複数のVPCを拠点間で接続する方法

Pulisher : Strategic Tech Center キム・ソンホ
Description：AWS Network連動方式についての紹介と様々な事例について話すChalk Talkセッション

はじめに

マルチアカウントやハイブリッド環境での複雑なネットワーク連動方法についての新しいトレンドを確認したかったので、共通アーキテクチャや様々なオプションなどについて学ぶ機会としてセッションを申し込みました。

セッションの概要紹介

本セッションは300レベルであり、様々なAWS Network連動方式についてOverviewを先に行った後、様々な事例について議論する方式で進行するセッションです。

まず、様々なVPCネットワーク連動方式に対するアーキテクチャ構成図を示し、各方式の構成方式及びオプションについて説明しています。

VPC Sharing, VPC Peering, Trangit gateway, Transit Peering

各構成別の接続オプション、Routing方式、制約事項なども説明します。

RAM(Resource Access Manager)を利用してAccount間Shareする構成です。

このような方式の複雑なPeeringは、ネットワーク構成の中央管理が難しいでしょう。

多数のAWS VPCとOn-Premise間のTransit gatewayにSite-to-Site VPNを連動して中央集中型Hybridネットワークを構成する方式です。DX(Direct Connect)連動方式も同様の構造です。

リージョン(Region)間のPrivate連動に便利なTransit gateway Peering連動方式です。

AWS Cloud WANは、クラウドおよびオンプレミス環境で実行されるリソースを接続する統合グローバルネットワークを構築、管理、監視するために使用できるマネージドWAN（広域ネットワーク）サービスです。

AWS Cloud WANの5つのネットワーク概念は以下の通りです。

・グローバルネットワーク：ネットワークオブジェクトの高レベルコンテナで、AWS Transit Gatewaysや他のAWS Cloud WANコアネットワークを含めることができます。

・Core network: AWSが管理するグローバルネットワークの一部で、Regional接続ポイントとVPN、VPC、Transit Gateway Connectsなどの接続(Attachment)が含まれます。

・Core Network Edge：コアネットワークポリシーで定義された各RegionのRegional接続ポイントで、AWS Transit Gatewayを基盤とし、堅牢なネットワークを形成します。

・Segment : セグメント間のルーティング動作を定義し、接続をセグメントにマッピングする方法を含めてルーティングを管理します。

・Core network policy : コアネットワークに適用される単一の文書で、様々な設定を定義してネットワークを構成する役割をします。

タグ(TAG)はAWS Cloud WANで重要な役割を果たします。Core Networkでは、すべての接続(Attachment)は、接続ポリシーを使用して接続をセグメントにマッピングします。 各接続にセグメントを手動で接続する代わりに、接続にタグを追加することができます。 その後、タグを使用して、接続ポリシーで定義されたとおりに目的のセグメントに接続することができます。

作成されたユーザーを選択します。

その後、出席者の回答とSpeekerの回答が続き、記憶に残る部分は以下の通りです。

・参加者：すべてのVPCで重複しないIPのアドレス空間が必要ですか？ 二つのVPCでIPが重複するサブネットを持っているが、ユニークなのはトランジットゲートウェイ接続サブネットである場合もあるのでしょうか？ (Cloud WAN環境でのIP重複についての悩みを質問したようです。)

・Speeker 回答 : トランジットゲートウェイはVPCではなく(VPC Peeringのように)特定のサブネットと接続することが可能です。

セッションを終えて

Chalk Talkセッションのため、セッション後半は参加者からの様々な質問と回答が交わされ、急遽終了となりました。 言語的な制限のため、質問や回答などについてよく理解できなかったのが残念でしたが、AWSのグローバルネットワークについて少しでも理解できる時間でした。