2
1

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@pommny_dev(Pommny)

Transit Gateway攻略 ②-2Tranit Gateway Network Managerを使ってリージョン間のTGW接続を可視化する

2
Posted at

はじめに

前回の記事では、AWS Transit Gateway Peering を利用したリージョン間の接続方式について整理しました。

過去の記事
Transit Gateway攻略 ①VPC間接続のキホン
https://qiita.com/pommny_dev/items/58f3fdd7cb8b97af6a61

Transit Gateway攻略 ②-1 Transit Gatewayをピアリングしてリージョン間を接続
https://qiita.com/pommny_dev/items/973311d7817a90abff7f

実際のエンタープライズ環境では、複数リージョン・複数VPCを跨いだ接続を行うケースも多く、構成が複雑になるにつれて「どのVPCがどのTransit Gatewayに繋がっているのか」「ピアリング状態は正常か」といった把握が難しくなってきます。

今回は、それらの課題を解決するために提供されているサービス Transit Gateway Network Manager を紹介します。
本記事では、サービスの概要と出来ることを簡単に整理し、セットアップ手順と確認方法をまとめていきます。

Network Managerとは

Network Manager は、AWS が提供するネットワーク可視化・モニタリングのためのサービスです。
複数の Transit Gateway、VPC、VPN、Direct Connect を含む 広域ネットワーク構成を一元的に可視化・監視 できるのが特徴です。

主な機能

  • トポロジの可視化
    登録した Transit Gateway や VPC、Peering 接続を自動で図式化し、コンソール上で直感的に確認できます。

  • Peering 接続の状態確認
    複数リージョンに展開された Transit Gateway 間のピアリング接続が正しく確立されているかをステータスで確認可能です。

  • ルーティング/アタッチメントの関連性把握
    各 VPC、VPN、Direct Connect がどの Transit Gateway に紐づいているか、またルート伝播がどう設定されているかを可視化できます。

  • CloudWatch メトリクス連携
    Transit Gateway のトラフィックメトリクス(バイト数・パケット数)を CloudWatch から取り込み、可視化に活用可能です。

セットアップ・確認手順(概観)

Transit Gateway Network Manager を利用するには、大きく以下のステップでセットアップを行います。
本章では全体の流れを俯瞰し、次章以降でそれぞれの操作を詳しく説明していきます。

① Network Manager の有効化

  • AWS マネジメントコンソールから VPC → Network Manager を選択し、利用を開始します。
  • Network Manager の単位として「Global Network」を作成します。
    • Global Network は、複数リージョンに跨る Transit Gateway・VPC・オンプレ接続を一元管理するためのコンテナのような役割を持ちます。

② Transit Gateway の関連付け

  • 作成済みの Transit Gateway を Global Network にアタッチ します。
  • 必要に応じて、複数リージョン・複数アカウントの TGW を登録可能です。
  • これにより、Network Manager 上で各 TGW 間の関係性を可視化できるようになります。

③ Transit Gateway Peering 接続の可視化・確認

  • Network Manager のトポロジビューにて、Transit Gateway Peering の状態を確認します。
  • pendingAcceptance / available / deleting などのステータスを直感的に把握できます。
  • ルートアナライザーを使って、リージョン間のアタッチメント同士の疎通可否を確認することが出来ます。

これらのステップを通じて、Transit Gateway Network Manager を使った「リージョン間接続の可視化」が実現できます。

ステップ1. Network Manager の有効化

まずは Network Manager を有効化し、管理単位となる「グローバルネットワーク」を作成します。

  • Network Manager 画面を開く
    AWS マネジメントコンソールからNetwork Manager コンソールにアクセスします。
    image.png

  • 左メニューから グローバルネットワーク を選択し、右上の 「グローバルネットワークを作成」 をクリックします。
    image.png

  • グローバルネットワークの名前を入力します。
    image.png

  • 追加設定は省略可能です。
    入力後、「次へ」 をクリックします。
    image.png

  • 設定内容を確認し、**「グローバルネットワークを作成」**を押下します。
    image.png

  • 正常に作成されました。
    image.png

ステップ2. Transit Gateway の関連付け

次に、作成したグローバルネットワークに Transit Gateway を関連付けます。
これにより、Network Manager 上で TGW の状態やリージョン間接続を可視化できるようになります。

  • グローバルネットワーク作成完了後、対象のネットワーク(例: tgw-handson-globa-network-01)の概要画面を開きます。
    インベントリの項目では、現時点では Transit Gateway がまだ 0 件であることが確認できます。

image.png

  • 左メニューまたはタブから Transit Gateway を選択し、
    画面右上の 「Transit Gateway を登録」 をクリックします。
    image.png

  • 関連付けたい Transit Gateway が存在する AWS アカウント を選択します。

  • アカウント内に存在する Transit Gateway の一覧が表示されます。
    ここでは前章までで作成した東京と大阪のTGWを選択します。

  • 選択が完了したら、「Transit Gatewayを登録」を押下します。
    image.png

  • 登録が完了すると、Transit Gateway 一覧に対象 TGW が表示され、状態が「Available」 となります。
    image.png

  • さらに、グローバルネットワークのインベントリでも、Transit Gateway が 2 件追加されたことを確認できます。
    image.png

これで、グローバルネットワークに Transit Gateway を関連付けることができました。
次のステップ以降で実際にTransit Gateway Peering 接続の可視化 を確認していきます。

ステップ3. Transit Gateway Peering 接続の可視化・確認

グローバルネットワークに Transit Gateway を関連付けたら、次は ピアリング接続の状態を可視化 して確認します。
Network Manager の「トポロジ」ビューを利用することで、リージョンを跨いだ Transit Gateway の関係性を直感的に把握できます。

地域の表示

グローバルネットワークの画面から 「地域」タブ を開くと、リージョン間の接続状況が可視化されていて、地理的な接続が視覚的に確認出来ます。
オレンジ色の線が Transit Gateway Peering 接続を表し、接続が確立していることを視覚的に確認できます。

image.png

トポロジツリーの表示

グローバルネットワークの画面から 「トポロジツリー」タブ を開くと、Global Networkに登録済みの Transit Gateway とそれに紐づくVPCがツリー上に可視化されています。
下図の例では、先ほど作成したGlobal Networkに2つのTransit Gatewayが登録されており、それぞれに4つ・2つのVPCが紐づいていることが確認出来ます。
image.png

ルートアナライザーで経路を検証

トポロジビューだけでなく、ルートアナライザー 機能を使うことで、実際に指定したアタッチメント間で経路が正しく到達するかを検証できます。

今回は前章までで作成した東京・大阪間のアタッチメントの疎通を確認してみます。

  • 送信元

    • Transit Gateway: tgw-handson-tgw-01 (ap-northeast-1)
    • アタッチメント: tgw-handson-prod-att-01(本番環境VPC①)
    • IP アドレス例: 10.10.10.42 (疎通確認用サーバのIPアドレス)

  • 宛先

    • Transit Gateway: tgw-handson-dr-tgw-01 (ap-northeast-3)
    • アタッチメント: tgw-handson-dr-att-01(DR環境VPC①)
    • IP アドレス例: 10.10.11.59 (疎通確認用サーバのIPアドレス)

入力後、「ルート分析を実行」 をクリックすると結果が表示されます。
image.png

結果が表示され、以下のような情報が得られました。
image.png

  • 経路が実際に 到達可能 (Connected) であるか
  • 通過する Transit Gateway / アタッチメント / ピアリング接続 の一覧

特に、類似サービスのVPC Reachability Analyzerでは戻りの通信までは分析不可であるのに対して、Transit Gateway Network Managerは戻りの通信まで評価してくれます。

ただし、以下は評価対象外です。
あくまで、アタッチメント to アタッチメントのルーティングの評価を行います。

  • VPCのNACLの評価
  • VPC・サブネットのルーティング
  • サーバにアタッチされたSG

スクショ例では、東京側の VPC (10.10.10.42) から大阪側の VPC (10.10.11.59) への通信が
「到達可能です」 と判定されており、Transit Gateway Peering を経由して正しく疎通できることが確認できました。

モニタリングで各TGWを経由する通信を可視化

モニタリング機能では、各TGWを経由した通信のメトリクスを取得することが出来ます。
(詳細割愛)
image.png

まとめ

今回は Transit Gateway Network Manager を使って、リージョン間の Transit Gateway 接続を可視化する方法を紹介しました。

  • グローバルネットワークを作成 し、複数の Transit Gateway を一元管理
  • トポロジビュー・地理 で TGW 間の接続状況を直感的に把握
  • ルートアナライザー を用いて実際の経路を検証し、疎通可否を確認

Network Manager を利用することで、複雑になりがちなマルチリージョン接続の構成を俯瞰でき、設計・運用の両面で大きなメリットがありそうです。
特に障害調査や運用監視において、「どの TGW がどこと繋がっているか」をすぐに確認できる点は非常に有用そうなので、機会があればまた触ってみたいと思います。

2
1
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
2
1

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?