こんにちは、SCSK横山です。
先日、ある案件でSite-to-Site VPNが存在するVPCに新たにSite-to-Site VPNを接続する案件がありました。
いろいろと方式を考えることが多かったため、皆様に共有したいと思います。
既存の環境
VPCにVGW経由でSite-to-Site VPNが接続されていました。
全通信をDC Aに送るため、BGPにて0.0.0.0/0がアドバタイズされている状態でした。
実現したいこと
DC Bにデフォルトルートを向きを変え、一部通信をDC Aに送る、という構成に切り替える形です。
DC Bとの接続はIPSec VPNで、という要件があり、Site-to-Site VPNを新たに構築する必要がありました。
構成案
構成案1
現在のVGWからSite-to-Site VPNをもう一本確立する案です。
この案の課題は現在DC Aに0.0.0.0/0でBGPにてルートがアドバタイズされているため、そのルート情報を一部通信のみに切り替えたのち、DC Bの接続を確立するため、作業完了まで時間がかかる案です。
構成案2
現在のSite-to-Site構成はそのままにTransit Gatewayを新設し、各サブネットのルート情報を書き換える案です。
この構成の課題は新たにTransit Gatewayを構築する必要がありますが、既存のVPN接続の設定変更がいらないため、作業完了まで短期間で構築することができる案です。またTransit Gatewayには各AZごとに専用サブネットが必要となりますが、今回予備のCIDRレンジがあり、実現可能な案となりました。
他の案
上記案以外にも案がでました。
- 単純にVPNを新設すればよい
- MarketplaceでVPNアプライアンスを購入する
VPN新設案は1VPCあたり1VGWという制限により実現不可でした(以下図)。
また、MarketplaceでVPNアプライアンスを購入する案はコスト面から見送りとなりました。
採用案
ネットワーク構成的には案1のほうがあるべき姿なのかもしれませんが、案件のコンディションから、今回はVPNの開設期間を優先して、案2を採用することとしました。
まとめ
あまりデフォルトルートを切り替えるネットワーク案件はないかと思いますが、このような案件に巡り合った際の参考になれば幸いです。Transit Gatewayに触れる機会があまりなかったので、メンバーともにいい経験となりました。
このブログではTrasit Gatewayの構築は触れておりませんが、用語さえ押さえれば非常に簡単に構築できました。Transit Gatewayの詳細についてはBlackBeltが参考になります。
