はじめに
この度はTransit Gatewayの意味を深めるにあたって、リージョン間通信を用いて
東京↔バージニア北部間でec2の疎通確認を実施したいと思います。
初めて勉強しますと言う方に向けた記事になりますので、よろしくお願いいたします。
構成
・VPC 2個
・Transit Gataway 2個
・EC2 インスタンス 2台
・Transit Gataway ルートテーブル 2個(東京)
・Transit Gataway ルートテーブル 2個(バージニア)
・Transit Gataway Attachment 2個(東京)
・Transit Gataway Attachment 2個(バージニア)
※構成図更新予定
手順概要
手順の概要を簡潔にまとめています。
1.東京リージョン(10.0.0.0/16)/バージニア北部リージョン(192.16.0.0/16)VPC作成
→サブネット,EC2インスタンスの作成も必要
2.TGWの作成
・TGWの作成(バージニア)
・TGW Attachmentの作成
・TGWの作成(東京)
・TGW Attachmentの作成
・TGW Attachment (Peering)の作成(どちらのリージョンでも作成出来ます)
・TGW Attachment (Peering)の承認(東京)
※TGW Attachment (Peering)は今回はバージニア北部のリージョンで作成します
3.TGW ルートテーブルのルート設定(VPC側のRT,Peering側のRT)
・VPCのルートテーブル設定
・TGW ルートテーブル2個作成(VPC側のRT,Peering側のRT)
・通信先の相手側リージョンのルートを設定
4.インスタンスのリージョン間疎通確認
・pingで疎通確認
手順
●1.東京リージョン(10.0.0.0/16)/バージニア北部リージョン(192.16.0.0/16)VPC作成
以下の内容で事前準備で作成する。
VPC 10.0.0.0/16(東京) 192.16.0.0/16(バージニア北部)
サブネット 10.0.0.0/24(東京)192.16.0.0/24(バージニア北部)
EC2インスタンス 2台
●2.TGWの作成(バージニア,東京)
①TGW(バージニア)作成を行う。
※赤枠の箇所はチェックボックスを外す
今回デフォルトは使わずに通信させたい任意のVPCの設定を行います。
②TGW(バージニア)Attachmentの作成を行う。
①で作成したTGWに紐づけを行い、バージニア北部リージョン(192.16.0.0/16)のVPCにアタッチする。
③TGWの作成(東京)・TGW Attachmentの作成
①同様にTGWの作成を行い、②同様に10.0.0.0/16(東京)のVPCにアタッチを行い
TGW Attachmentの作成を行う。
④TGW Attachment (Peering)の作成(バージニア)
リージョン間の通信を行うために、TGW Attachment (Peering)を作成します。
どちらのリージョンでも作成は出来ますが今回はバージニアで作成をしています。
アタッチメントタイプは「Peering Connection」を選択して、リージョン間通信を行いたい
リージョンを選択してTGW(東京)のIDを入力して、アタッチメントを作成する。
※名前はリージョンごとに分かりやすく記載することをおススメします
作成後は以下のように表示されます。(バージニア)
状態が「Initiating Request」と表示されるので相手側のリージョンで承認が必要になります。
※相手側のリージョンで承認がされると状態が「Available」と表示される
■承認前
■承認後
こちら相手側リージョンの表示画面です。(東京)
対象のTGW Attachment (Peering)を選択して、アクションから「承諾」を押すと承認することが出来ます。
※東京の方は名前タグがないので任意で分かりやすい表記名にすることをおススメします
●3.TGW ルートテーブルのルート設定(VPC側のRT,Peering側のRT)
①VPCのルートテーブル設定
TGW ルートテーブルの作成を行う前にVPC側のルートテーブルの設定を行います。
■バージニア
対象VPC(バージニア)のルートテーブルから相手側リージョン(東京)のルートを
追加する。送信先は10.0.0.0/24(東京)にTGW(バージニア)をターゲットに追加を行う。
■東京
対象VPC(東京)のルートテーブルから相手側リージョン(バージニア)のルートを
追加する。送信先は192.16.0.0/24(バージニア)にTGW(東京)をターゲットに追加を行う。
②TGWルートテーブルの作成(VPC側のRT,Peering側のRT,バージニア)
■TGWルートテーブル作成(VPC側のRT,バージニア)
任意の名前を付けて、ルートテーブルを作成する
■TGWルートテーブル作成(Peering側のRT,バージニア)
任意の名前を付けて、ルートテーブルを作成する
③TGWルートテーブルのルート設定
■TGWルートテーブルのルート設定(VPC側のRT,バージニア)
10.0.0.0/24(東京)に接続をするため、アタッチメントは
TGW Attachment(Peering)を追加する。
■TGWルートテーブルのルート関連付け(VPC側のRT,バージニア)
経路を作成した後は「関連付け」よりアタッチメントのアタッチが必要になります。
「関連付け」していない場合は作成した「ルート」に情報が届かないので接続が出来なくなります。今回はアタッチするのはTGW Attachment(VPC側)を追加する。
■TGWルートテーブル(Peering側のRT,バージニア)
192.168.0.0/24(バージニア)の経路をTGW Attachment(VPC側)を追加する。
■TGWルートテーブルのルート関連付け(Peering側のRT,バージニア)
アタッチするのはTGW Attachment(Peering)を追加する。
④TGWルートテーブルの作成(VPC側のRT,Peering側のRT,東京)
■TGWルートテーブル作成(VPC側のRT,東京)
②同様にルートテーブルを作成する。
■TGWルートテーブル(Peering側のRT,東京)
②同様ににルートテーブルを作成する。
⑤TGWルートテーブルのルート設定(東京)
■TGWルートテーブルのルート設定(VPC側のRT,東京)
192.168.0.0/24(バージニア)に接続をするため、アタッチメントは
TGW Attachment(Peering)を追加する。
■TGWルートテーブルのルート関連付け(VPC側のRT,東京)
今回アタッチするのはTGW Attachment(VPC側)を追加する。
■TGWルートテーブルのルート設定(Peering側のRT,東京)
10.0.0.0/24(東京)の経路をTGW Attachment(VPC側)を追加する。
■TGWルートテーブルのルート関連付け(Peering側のRT,東京)
アタッチメントはTGW Attachment(Peering)を追加する。
●4.EC2インスタンス疎通確認
問題なく疎通確認できるようになりました。
EC2(バージニア)
EC2(東京)
注意点
■セキュリティグループ(SG)
TGW側の問題も全く見当たらなかったので真っ先に見るべきSGを確認したところ
SGはssh(22)だけインバウンドで開けていましたが、通信が出来ませんでした。
私は全てのトラフィックを追加して開けることで通信に成功することが出来ました。
・インバウンドルール(SG)
すべてのトラフィック すべて すべて 0.0.0.0/0 ※推奨しません
SSH TCP 22 0.0.0.0/0 ※推奨しません
■Transit Gatewayアソシエーション
ルートテーブルを設定したから大丈夫。だと思っていましたが
設定したルートテーブルをアタッチしないとルートの道のりが反映されないことを
知り、設定を見直したところ紐づけていなくいつまで経っても繋がりませんでした。
念のために詰まってしまったので今回手順に含んでみました(笑)
まとめ
TGWの知識が全くなかったので知見をもっと増やしたいと思いました。
ネットワークに苦手意識があるのでこれを機にどんどん検証進めていきたいと思います。
また構成図等も記載して後日、更新したいと思っています。(理解がより深まると思いました)記事を最後まで見ていただいて、ありがとうございました。