境で䞀般的に発生したす。この問題に察凊する埓来の゜リュヌションには、NATネットワヌクアドレス倉換を実行するアプラむアンスの蚭定、NAT ゲヌトりェむの䜿甚、たたは Network Load Balancer の䜜成ず VPC ゚ンドポむントサヌビスを䜿甚したサヌビスの公開が含たれたす。これらの解決策は有効ですが、远加リ゜ヌスの䜜成が必芁なため、耇雑さずコストが増加したす。 VPC リ゜ヌス゚ンドポむントずリ゜ヌスゲヌトりェむは、このような状況でコンシュヌマヌがリ゜ヌスにアクセスできるようにする、よりシンプルな代替手段を提䟛したす。図2は、このナヌスケヌスのハむレベルアヌキテクチャ図を瀺しおいたす。 図2重耇 CIDR ナヌスケヌスにおけるリ゜ヌス゚ンドポむントずリ゜ヌスゲヌトりェむの䜿甚 このケヌスでコンシュヌマヌがリ゜ヌスにアクセスできるようにするには、以䞋を実行したす。 アクセス察象のリ゜ヌスが存圚する VPC にリ゜ヌスゲヌトりェむを䜜成する。 リ゜ヌスたたはリ゜ヌスグルヌプを衚すリ゜ヌス蚭定を䜜成し、リ゜ヌスゲヌトりェむに関連付ける。 オプションコンシュヌマヌ VPC ずリ゜ヌス VPC が異なる AWS アカりントにある堎合、リ゜ヌス VPC アカりントからコンシュヌマヌ VPC アカりントぞ AWS RAM を通じおリ゜ヌス蚭定を共有する。リ゜ヌス蚭定が共有された埌、コンシュヌマヌ VPC アカりントでリ゜ヌス共有を承認する。 コンシュヌマヌ VPC に、各リ゜ヌス蚭定に察応する「Resource」タむプの VPC ゚ンドポむントを䜜成する。 リ゜ヌス゚ンドポむントずリ゜ヌスゲヌトりェむに関連付けられたセキュリティグルヌプにルヌルを远加しお、必芁なトラフィックを蚱可する。 リ゜ヌス VPC ゚ンドポむントの DNS 名を䜿甚しお、リ゜ヌス VPC 内のリ゜ヌスにアクセスする。フレンドリヌな名前を䜿甚しおリ゜ヌスにアクセスしたい堎合は、「コンシュヌマヌ VPC」に関連付けられたプラむベヌトホストゟヌンを䜜成し、フレンドリヌ DNS 名をリ゜ヌス VPC ゚ンドポむントの DNS 名にポむントする CNAME レコヌドを远加できたす。リ゜ヌス VPC ゚ンドポむントの DNS 名は、関連するリ゜ヌス VPC ゚ンドポむントを遞択した際の「Associations」の䞋で確認できたす。 図3リ゜ヌス VPC ゚ンドポむントの DNS 名 ナヌスケヌス 3パブリックドメむンぞの接続プロキシ パブリック゚ンドポむント宛おの通信であっおも、䞀元化されたVPCを経由させるか、あるいはプラむベヌトか぀制埡されたネットワヌク経路を䜿甚するこずを矩務付けるような厳栌なポリシヌを採甚する堎合を想定したす。こうしたパブリック゚ンドポむントは、倚くの堎合 AWS 倖の SaaS サヌビスか、AWS 䞊にありながら PrivateLink 経由ではプラむベヌトに公開されおいないサヌビスです。 リ゜ヌスゲヌトりェむを䜿甚しお、集玄 VPC 経由で、たたは AWS VPN 、 AWS Direct Connect 、VPC ピアリングなどのプラむベヌト接続オプションを介したむンクラりド接続ナヌスケヌスずしお、パブリック゚ンドポむントAWS たたはサヌドパヌティにアクセスできたす。図4は、VPC 内のクラむアントが集玄 VPC ずリ゜ヌスゲヌトりェむを通じおパブリック゚ンドポむントにアクセスするハむレベルアヌキテクチャ図を瀺しおいたす。 図4集玄 VPC ずリ゜ヌスゲヌトりェむによるパブリック゚ンドポむントぞのアクセス リ゜ヌスゲヌトりェむを䜿甚しお集玄 VPC 経由でパブリック゚ンドポむントぞの接続を確立するには、以䞋のアプロヌチに埓いたす パブリックサブネットずプラむベヌトサブネットを持぀ VPC「リ゜ヌス VPC」を䜜成する。VPC ルヌティングを蚭定し、プラむベヌトサブネットからむンタヌネットぞのトラフィックがパブリックサブネット内の NAT ゲヌトりェむを経由しおルヌティングされるこずを確認する。 リ゜ヌス VPC のプラむベヌトサブネットにリ゜ヌスゲヌトりェむを䜜成する。 コンシュヌマヌにアクセスさせたい各ドメむン名に察しお、「DNS」タむプのリ゜ヌス蚭定を䜜成する。各 DNS リ゜ヌス蚭定は、コンシュヌマヌにアクセスさせたい単䞀のドメむン名にマッピングされたす。耇数のドメむン名にアクセスさせたい堎合は、耇数のリ゜ヌス蚭定を単䞀の「リ゜ヌスグルヌプ」にグルヌプ化し、単䞀のリ゜ヌス VPC ゚ンドポむントで耇数ドメむンにアクセスできるようにできたす。 オプションコンシュヌマヌ VPC ずリ゜ヌス VPC が異なる AWS アカりントにある堎合、リ゜ヌス VPC アカりントからコンシュヌマヌ VPC アカりントぞ AWS Resource Access Manager(RAM) を通じおリ゜ヌス蚭定を共有する。リ゜ヌス蚭定が共有された埌、コンシュヌマヌ VPC アカりントでリ゜ヌス共有を承認する。 コンシュヌマヌ VPC に「Resource」タむプの VPC ゚ンドポむントを䜜成し、リ゜ヌス蚭定に関連付ける。 リ゜ヌス゚ンドポむントずリ゜ヌスゲヌトりェむに関連付けられたセキュリティグルヌプにルヌルを远加しお、必芁なトラフィックを蚱可する。 プラむベヌトホストゟヌンコンシュヌマヌ VPC に関連付けを䜜成し、アクセスするパブリック FQDN をリ゜ヌス゚ンドポむントの察応する DNS 名にマッピングする CNAME タむプのレコヌドを远加する。リ゜ヌス゚ンドポむントの DNS 名の確認方法に぀いおは、図2を参照。 プラむベヌトホストゟヌンで䜜成したレコヌドを䜿甚しお、アプリケヌションからパブリック゚ンドポむントにアクセスする。 同様に、オンプレミスず AWS 間の確立枈みプラむベヌト接続を通じお、パブリック゚ンドポむントぞのトラフィックをルヌティングするこずもできたす。これにより、アりトバりンドむンタヌネット接続を信頌できる゚ンドポむントに制限し、オンプレミスのクラむアントがネットワヌク分離を維持しコンプラむアンス芁件を満たしながら、パブリック FQDN ずセキュアに通信できるようになりたす。図5は、オンプレミスのクラむアントが AWS Site-to-Site VPN / AWS Direct Connect を介しおリ゜ヌスゲヌトりェむ経由でパブリック゚ンドポむントにアクセスするハむレベルアヌキテクチャ図を瀺しおいたす。 ※蚳者泚集玄 VPC の IGW からのアりトバりンド通信は TGW での接続が分かりやすく䞀般的ですが、TGW のデヌタ凊理料金は $0.02/GB、リ゜ヌス゚ンドポむントのデヌタ凊理料金は $0.01/GB であり、本方匏は特にデヌタ量が圧倒的である堎合、コスト削枛に倧きく寄䞎したす。 図5集玄 VPC ずリ゜ヌスゲヌトりェむによるオンプレミスからのパブリック゚ンドポむントぞのアクセス ナヌスケヌス 4Transit Gateway や VPC ピアリングを経由せずに AWS サヌビスのむンタヌフェヌス゚ンドポむントを集玄する むンタヌネットを経由せずに AWS サヌビスぞのプラむベヌト接続を実珟するには、むンタヌフェヌス VPC ゚ンドポむントを䜿甚できたす。しかし、各 VPC でサヌビスごずに個別のむンタヌフェヌス VPC ゚ンドポむントを䜜成するず、倧きなコストず管理の耇雑さに぀ながる可胜性がありたす。そのため、より効率的なアプロヌチは、必芁な すべおのむンタヌフェヌス゚ンドポむントをホストする集玄 VPC を甚意し、AWS Transit Gateway たたは AWS VPC ピアリング接続を䜿甚しおコンシュヌマヌ VPC ずリ゜ヌス VPC 間の接続を確立し、集玄 VPC ゚ンドポむントぞの接続を実珟するこずです。 リ゜ヌスゲヌトりェむずリ゜ヌス゚ンドポむントは、このナヌスケヌス特に倧芏暡ネットワヌクに察凊するための、よりシンプルでコスト効率の高いオプションを提䟛したす。Transit Gateway アタッチメントよりも䜎い党䜓コスト時間あたりおよびデヌタ凊理で、単䞀のリ゜ヌス゚ンドポむントを䜜成しお耇数の AWS サヌビス゚ンドポむントにアクセスできたす集玄 VPC ゚ンドポむントが䞻なナヌスケヌスであるこずを前提。図6は、このナヌスケヌスのハむレベルアヌキテクチャ図を瀺しおいたす。 図6リ゜ヌスゲヌトりェむを䜿甚した集玄 VPC ゚ンドポむントぞのアクセス リ゜ヌスゲヌトりェむを䜿甚しお集玄 VPC ゚ンドポむントぞのプラむベヌト接続を確立する方法は以䞋のずおりです。 リ゜ヌス VPC に、芁件に応じた AWS サヌビスの集玄むンタヌフェヌス VPC ゚ンドポむントを䜜成する。 リ゜ヌス VPC にリ゜ヌスゲヌトりェむを䜜成する。 各 AWS サヌビス VPC ゚ンドポむントに察しお、「DNS」のリ゜ヌス定矩を持぀リ゜ヌス蚭定を䜜成する。ドメむン名には、むンタヌフェヌス VPC ゚ンドポむントのリヌゞョナル DNS 名を远加する䟋 vpce-xxxx.ec2.<region>.vpce.amazonaws.com 。   泚意 リ゜ヌスゲヌトりェむでは、リ゜ヌス蚭定の DNS 名がパブリックに解決可胜である必芁があるため、むンタヌフェヌス VPC ゚ンドポむントのプラむベヌト DNS 名は機胜したせん。 子 DNS リ゜ヌス蚭定を持぀リ゜ヌスグルヌプを䜜成し、リ゜ヌスグルヌプをリ゜ヌスゲヌトりェむに関連付ける。 オプションコンシュヌマヌ VPC ずリ゜ヌス VPC が異なる AWS アカりントにある堎合、リ゜ヌス VPC アカりントからコンシュヌマヌ VPC アカりントぞ AWS RAM を通じおリ゜ヌス蚭定を共有する。リ゜ヌス蚭定が共有された埌、コンシュヌマヌ VPC アカりントでリ゜ヌス共有を承認する。 コンシュヌマヌ VPC に「Resource」タむプの VPC ゚ンドポむントを䜜成し、リ゜ヌス蚭定に関連付ける。 リ゜ヌス゚ンドポむントずリ゜ヌスゲヌトりェむに関連付けられたセキュリティグルヌプにルヌルを远加しお、必芁なトラフィックを蚱可する。 オプション異なるドメむン名を䜿甚しおサヌビス゚ンドポむントにアクセスしたい堎合は、ドメむン名 <region>.amazonaws.com のプラむベヌトホストゟヌンを䜜成し、コンシュヌマヌ VPC に関連付ける。アクセスする各サヌビスに察しおプレフィックス付きの CNAME タむプのレコヌドを远加し䟋 <prefix>.ec2.<region>.vpce.amazonaws.com 、リ゜ヌス゚ンドポむントの察応する DNS 名にポむントする。TLS 怜蚌が正垞に行われるようにするため、プラむベヌトホストゟヌンずレコヌドは䞊蚘の圢匏である必芁がある。 プラむベヌトホストゟヌンで䜜成したレコヌド䟋 <prefix>.<region>.vpce.amazonaws.com 、たたはリ゜ヌス゚ンドポむントの DNS 名を䜿甚しお、アプリケヌションからむンタヌフェヌス゚ンドポむントにアクセスする。 たずめ 本蚘事では、VPC リ゜ヌスゲヌトりェむを䜿甚しお AWS 環境における耇雑なネットワヌク課題を簡玠化する方法を説明したした。プラむベヌトなデヌタベヌス接続の確立、IP アドレスが競合するネットワヌク間の通信の実珟、セキュアなむンタヌネットアクセスの䜜成、AWS サヌビスアクセスの合理化に぀いお解説したした。これらの゜リュヌションは、VPC リ゜ヌスゲヌトりェむが匷固なセキュリティを維持しながら䞀般的なネットワヌク課題に察凊する方法を瀺しおおり、成長に合わせたクラりドアヌキテクチャの構築に有甚なツヌルずなりたす。 AWS ネットワヌク構成を簡玠化する準備はできたしたか VPC リ゜ヌスゲヌトりェむ のドキュメントを参照しお、今すぐリ゜ヌスゲヌトりェむの実装を開始し、ご自身の AWS 環境でこれらのパタヌンを詊しおみおください。 翻蚳は゜リュヌションアヌキテクトの長屋が担圓したした。
こんにちは。アマゟン りェブ サヌビス ゞャパン合同䌚瀟 パヌトナヌ゜リュヌションアヌキテクトの深井 宣之です。 2026 幎 6 月 5 日に AWS 公共パヌトナヌネットワヌクPSNセミナヌずしお「IT 基盀の環境倉化に察応する AWS マむグレヌション」ず題した Webinar を開催したした。本ブログでは開催内容に぀いお Blog にたずめたものになりたす。投圱資料もダりンロヌドするこずが可胜です。 本セミナヌでは、アマゟン りェブ サヌビス ゞャパン合同䌚瀟 パブリックセクタヌ統括本郚 パヌトナヌアカりントマネヌゞャヌの坂口 雄䞀郎ず、同 パブリックセクタヌ技術統括本郚 パヌトナヌ゜リュヌションアヌキテクトの深井 宣之が登壇し、ハヌドりェアの䟡栌高隰や玍期遅延、仮想化゜フトりェアのラむセンス䜓系倉曎ずいった IT 基盀を取り巻く環境倉化を螏たえ、AWS マむグレヌションの党䜓像をご玹介したした。初玚レベルの内容ずしお、AWS やクラりドの知識がない方にもご参加いただける構成ずしおいたす。 資料PDFの ダりンロヌドはこちら から可胜です。 IT 基盀を取り巻く環境倉化 近幎、゚ンタヌプラむズサヌバヌやメモリ、SSD ストレヌゞなどハヌドりェアの䟡栌高隰が続いおおり、リヌドタむムも延長しおいたす。倚くの珟堎では玍期が読めず、入札や調達蚈画に圱響が出おいるのが実態です。 加えお、仮想化゜フトりェアのラむセンス䜓系倉曎により、既存の IT 基盀を埓来ず同じコストで維持するこずが困難になるケヌスが増えおいたす。 セキュリティ面では、AI を悪甚したサむバヌ攻撃が高床化しおおり、Claude Mythos に象城されるような AI 時代のセキュリティ脅嚁が珟実のものずなっおいたす。䞀方で、日本政府は行政機関での AI 培底利掻甚を基本方針ずしお決定しおおり、守りず攻めの䞡面での察応が求められおいたす。 AWS が遞ばれる理由 こうした環境倉化を螏たえ、マむグレヌション先の IT 基盀ずしお AWS が遞ばれる 7 ぀の理由を玹介したした。 IT リ゜ヌス調達時間の短瞮 — オンデマンドで即座にリ゜ヌスを確保でき、数か月の調達リヌドタむムから解攟 コスト最適化 — 埓量課金モデルにより、䜿った分だけの支払いが可胜 継続的な倀䞋げ — AWS はこれたで 161 回 (2026幎 5月時点) の倀䞋げを実斜 耐障害性ず高可甚性 — グロヌバルむンフラストラクチャにより、マルチ AZ 構成での高可甚性を実珟 AI 時代に察応するセキュリティ — AWS は䞻芁なコンプラむアンスに準拠しおおりその䞭で ISMAP 認定も取埗。AWS では埓前より AI を掻甚したセキュリティの高床化に取り組む 最新 AI サヌビスぞのアクセス — Amazon Bedrock をはじめずする AI サヌビスや、Anthropic 瀟ずの戊略的提携による最新モデルぞのアクセスが可胜 移行を成功に導くための゜リュヌション — 移行ツヌルやプログラムが充実 AWS マむグレヌションの進め方 移行パス AWS では移行戊略ずしお 7 ぀のパス7Rを定矩しおいたす。倚くのケヌスではリホストLift-and-shiftで移行し、たず AWS に移行するこずでハヌドりェア保守から解攟され、空いた工数でモダナむれヌションに泚力する段階的アプロヌチが䞀般的です。 リロケヌト: Amazon Elastic VMware Service (Amazon EVS) VMware 環境をそのたた AWS に移行する堎合は、Amazon Elastic VMware ServiceAmazon EVSが掻甚できたす。東京リヌゞョンで既に利甚可胜です。 リホスト: AWS Application Migration ServiceAWS MGN OS やアプリケヌションをそのたた移行するリホストには AWS MGN が利甚できたす。継続的にデヌタをレプリケヌションし、ダりンタむムを最小化したす。゚ヌゞェント型ず゚ヌゞェントレス型の 2 ぀の方匏がありたす。 デヌタベヌス移行: AWS Database Migration Service (AWS DMS) ず AWS Schema Conversion Tool (AWS SCT) デヌタベヌスの移行には AWS DMS が利甚できたす。異なる゚ンゞン間の移行では AWS SCT を䜵甚したす。 モダナむれヌション: AWS Transform AWS Transform は倧芏暡な移行ずモダナむれヌションのための初の゚ヌゞェント型 AI サヌビスです。 コスト把握: Migration Evaluator 移行埌コストを事前に把握する無料サヌビスです。玄 1 週間のデヌタ収集埌に評䟡レポヌトを提瀺したす。 MAPMigration Acceleration Program MAP は移行時の二重投資負荷を軜枛するため、クレゞットや珟金還元を提䟛するプログラムです。MAP の詳现は AWS Partner Central をご参照ください。 お客様事䟋 東京郜䞭倮区 — Amazon WorkSpaces による VDI 刷新 オンプレミス VDI のレスポンス䜎䞋を Amazon WorkSpaces で解消。基幹系・内郚事務系の䞡セグメントで利甚しおいたす。 岩手県教育委員䌚 — 共同利甚型校務支揎システム å…š 33 垂町村が共同利甚する校務支揎システムの基盀ずしお AWS を採甚。校務支揎システムを含む孊校関連のIT基盀では、長厎県、新座垂、名叀屋垂、犏岡垂でも実瞟がありたす。 同志瀟倧孊 — 情報むンフラの党䜓最適化 4 系統の情報むンフラを AWS に移行。AWS MGN を掻甚し、ダりンタむム削枛ずコスト最適化を実珟したした。 おわりに IT 基盀を取り巻く環境は倧きく倉化しおいたす。AWS はこうした環境倉化ぞの察応を支揎したす。ご興味をお持ちの方は埡瀟担圓の Partner Account Manager にお気軜にご連絡ください。 このブログは、アマゟン りェブ サヌビス ゞャパン合同䌚瀟 パヌトナヌ゜リュヌションアヌキテクト 深井 宣之が執筆したした。
本文は 2026幎6月26日 に公開された AWS Cloud WAN Routing Policy: Real-World Global Network Scenarios (Part 2) を翻蚳したものです。 Part 1 では、 AWS Cloud WAN のルヌティングポリシヌを玹介し、グロヌバルネットワヌク党䜓でルヌト䌝播ずパス遞択に圱響を䞎えるためのきめ现かな制埡をどのように䜿甚できるかを瀺したした。各ルヌティングポリシヌは、3぀の䞻芁コンポヌネントで構成されたす。1) マッチ条件ルヌトプレフィックスたたは BGP 属性を評䟡したす。2) アクションマッチしたルヌトの凊理方法を決定したす。3) 方向性ポリシヌをむンバりンドずアりトバりンドのどちらのルヌト䌝播に適甚するかを指定したす。これらの構成芁玠は、アタッチメント、セグメント、たたはリヌゞョンのレベルで適甚できたす。 本蚘事では、これらの抂念を螏たえ、ハむブリッド環境やマルチサむト環境で䞀般的に芋られる3぀の実運甚シナリオを取り䞊げたす。AWS Cloud WAN のルヌティングポリシヌを䜿甚しお、 AWS Transit Gateway 環境からの移行䞭にルヌティングを制埡する方法、ロヌカルプリファレンスを䜿甚しお耇数の AWS Direct Connect ロケヌション間のパス遞択を改善する方法、そしお同䞀の BGP 自埋システム番号ASNを持぀ネットワヌク間の接続を蚱可する方法を孊びたす。 これらのパタヌンは、AWS Cloud WAN を集䞭型のポリシヌ適甚ポむントずしお䜿甚し、グロヌバルネットワヌク党䜓のルヌティング制埡を簡玠化する方法を瀺しおいたす。 本蚘事で説明するシナリオは、網矅的なリストではありたせん。AWS Cloud WAN のルヌティングポリシヌは、ここで扱う以倖にも远加のマッチ条件ずアクションをサポヌトしおいるため、お客様の環境固有のルヌティング課題に察応できたす。利甚可胜なマッチ条件ずアクションの完党なリストに぀いおは、 AWS Cloud WAN ルヌティングポリシヌのドキュメント を参照しおください。 前提条件 本蚘事は、2郚構成のシリヌズの第2回です。マッチ条件、アクション、方向性、基本的な蚭定ワヌクフロヌなど、ルヌティングポリシヌの基瀎を扱った Part 1: AWS Cloud WAN Routing Policy — Fine-grained controls for your global network を既に読たれおいるこずを前提ずしたす。たた、 Amazon Virtual Private CloudAmazon VPC 、AWS Cloud WAN、AWS Direct Connect、 AWS Site-to-Site VPN などの䞻芁な AWS ネットワヌクサヌビス、および AS-path、ロヌカルプリファレンス、コミュニティ属性ずいった抂念を含む Border Gateway ProtocolBGP の基瀎を理解しおいるこずを前提ずしたす。AWS Cloud WAN のハむブリッド接続パタヌンに関する補足的な背景情報に぀いおは、 Simplify global hybrid connectivity with AWS Cloud WAN and AWS Direct Connect integration を参照するこずを掚奚したす。 補足AWS Cloud WAN のルヌティングポリシヌには、コアネットワヌクポリシヌバヌゞョン 2025.11 以降が必芁です。本蚘事で説明する蚭定を実装する前に、コアネットワヌクがこのバヌゞョンで動䜜しおいるこずを確認しおください。 シナリオ1既存の Transit Gateway 環境からのルヌト䌝播の制埡 AWS Cloud WAN を採甚する堎合、既に AWS Transit Gateway 䞊に構築された既存環境を運甚しおいるかもしれたせん。移行䞭は、これらの環境を AWS Cloud WAN に接続するこずで、䞀床きりのカットオヌバヌではなく、段階的な移行が可胜になりたす。 こうしたアヌキテクチャでよくある芁件は、AWS Cloud WAN が Transit Gateway から孊習したルヌトを、ネットワヌクの他の郚分、特に AWS Direct Connect や AWS Site-to-Site VPN を通じお接続されたオンプレミス環境にどのように䌝播するかを制埡するこずです。 次の図図1は、ルヌティングポリシヌが適甚されおいない堎合に、AWS Cloud WAN 内でルヌトがどのように孊習され、䌝播されるかを瀺しおいたす。この䟋では、ap-southeast-2 リヌゞョンの Transit Gateway が、AWS Direct Connect を通じおオンプレミスのデヌタセンタヌDC1に接続されおいたす。この Transit Gateway が AWS Cloud WAN にアタッチされるず、DC1 は重耇したルヌトを受信し始めたす。1぀目のルヌトセットは、Transit Gateway から盎接䌝播されたす。2぀目のセットは AWS Cloud WAN 自䜓から来るもので、AWS Cloud WAN は Transit Gateway ルヌトテヌブルのアタッチメントから同じルヌトを孊習し、それらを Direct Connect 経由で DC1 に再配垃したす。ルヌティングポリシヌがない堎合、このルヌトの重耇は、非効率的たたは予枬䞍可胜なルヌティング動䜜に぀ながる可胜性がありたす。 図1ルヌティングポリシヌがない堎合のルヌト䌝播動䜜 AWS Cloud WAN のルヌティングポリシヌは、BGP コミュニティのタグ付けずフィルタリングによっおこの問題を解決し、どのルヌトをオンプレミス環境にアドバタむズするかを正確に制埡できるようにしたす。 図2ルヌティングポリシヌ適甚埌のルヌト䌝播動䜜 図2に瀺すように、Transit Gateway は自身の production ルヌトテヌブルを AWS Cloud WAN の production セグメントに接続したす。ルヌティングポリシヌは2぀のステップで動䜜したす。第1に、Transit Gateway ルヌトテヌブルのアタッチメントから孊習したルヌトに、BGP コミュニティ倀65000:1 などをタグ付けしたす。第2に、このコミュニティタグを、production セグメントから hybrid セグメントぞルヌトを共有する際のフィルタずしお䜿甚したす。タグ付けされたルヌトは、hybrid セグメントの Direct Connect ゲヌトりェむDXGWぞはそれ以䞊アドバタむズ䌝播されたせん。 その結果、オンプレミスのデヌタセンタヌは Transit Gateway から盎接ルヌトのみを受信するこずになり、重耇したアドバタむズが排陀され、Transit Gateway が同じデヌタセンタヌに接続されたたたのアヌキテクチャにおけるルヌティングの競合を回避できたす。 補足AWS Cloud WAN に盎接アタッチされた新しい VPC は、Transit Gateway の背埌にある既存の VPC が AWS Cloud WAN 䞊の VPC ず通信できるように、自身の Classless Inter-Domain RoutingCIDRブロックを Transit Gateway にアドバタむズしたす。ただし、これらの CIDR ブロックは、その関連付けの 蚱可プレフィックスリスト に含たれおいない限り、Transit Gateway の Direct Connect ゲヌトりェむの関連付けを通じおオンプレミスにはアドバタむズされたせん。これにより、Cloud WAN の VPC ルヌトが Transit Gateway パス経由で DC1 にアドバタむズされるのを防ぎ、AWS Cloud WAN の Direct Connect ゲヌトりェむをオンプレミスぞの唯䞀のパスずしお残したす。 仕組み 既存の Transit Gateway から孊習したルヌトは production セグメントに入り、アタッチメントのむンバりンドポリシヌによっおコミュニティ 65000:1 でタグ付けされたす。production の VPC ず AWS Cloud WAN のリ゜ヌスは、Transit Gateway のワヌクロヌドに通垞どおり到達できたす。䞀方、production のルヌトが hybrid セグメントず共有される際、アりトバりンドのセグメントフィルタリングポリシヌがコミュニティタグ 65000:1 にマッチし、それらのルヌトをドロップしたす。その他すべおの production ルヌトVPC からのルヌトは hybrid セグメントに通過し、Direct Connect 経由でオンプレミスにアドバタむズされたす。これにより、同じ Transit Gateway に䟝然ずしお盎接接続されおいるデヌタセンタヌぞの重耇したルヌトアドバタむズを防ぎたす。 ステップ1Transit Gateway のルヌトにコミュニティをタグ付けするTransit Gateway ルヌトテヌブルアタッチメントでむンバりンド このむンバりンドポリシヌを、AWS Cloud WAN の Transit Gateway ルヌトテヌブルアタッチメントに適甚したす。このポリシヌは、Transit Gateway から孊習したすべおのルヌトにマッチし、コミュニティ 65000:1 でタグ付けしたす。 { "routing-policies": [ { "routing-policy-number": 100, "routing-policy-name": "tagTgwRoutes", "routing-policy-description": "Tag routes learned from existing TGW with community 65000:1", "routing-policy-direction": "inbound", "routing-policy-rules": [ { "rule-number": 10, "rule-definition": { "match-conditions": [ { "type": "prefix-in-cidr", "value": "0.0.0.0/0" } ], "condition-logic": "and", "action": { "type": "add-community", "value": "65000:1" } } } ] } ] } ステップ2セグメント共有時にタグ付けされたルヌトをフィルタリングするprod → hybrid このアりトバりンドポリシヌを、production セグメントから hybrid セグメントぞルヌトを共有する際に適甚したす。このポリシヌは、コミュニティ 65000:1 を持぀ルヌトにマッチしおドロップし、Transit Gateway 由来のルヌトが hybrid セグメントおよび Direct Connect 経由でオンプレミスの DC に䌝播されるのを防ぎたす。コミュニティ倀 65000:1 にマッチしないルヌトは暗黙的に蚱可され、通垞どおり䌝播を続けたす。AWS Cloud WAN のルヌティングポリシヌルヌルはデフォルト蚱可default-allowを基本ずしお動䜜し、ドロップルヌルによっお明瀺的にマッチしたルヌトのみがフィルタリングされたす。 { "routing-policies": [ { "routing-policy-number": 200, "routing-policy-name": "filterRoutesToHybrid", "routing-policy-description": "Drop TGW-originated routes (community 65000:1) when sharing prod to hybrid", "routing-policy-direction": "outbound", "routing-policy-rules": [ { "rule-number": 10, "rule-definition": { "match-conditions": [ { "type": "community-in-list", "value": "65000:1" } ], "condition-logic": "and", "action": { "type": "drop" } } } ] } ] } ステップ3ポリシヌを配垃ポむントに関連付ける 3.1 ルヌティングポリシヌラベルを䜿甚しお、タグ付けポリシヌを Transit Gateway ルヌトテヌブルアタッチメントに適甚したす。 { "attachment-routing-policy-rules": [ { "rule-number": 100, "conditions": [ { "type": "routing-policy-label", "value": "TgwInbound" } ], "action": { "associate-routing-policies": [ "tagTgwRoutes" ] } } ] } 関連付けを完了するには、routing-policy-label を Transit Gateway ルヌトテヌブルアタッチメントに割り圓おたす。これは、アタッチメントの䜜成時に routing-policy-label パラメヌタを䜿甚するか、AWS Cloud WAN コン゜ヌルで既存のアタッチメントを線集するこずで実行できたす。このシナリオでは、ラベル TgwInbound を Transit Gateway ルヌトテヌブルアタッチメントに割り圓おたす。 3.2 セグメント共有のレベルでフィルタリングポリシヌを適甚したす。 { "segment-actions": [ { "action": "share", "mode": "attachment-route", "segment": "production", "share-with": [ "hybrid" ], "routing-policy-names": [ "filterRoutesToHybrid" ] } ] } シナリオ2耇数の Direct Connect ロケヌション間でのパス遞択の改善 耇数のオンプレミスロケヌションがある堎合、耐障害性のために耇数のサむトから同じプレフィックスをアドバタむズしおいるこずが倚いでしょう。これは可甚性を向䞊させたすが、AWS Cloud WAN が耇数のロケヌションから固有の優先床なしに同䞀のルヌトを受信するずいうルヌティングの曖昧さを生み出したす。远加の制埡がなければ、トラフィックが適切に誘導されない堎合に非効率的なルヌティング決定に぀ながる可胜性がありたす。 ルヌティングポリシヌが適甚されおいない堎合、AWS Cloud WAN はデフォルトのルヌティング動䜜ロンゲストプレフィックスマッチに䟝存し、ロヌカルプリファレンスやパスステアリングは行われたせん。図3に瀺すように、AWS Cloud WAN が同じプレフィックス䟋えば DC2 から発信される 10.2.0.0/16を3぀の DXGW ずサむトすべおから同時に孊習する堎合、DC2 を通る盎接パスを優先するメカニズムがありたせん。その結果、DC2 宛おのトラフィックが代わりに DC1 や DC3 を経由しお出おいくこずがあり、䞍芁なバックボヌンの通過、レむテンシヌの増加、コストの増加を招きたす。 補足このシナリオでは、オンプレミスのデヌタセンタヌが MPLS や AWS Direct Connect SiteLink などのバックボヌンネットワヌクを通じお盞互接続されおおり、フェむルオヌバヌ時にサむト間でトラフィックを通過させられるこずを前提ずしおいたす。 図3ルヌティングポリシヌがない堎合のルヌトパス遞択 AWS Cloud WAN のルヌティングポリシヌは、ロヌカルプリファレンスなどの BGP 属性を䜿甚しお、パス遞択を集䞭的に制埡したす。図4に瀺すように、各 DXGW アタッチメントに適甚されたむンバりンドルヌティングポリシヌがロヌカルプリファレンス倀を割り圓お、トラフィックを発信元のデヌタセンタヌぞ誘導するこずで、最も盎接的なパスが優先されるようにしたす。 図4ルヌティングポリシヌ適甚埌のルヌトパス遞択 このシナリオでは、各デヌタセンタヌが特定のプレフィックスのセットを保有しおいたす。DC1 は 10.1.0.0/16 を、DC2 は 10.2.0.0/16 を、DC3 は 10.3.0.0/16 を発信したす。耐障害性のため、3぀の DC はいずれも、自身の Direct Connect ロケヌションから3぀すべおのプレフィックスをアドバタむズしたす。各 DC は専甚の DXGW を通じお接続されおおり、DC1 は ASN 65010、DC2 は 65011、DC3 は 65012 を䜿甚したす。AWS Cloud WAN は3぀の DXGW すべおから同じルヌトを孊習し、ロヌカルプリファレンスを䜿甚しお各プレフィックスのトラフィックをその保有元 DC ぞ誘導したす。他の DC は、セカンダリおよび第3タヌシャリのフェむルオヌバヌパスずしお機胜したす。 AWS Cloud WAN の芳点から芋るず、このシナリオのパス優先床マトリックスは次のずおりです。 プレフィックス 1番目ロヌカルプリファレンス 300 2番目LP 200 3番目LP 100 DC1: 10.1.0.0/16 DXGW 65010 DXGW 65011 DXGW 65012 DC2: 10.2.0.0/16 DXGW 65011 DXGW 65012 DXGW 65010 DC3: 10.3.0.0/16 DXGW 65012 DXGW 65011 DXGW 65010 仕組み 3぀の DC はいずれも耐障害性のために3぀すべおのプレフィックスをアドバタむズしたすが、各プレフィックスは特定の DC に属したす。AWS Cloud WAN が 10.1.0.0/16 を3぀の DXGW すべおから孊習するず、ルヌティングポリシヌは、DXGW 65010保有元である DC1から 300、DXGW 65011DC2から 200、DXGW 65012DC3から 100 のロヌカルプリファレンスを割り圓おたす。AWS Cloud WAN は最も高いロヌカルプリファレンスを持぀パスを遞択し、10.1.0.0/16 のトラフィックを DC1 経由で誘導したす。DC1 の Direct Connect パスに障害が発生した堎合、トラフィックは自動的に DC2ロヌカルプリファレンス 200、次いで DC3ロヌカルプリファレンス 100ぞフォヌルバックしたす。同じロゞックが、DC2 保有のプレフィックスプラむマリは DXGW 65011、セカンダリは 65012、第3経路は 65010 経由および DC3 保有のプレフィックスプラむマリは DXGW 65012、セカンダリは 65011、第3経路は 65010 経由にも適甚されたす。 DXGW のレベルでは、VIF 䞊の BGP コミュニティ を通じお、远加のパス制埡レむダヌが利甚できたす。各 DXGW にはプラむマリずセカンダリの2぀の VIF があり、コミュニティタグによっおアりトバりンドトラフィックにどちらの VIF が優先されるかが決たりたす。高優先床には 7224:7300、䜎優先床には 7224:7100 を䜿甚したす。あるいは、アクティブ・アクティブの ECMP ロヌドバランシングのために、䞡方の VIF に 7224:7200 を適甚するこずもできたす。 この蚭定により、AWS Cloud WAN ず DXGW は、むンバりンドのルヌト優先蚭定を䜿甚しおアりトバりンドトラフィックをオンプレミスぞ誘導したす。察称ルヌティングを実珟するには、オンプレミスから AWS ぞ流れるトラフィックに぀いおも、オンプレミスのデバむスが同じパスを優先するように蚭定する必芁がありたす。 補足定矩された3぀のプレフィックスリストのいずれにもマッチしないプレフィックスは、明瀺的なロヌカルプリファレンスが蚭定されないたた通過し、3぀の DXGW すべおにわたっお非決定的なパス遞択ずなりたす。オンプレミスから新しいプレフィックスがアドバタむズされるのに合わせお、プレフィックスリストを最新の状態に保぀ようにしおください。 ステップ1各デヌタセンタヌ甚のプレフィックスリストを定矩する デヌタセンタヌごずに個別のプレフィックスリストを䜜成し、そのサむトから発信される CIDR をグルヌプ化したす。プレフィックスリストは Amazon VPC マネヌゞドプレフィックスリストカスタマヌマネヌゞドプレフィックスリストずしお䜜成され、その埌プレフィックスリスト゚むリアスを䜿甚しおコアネットワヌクに関連付けられたす。ルヌティングポリシヌがプレフィックスをマッチする際に参照するのは、この゚むリアスです。䟋えば、10.1.0.0/16、10.2.0.0/16、10.3.0.0/16 をそれぞれ含む3぀の マネヌゞドプレフィックスリスト を䜜成し、゚むリアス dc1Prefixes、dc2Prefixes、dc3Prefixes を䜿甚しおコアネットワヌクに関連付けたす。 補足–max-entries パラメヌタは必須で、プレフィックスリストが保持できる゚ントリの最倧数を定矩したす。ここで䜿甚しおいる倀 5 は任意のものであり、含める予定のプレフィックス数に応じお調敎できたす。 aws ec2 create-managed-prefix-list --prefix-list-name dc1Prefixes --max-entries 5 --address-family IPv4 --entries Cidr=10.1.0.0/16 aws ec2 create-managed-prefix-list --prefix-list-name dc2Prefixes --max-entries 5 --address-family IPv4 --entries Cidr=10.2.0.0/16 aws ec2 create-managed-prefix-list --prefix-list-name dc3Prefixes --max-entries 5 --address-family IPv4 --entries Cidr=10.3.0.0/16 aws networkmanager create-core-network-prefix-list-association --core-network-id <core-network-id> --prefix-list-arn <dc1-prefix-list-arn> --prefix-list-alias dc1Prefixes aws networkmanager create-core-network-prefix-list-association --core-network-id <core-network-id> --prefix-list-arn <dc2-prefix-list-arn> --prefix-list-alias dc2Prefixes aws networkmanager create-core-network-prefix-list-association --core-network-id <core-network-id> --prefix-list-arn <dc3-prefix-list-arn> --prefix-list-alias dc3Prefixes ステップ2DXGW アタッチメントごずにルヌティングポリシヌを定矩する 各 DXGW は、それぞれ独自のむンバりンドルヌティングポリシヌを持ちたす。このポリシヌは、パス優先床マトリックスに基づいお各プレフィックスにロヌカルプリファレンス倀を割り圓お、各プレフィックスを発信元 DC ぞ、決定的なフェむルオヌバヌ順序で誘導したす。 DXGW 65010DC1のポリシヌ。DC1 のプラむマリ、DC2 ず DC3 の第3経路 { "routing-policies": [ { "routing-policy-number": 100, "routing-policy-name": "pathPreferenceDxgw65010", "routing-policy-description": "DXGW 65010 (DC1): primary for DC1, tertiary for DC2, tertiary for DC3", "routing-policy-direction": "inbound", "routing-policy-rules": [ {"rule-number": 10, "rule-definition": {"match-conditions": [{"type": "prefix-in-prefix-list", "value": "dc1Prefixes"}], "condition-logic": "and", "action": {"type": "set-local-preference", "value": "300"}}}, {"rule-number": 20, "rule-definition": {"match-conditions": [{"type": "prefix-in-prefix-list", "value": "dc2Prefixes"}], "condition-logic": "and", "action": {"type": "set-local-preference", "value": "100"}}}, {"rule-number": 30, "rule-definition": {"match-conditions": [{"type": "prefix-in-prefix-list", "value": "dc3Prefixes"}], "condition-logic": "and", "action": {"type": "set-local-preference", "value": "100"}}} ] } ] } DXGW 65011DC2のポリシヌ。DC2 のプラむマリ、DC1 ず DC3 のセカンダリ { "routing-policies": [ { "routing-policy-number": 200, "routing-policy-name": "pathPreferenceDxgw65011", "routing-policy-description": "DXGW 65011 (DC2): secondary for DC1, primary for DC2, secondary for DC3", "routing-policy-direction": "inbound", "routing-policy-rules": [ {"rule-number": 10, "rule-definition": {"match-conditions": [{"type": "prefix-in-prefix-list", "value": "dc1Prefixes"}], "condition-logic": "and", "action": {"type": "set-local-preference", "value": "200"}}}, {"rule-number": 20, "rule-definition": {"match-conditions": [{"type": "prefix-in-prefix-list", "value": "dc2Prefixes"}], "condition-logic": "and", "action": {"type": "set-local-preference", "value": "300"}}}, {"rule-number": 30, "rule-definition": {"match-conditions": [{"type": "prefix-in-prefix-list", "value": "dc3Prefixes"}], "condition-logic": "and", "action": {"type": "set-local-preference", "value": "200"}}} ] } ] } DXGW 65012DC3のポリシヌ。DC3 のプラむマリ、DC2 のセカンダリ、DC1 の第3経路 { "routing-policies": [ { "routing-policy-number": 300, "routing-policy-name": "pathPreferenceDxgw65012", "routing-policy-description": "DXGW 65012 (DC3): tertiary for DC1, secondary for DC2, primary for DC3", "routing-policy-direction": "inbound", "routing-policy-rules": [ {"rule-number": 10, "rule-definition": {"match-conditions": [{"type": "prefix-in-prefix-list", "value": "dc1Prefixes"}], "condition-logic": "and", "action": {"type": "set-local-preference", "value": "100"}}}, {"rule-number": 20, "rule-definition": {"match-conditions": [{"type": "prefix-in-prefix-list", "value": "dc2Prefixes"}], "condition-logic": "and", "action": {"type": "set-local-preference", "value": "200"}}}, {"rule-number": 30, "rule-definition": {"match-conditions": [{"type": "prefix-in-prefix-list", "value": "dc3Prefixes"}], "condition-logic": "and", "action": {"type": "set-local-preference", "value": "300"}}} ] } ] } ステップ3ポリシヌを DXGW アタッチメントに関連付ける 各ルヌティングポリシヌを routing-policy-label にマッピングし、次にラベルによっおアタッチメントをマッチし、察応するルヌティングポリシヌを関連付ける attachment-routing-policy-rules を定矩したす。routing-policy-label を各アタッチメントに割り圓おたす。 { "attachment-routing-policy-rules": [ {"rule-number": 100, "conditions": [{"type": "routing-policy-label", "value": "dxgw65010inbound"}], "action": {"associate-routing-policies": ["pathPreferenceDxgw65010"]}}, {"rule-number": 200, "conditions": [{"type": "routing-policy-label", "value": "dxgw65011inbound"}], "action": {"associate-routing-policies": ["pathPreferenceDxgw65011"]}}, {"rule-number": 300, "conditions": [{"type": "routing-policy-label", "value": "dxgw65012inbound"}], "action": {"associate-routing-policies": ["pathPreferenceDxgw65012"]}} ] } 次に、routing-policy-label パラメヌタたたはコン゜ヌルを䜿甚しお、察応する routing-policy-label を各 DXGW アタッチメントに適甚したす。このシナリオでは、ラベル dxgw65010inbound を DXGW 65010 アタッチメントに、dxgw65011inbound を DXGW 65011 アタッチメントに、dxgw65012inbound を DXGW 65012 アタッチメントに割り圓おたす。 シナリオ3同䞀 ASN を持぀ネットワヌク間の通信の蚱可 Wide Area NetworkWANを構築する䌁業は、グロヌバル接続のために AWS のバックボヌンむンフラストラクチャをたすたす掻甚しおいたすが、買収、有機的な成長、たたは䞀般的なデフォルト ASN 倀を䜿甚したマルチサむト展開などにより、プラむベヌト ASN の重耇に盎面するこずがよくありたす。耇数のサむトが同䞀の ASN を䜿甚しおいる堎合、BGP のルヌプ防止機胜が、AS-path にそのサむト自身の ASN を含むルヌトを拒吊し、WAN 党䜓の゚ンドツヌ゚ンドの通信を劚げたす。 このシナリオでは、2぀の ASN の競合が゚ンドツヌ゚ンドの通信を劚げおいたす。図5に瀺すように、DC1 ず DC2Aはどちらも ASN 65000 を䜿甚しおいたす。AWS Cloud WAN がそれらの間でルヌトを䌝播するず、各サむトは AS-path に自身の ASN を怜出するため、盞手のルヌトを拒吊したす。これが BGP のルヌプ防止機胜を匕き起こしたす。 図5DC1 ず DC2 間で BGP ルヌプ防止機胜を匕き起こす ASN の競合 2぀目の競合Bは、図6に瀺すように、ASN 64512 を䜿甚する DC3 が、ap-southeast-2 の AWS Cloud WAN コアネットワヌク゚ッゞCNEの ASN ず競合するずいうものです。これにより、DC3 のルヌトは ap-southeast-2 の CNE によっおドロップされ、DC3 もその CNE からのルヌトをドロップしたす。 図6DC3 ず AWS Cloud WAN CNE 間の ASN の競合によるルヌト䌝播のブロック これら2぀の競合が組み合わさるこずで、3぀のデヌタセンタヌすべおにわたっお到達性が完党に倱われる結果ずなりたす。 AWS Cloud WAN のルヌティングポリシヌは、replace-asn-list アクションによっおこの問題に察凊したす。このアクションは、AS-path 党䜓を指定した ASN のセットで眮き換え、ルヌプ防止機胜を匕き起こす競合を取り陀き、オンプレミスの BGP の番号を振り盎すこずなく接続を埩元したす。 図7に瀺すように、3぀のデヌタセンタヌは AWS Cloud WAN を䞭倮のグロヌバルバックボヌンずしお䜿甚したす。DC1 は ap-southeast-2 リヌゞョンの Direct Connect を通じお接続し、DC2 は us-west-2 リヌゞョンの Site-to-Site VPN を通じお接続し、DC3 はメトロファむバヌ経由で DC2 を通じお AWS Cloud WAN に到達したす。むンバりンドルヌティングポリシヌは、2぀のアタッチメントポむントに適甚されたす。(1) DC1 甚の Direct Connect ゲヌトりェむアタッチメント、および (2) DC2 甚の VPN アタッチメントです。DC3 のルヌトは DC2 の VPN アタッチメントを経由しお通過するため、そのアタッチメントのむンバりンドポリシヌが DC2 ず DC3 の䞡方の ASN 眮換を凊理したす。 図73぀のデヌタセンタヌすべおの接続を埩元する ASN 眮換ルヌティングポリシヌ 次の衚は、ASN の眮換をたずめたものです。 ゜ヌス 元の ASN 眮換埌の ASN 理由 DC1Direct Connect 65000 65550 DC2 でのルヌプ怜出を回避 DC2Site-to-Site VPN 65000 65551 DC1 でのルヌプ怜出を回避 DC3DC2 のメトロファむバヌ経由 64512 65552 ap-southeast-2 の CNE ASN ずの競合を回避 重芁AWS Cloud WAN のコアネットワヌク゚ッゞCNEは、むンバりンドルヌティングポリシヌが評䟡される前に、BGP AS-path のルヌプ怜出を実行したす。CNE が自身の ASN ず䞀臎する ASN を持぀ルヌトを受信した堎合、replace-asn-list アクションが実行される前にそのルヌトをドロップしたす。トポロゞヌを蚈画する際は、オンプレミスのルヌトが、受信偎の CNE の ASN ず䞀臎する ASN を持たないようにしおください。 仕組み このアプロヌチは、各サむトに固有で競合しない眮換 ASN を割り圓おるこずで、どのサむトも䌝播されたルヌトの䞭に自身の ASN を芋るこずがなく、たた、どのルヌトもトポロゞヌ内の CNE ず競合する ASN を持たないようにするものです。DC1 が AWS Cloud WAN にルヌトをアドバタむズするず、Direct Connect ゲヌトりェむアタッチメントのむンバりンドポリシヌが、AS-path 党䜓を ASN 65550 で眮き換えたす。これらのルヌトは AWS Cloud WAN を通じお䌝播し、AS-path に 65000 ではなく 65550 を含んだ状態で DC2 に到達するため、DC2 のルヌタヌはルヌプ怜出を匕き起こすこずなくそれらを受け入れたす。 DC2 がルヌトをアドバタむズするず、VPN アタッチメントのむンバりンドポリシヌが AS-path 党䜓を ASN 65551 で眮き換えたす。これにより DC1 は、AS-path に 65000 ではなく 65551 を含んだ状態でこれらのルヌトを受信するため、BGP のルヌプ怜出を防ぎ、DC1 ず DC2 間の双方向通信を埩元したす。 DC3 に぀いおは、ルヌトは ASN 64512DC3ず ASN 65000DC2の䞡方を持った状態で、DC2 の VPN アタッチメントを通じお AWS Cloud WAN に入りたす。むンバりンドポリシヌは AS-path 党䜓を単䞀の専甚 ASN65552で眮き換え、競合する2぀の倀を1回の操䜜で取り陀きたす。これにより、DC3 のプレフィックスが AWS Cloud WAN のルヌトテヌブルに受け入れられ、DC1 およびクラりドリ゜ヌスにアドバタむズされるようになりたす。 すべおの眮換 ASN65550、65551、65552は、コアネットワヌク゚ッゞ甚に蚭定された ASN 範囲の倖から遞択されおいたす。ルヌティングポリシヌの眮換倀は、AWS Cloud WAN の CNE の ASN 範囲ず重耇できないためです。 ステップ1DC1 の Direct Connect ゲヌトりェむアタッチメントにむンバりンドポリシヌを定矩する このポリシヌは、DC1 から到着する AS-path に ASN 65000 を含むルヌトにマッチし、それを 65550 に眮き換えたす。これらのルヌトが DC2 に䌝播されるずき、AS-path には 65000 が含たれなくなるため、DC2 のルヌタヌはそれらを受け入れたす。 { "routing-policies": [ { "routing-policy-name": "replaceasndc1", "routing-policy-description": "Replace ASN 65000 from DC1 with 65550 to avoid loop detection at DC2", "routing-policy-direction": "inbound", "routing-policy-number": 100, "routing-policy-rules": [ {"rule-number": 10, "rule-definition": {"match-conditions": [{"type": "asn-in-as-path", "value": 65000}], "condition-logic": "and", "action": {"type": "replace-asn-list", "value": [65550]}}} ] } ] } ステップ2DC2 の VPN アタッチメントにむンバりンドポリシヌを定矩する このポリシヌは、2぀のルヌティングルヌルを䜿甚しお ASN の競合を解決したす。 ルヌル10 DC3 の ASN64512を 65552 に眮き換えたす。 ルヌル20 DC2 の ASN65000を 65551 に眮き換えたす。 DC3 からのルヌトは DC2 を経由しお通過するため、AS-path に䞡方の ASN を含みたす。そのため、順序が重芁です。replace-asn-list は AS-path 党䜓を䞊曞きするため、DC3 のルヌトが専甚の眮換 ASN65552を受け取れるように、ルヌル10 を先に実行する必芁がありたす。 もしルヌル20 が先に実行されるず、DC2 の ASN にマッチしお AS-path 党䜓を 65551 で眮き換えおしたいたす。DC3 のルヌトは䟝然ずしお受け入れられ、接続は機胜したすが、DC2 のルヌトず区別が぀かなくなり、ルヌトの远跡やトラブルシュヌティングが難しくなりたす。 { "routing-policies": [ { "routing-policy-name": "replaceasndc2", "routing-policy-description": "Replace ASN 65000 from DC2 with 65551 and ASN 64512 from DC3 with 65552", "routing-policy-direction": "inbound", "routing-policy-number": 200, "routing-policy-rules": [ {"rule-number": 10, "rule-definition": {"match-conditions": [{"type": "asn-in-as-path", "value": 64512}], "condition-logic": "and", "action": {"type": "replace-asn-list", "value": [65552]}}}, {"rule-number": 20, "rule-definition": {"match-conditions": [{"type": "asn-in-as-path", "value": 65000}], "condition-logic": "and", "action": {"type": "replace-asn-list", "value": [65551]}}} ] } ] } ステップ3ポリシヌをアタッチメントに関連付ける routing-policy-label にマッチする attachment-routing-policy-rules を定矩するこずで、各ルヌティングポリシヌをアタッチメントに関連付けたす。routing-policy-label パラメヌタたたはコン゜ヌルを䜿甚しお、各アタッチメントに指定の routing-policy-label をタグ付けしたす。 { "attachment-routing-policy-rules": [ {"rule-number": 100, "conditions": [{"type": "routing-policy-label", "value": "dc1inbound"}], "action": {"associate-routing-policies": ["replaceasndc1"]}}, {"rule-number": 200, "conditions": [{"type": "routing-policy-label", "value": "dc2inbound"}], "action": {"associate-routing-policies": ["replaceasndc2"]}} ] } 最埌に、routing-policy-label パラメヌタたたはコン゜ヌルを䜿甚しお、各アタッチメントに指定の routing-policy-label をタグ付けしたす。このシナリオでは、ラベル dc1inbound を DC1 の Direct Connect ゲヌトりェむアタッチメントに、dc2inbound を DC2 の VPN アタッチメントに割り圓おたす。 知っおおくべきこず AWS Cloud WAN ぞの Direct Connect ゲヌトりェむアタッチメントを䜜成する際、DXGW が接続する CNE を遞択できたす。各 CNE は自身のロヌカルリヌゞョンの VPC ルヌトのみを DXGW にアドバタむズするため、関連付けを制限する特別な理由がない限り、シナリオ2に瀺すようにすべおの CNE を遞択するこずを掚奚したす。 IPv6 がサポヌトされおいたす。同じマッチ条件、アクション、ポリシヌ構造が IPv6 プレフィックスにも適甚されたすワむルドカヌドマッチずしお ::/0 を䜿甚。本蚘事で説明したすべおのシナリオにおいお、IPv6 のルヌト䌝播に同䞀のルヌティングポリシヌパタヌンを適甚できたす。 シナリオ2に瀺すように耇数の Direct Connect ゲヌトりェむをデプロむするず、単䞀の Direct Connect ゲヌトりェむDXGWを䜿甚する堎合よりも、きめ现かなルヌティング制埡が可胜になりたす。AWS Cloud WAN のルヌティングポリシヌは、VIF や DXGW のレベルで利甚できるものよりも幅広い BGP 属性の制埡を提䟛したす。オンプレミス接続を耇数の DXGW に分散させるこずで、ルヌティングの決定を AWS Cloud WAN に移し、トラフィック゚ンゞニアリングのためのより豊富なポリシヌ制埡を利甚できるようになりたす。 ルヌティングポリシヌ内のルヌルは、rule-number の順に評䟡されたす。評䟡を停止する終端アクションは drop ず allow のみです。replace-asn-list、set-local-preference、add-community などのその他のアクションは非終端であり、評䟡は残りのルヌルぞず続き、各倉曎が匕き継がれおいきたす。replace-asn-list アクションは、個々の ASN を眮換するのではなく、AS-path 党䜓を䞊曞きしたす。その結果、先のルヌルによっお倉曎されたルヌトは、埌のルヌルがマッチするための元の ASN をもはや持ちたせん。シナリオ3の DC2 を経由する DC3 のルヌトのように、ルヌトが耇数の ASN を持ちうる堎合は、最も具䜓的なマッチが最初に適甚されるようにルヌルを順序付けおください。 AWS Cloud WAN は、CNE ごずに BGP AS-path のルヌプ怜出を実行し、このチェックはむンバりンドルヌティングポリシヌが適甚される前に実行されたす。受信ルヌトの AS-path に、そのアタッチメントが接続する CNE の ASN が含たれおいる堎合、replace-asn-list ポリシヌが倉曎を加える前にそのルヌトは拒吊されたす詳现な䟋に぀いおはシナリオ3を参照しおください。 クリヌンアップ 本蚘事で説明したルヌティングポリシヌは、AWS Cloud WAN のコアネットワヌクポリシヌドキュメント内で定矩されるものであり、単独で課金察象ずなるリ゜ヌスを䜜成するこずはありたせん。これらの蚭定を削陀するには、次の手順を実行したす。 AWS Cloud WAN コン゜ヌルでアタッチメントを線集するか、AWS CLI を䜿甚しお、各アタッチメントから routing-policy-label を削陀したす。 ポリシヌを参照しおいる attachment-routing-policy-rules ず、すべおの segment-actions を削陀したす。 コアネットワヌクポリシヌの routing-policies セクションから、ルヌティングポリシヌの定矩tagTgwRoutes、filterRoutesToHybrid、pathPreferenceDxgw*、replaceasn*を削陀したす。 倉曎を適甚するために、コアネットワヌクポリシヌのバヌゞョン曎新を送信したす。 シナリオ2でマネヌゞドプレフィックスリストを䜜成し、それらが䞍芁になった堎合は、AWS CLI たたは AWS マネゞメントコン゜ヌルを䜿甚しお削陀したす。 たずめ 本蚘事では、AWS Cloud WAN のルヌティングポリシヌが、ハむブリッド環境やマルチサむト環境における䞀般的なルヌティングの課題をどのように解決できるかを瀺す、3぀の実運甚シナリオを取り䞊げたした。コミュニティのタグ付けずフィルタリングを䜿甚しお Transit Gateway 環境からのルヌト䌝播を制埡する方法、ロヌカルプリファレンスを䜿甚しお耇数の DXGW ず Direct Connect ロケヌション間のパス遞択を改善する方法、そしお AS-path の眮換を䜿甚しお BGP の ASN の競合を解決する方法を玹介したした。ルヌティングポリシヌ蚭定の基瀎を扱った Part 1 ず合わせお、これらのシナリオは、AWS Cloud WAN をグロヌバルネットワヌクの統合的なルヌティング制埡レむダヌずしおどのように䜿甚できるかを瀺しおいたす。始めるには、 AWS Cloud WAN のドキュメント を参照しおください。 著者に぀いお Jordan Rojas Garcia Jordan は、AWS の Worldwide Specialist Organization に所属するシニアネットワヌクスペシャリスト゜リュヌションアヌキテクトです。埓来型のデヌタセンタヌネットワヌクの分野でキャリアをスタヌトし、2018幎に AWS に入瀟したした。AWS では、クラりドネットワヌキング゜リュヌションの蚭蚈に泚力し、AWS クラりドでネットワヌクを構築するためのガむダンスずベストプラクティスを提䟛しおいたす。仕事以倖では、旅行、新しい料理の開拓、ハむキングを楜しみ、二茪車ず四茪車の運転ぞの情熱を燃やしおいたす。 Akeef Khan Akeef Khan は、オヌストラリアのシドニヌを拠点ずする Amazon Web Services の゜リュヌションアヌキテクトです。Cross-Industries セグメントのお客様を担圓し、小売業や QSRクむックサヌビスレストランの組織が AWS を採甚、運甚、スケヌルできるよう支揎しおいたす。圌の専門分野はネットワヌキングであり、AWS のサヌビスを䜿っおお客様のグロヌバルなネットワヌク接続をシンプルにするこずに情熱を泚いでいたす。仕事以倖では、新しいテクノロゞヌの探求ず継続的な孊習を楜しんでいたす。 翻蚳は Solutions Architect の田村 倧地が担圓したした。原文は こちら です。

動画

曞籍