目次
Transit GatewayとVPC Peeringの違いのまとめ
| 用途 | 接続形態 | 規模 | |
|---|---|---|---|
| Transit Gateway | 複数のVPC・オンプレ・VPNを集約してハブ接続 | ハブ&スポーク型 (中央集約) | 中〜大規模 |
| VPC Peering | 2つのVPCを直接接続 | 1対1のVPC間の直接ルート | 小規模 |
Transit Gatewayとは
複数のVPCやオンプレミスネットワークを一元的に星型(ハブ&スポーク型)で接続するのネットワークハブサービスです。
ルートテーブルには、tgw-と表記されます。
Transit Gateway がない場合
通常、2つのVPCを接続するにはVPCピアリングを使います。
しかし、VPCの数が増えて例えば10個のVPCを互いに繋ごうとすると、45本もの接続設定が必要になります(これをフルメッシュ構造と呼びます)。
接続数が増えるほど、ルートテーブル(経路情報)の更新や管理が困難になります。
Transit Gatewayであれば、すべてのVPCが中心のハブに接続するだけで済むため、管理がシンプルになります。
メリット
| 運用の簡素化 | 新しいVPCを追加する際、Transit Gatewayに1本繋ぐだけで既存の全ネットワークと通信可能になります。 |
| 一元管理 | 通信のルーティングポリシーやセキュリティを一箇所で制御できます。 |
| オンプレミス連携 | Direct ConnectやVPNをTransit Gatewayに接続することで、社内ネットワークから複数のVPCへ一気にアクセスできます。 |
| マルチアカウント対応 | 組織(AWS Organizations)内の異なるアカウントにあるVPC同士も簡単に接続できます。 |
接続できるもの
| 接続先 | 接続方法 |
|---|---|
| 同一リージョンのVPC | VPCアタッチメント |
| 別リージョンのVPC | Transit Gateway ピアリング |
| オンプレミス | VPN アタッチメント |
| 専用線(Direct Connect) | Direct Connect Gateway 経由 |
| 別アカウントのVPC | Resource Access Manager(RAM)で共有 |
料金の考え方
Transit Gatewayは以下の2軸で課金されます。
| 課金対象 | 内容 |
|---|---|
| アタッチメント料金 | 接続しているだけで発生(通信しなくても課金) |
| データ転送料金 | Transit Gatewayを通過したデータ量 |
Transit Gatewayはネットワーク構成が複雑になる中〜大規模なAWS環境で特に威力を発揮します。
複数VPC・複数アカウント・オンプレミス接続が絡む場合は、Transit Gatewayで一元管理するのがベストプラクティスです。
VPC Peeringとは
VPC Peering(VPCピアリング)とは、2つのVPCを直接つないで通信できるようにする仕組みです。
ルートテーブルには、pcx-と表記されます。
主な特徴
- インターネットを経由しない
- パブリックIPアドレスやインターネットゲートウェイが不要
- Transit Gatewayのような中間ハブが不要
- 直接接続のため低コスト
設定の流れ
- VPC-Aの所有者がピアリング接続をリクエスト
- VPC-Bの所有者がリクエストを承認
- 両方のVPCのルートテーブルにルートを追加
- セキュリティグループ・NACLで通信を許可
- プライベートIPで相互通信が可能に
制約事項
- 接続する2つのVPCでIPアドレス範囲(CIDRブロック)が重なっていると、ピアリングは設定できません。
- VPC AとVPC Bが繋がっていて、VPC BとVPC Cが繋がっていても、VPC AからVPC Cへ通信することはできません。AとCを繋ぐには、別途AとCの間でピアリングを貼る必要があります。
- あくまで1対1の接続です。数が増えると網目状(フルメッシュ)になり、管理が複雑化します。
関連の記事