1. はじめに
以下の発表記載のあるとおり、Transit Gatewayが複数アカウント間通信をサポートするようになったので、試してみた。
https://www.ibm.com/blogs/solutions/jp-ja/ibm-cloud-transit-gateway-multi-account-support-now-available/
(2021/3/31追記)
Transit Gatewayは別アカウントのClassic Infrastructureとの接続もサポートされるようになりました。詳細はこちら。
https://qiita.com/testnin2/items/a57fc659c82d99ba0602
2. 仕様の確認
-
自アカウントのTransit Gatewayから別アカウントで接続できる対象はVPCのみであり、別アカウントのClassic Infrastructureには接続できない。(2021/3/31)自アカウントのTransit Gatewayから別アカウントで接続できる対象はVPCだけでなくClassic Infrastructureも対象となりました。 - 別アカウントのVPCへの接続は、いったんTransit Gatewayを作成した後の追加作業で行う。
https://cloud.ibm.com/docs/transit-gateway?topic=transit-gateway-ordering-transit-gateway
To add them later, refer to Adding a connection. Cross account (VPC only) connections can only be added later, after you provision the gateway.
- Cross Account接続で許容される接続は10まで。ただし、例外承認を取れば10以上も接続できるようだ。
https://cloud.ibm.com/docs/transit-gateway?topic=transit-gateway-faqs-for-transit-gateway#connections
https://cloud.ibm.com/docs/transit-gateway?topic=transit-gateway-edit-gateway#adding-cross-account-connections
Q: How many connection requests can I make from one account to VPCs in other IBM Cloud accounts?
A: Each gateway is only permitted to have 10 outstanding requests for a cross account connection.Tip: Only 10 pending requests are allowed per gateway. To create more requests, you can cancel the pending connection request, or wait for it to be approved. Connection requests expire if not approved within 72 hours.
3. 接続方法
既に、Account-Aに、VPCおよびClassic Infrastructureが存在し、TransitGatewayがすでに存在しているとする。この状態から、Account-BのVPCに接続するようにしたい。
なお、IBM Cloud docs上に記載されている手順はここにある。
3-1. (Account-B作業)接続対象のVPCのCRNを調査する。
Resource Listを選択
Virtual Private Cloudでフィルタリングし、対象のVPCを見つけたら、その行を選択する。すると右側にCRN情報が表示されるのでコピーしておく。
3-2. (Account-A作業)Transit GatewayにAccount BのVPCを追加リクエストする
3-3. (Account-B作業)承認作業
Transit Gatewayにて新たにTransit Gatewayが追加されている。
Approveを選択
こちらもApproveを選択
承認された。
3-4. (Account-A作業)
こちらも最終的に全てがAttached状態になった。
4 接続テスト
相互接続できることが確認できた(Classic Infrastructureのサーバーから、172.16.xx.xへの経路がBCRに転送されるようにstatic routeを構成済み)
Account-A VPCのVSI: vpca(172.16.0.4)
Account-A classicのVSI: classic(10.192.27.2)
Account-B VPCのVSI: vpcb(172.16.100.4)
# AccountA-VPC -> AccountA-Classic Infrastructure
[root@vpca ~]# ping 10.192.27.2
PING 10.192.27.2 (10.192.27.2) 56(84) bytes of data.
64 bytes from 10.192.27.2: icmp_seq=1 ttl=55 time=1.70 ms
64 bytes from 10.192.27.2: icmp_seq=2 ttl=55 time=1.65 ms
64 bytes from 10.192.27.2: icmp_seq=3 ttl=55 time=1.69 ms
64 bytes from 10.192.27.2: icmp_seq=4 ttl=55 time=1.76 ms
# AccountA-VPC -> AccountB-VPC
[root@vpca ~]# ping 172.16.100.4
PING 172.16.100.4 (172.16.100.4) 56(84) bytes of data.
64 bytes from 172.16.100.4: icmp_seq=1 ttl=59 time=0.804 ms
64 bytes from 172.16.100.4: icmp_seq=2 ttl=59 time=1.70 ms
64 bytes from 172.16.100.4: icmp_seq=3 ttl=59 time=0.784 ms
64 bytes from 172.16.100.4: icmp_seq=4 ttl=59 time=0.761 ms
# AccountA-Classic Infrastructure -> AccountA-VPC
[root@classic ~]# ping 172.16.0.4
PING 172.16.0.4 (172.16.0.4) 56(84) bytes of data.
64 bytes from 172.16.0.4: icmp_seq=1 ttl=55 time=1.97 ms
64 bytes from 172.16.0.4: icmp_seq=2 ttl=55 time=8.43 ms
64 bytes from 172.16.0.4: icmp_seq=3 ttl=55 time=1.83 ms
64 bytes from 172.16.0.4: icmp_seq=4 ttl=55 time=1.73 ms
# AccountA-Classic Infrastructure -> AccountB-VPC
[root@classic ~]# ping 172.16.100.4
PING 172.16.100.4 (172.16.100.4) 56(84) bytes of data.
64 bytes from 172.16.100.4: icmp_seq=1 ttl=55 time=1.69 ms
64 bytes from 172.16.100.4: icmp_seq=2 ttl=55 time=2.11 ms
64 bytes from 172.16.100.4: icmp_seq=3 ttl=55 time=1.66 ms
64 bytes from 172.16.100.4: icmp_seq=4 ttl=55 time=1.68 ms
# AccountB-VPC -> AccountA-VPC
[root@vpcb ~]# ping 172.16.0.4
PING 172.16.0.4 (172.16.0.4) 56(84) bytes of data.
64 bytes from 172.16.0.4: icmp_seq=1 ttl=59 time=0.823 ms
64 bytes from 172.16.0.4: icmp_seq=2 ttl=59 time=0.745 ms
64 bytes from 172.16.0.4: icmp_seq=3 ttl=59 time=0.774 ms
64 bytes from 172.16.0.4: icmp_seq=4 ttl=59 time=0.719 ms
#AccountB-VPC -> AccountA-Classic Infrastructure
[root@vpcb ~]# ping 10.192.27.2
PING 10.192.27.2 (10.192.27.2) 56(84) bytes of data.
64 bytes from 10.192.27.2: icmp_seq=1 ttl=55 time=1.69 ms
64 bytes from 10.192.27.2: icmp_seq=2 ttl=55 time=1.63 ms
64 bytes from 10.192.27.2: icmp_seq=3 ttl=55 time=1.68 ms
64 bytes from 10.192.27.2: icmp_seq=4 ttl=55 time=1.61 ms