AWS認定資格 WEB問題集&徹底解説

CloudOpsエンジニア -アソシエイト

AWS Transit Gateway の概要と試験出題ポイントは?

AWSサービスの一つであるAWS Transit Gatewayはどんな内容なのでしょうか?また、AWS認定資格のSysOpsアドミニストレーター -アソシエイト(SOA)に合格するためには、サービスのどんなポイントを押さえておけばよいのでしょうか?
ここでは、そんなあなたの疑問に回答していきたいと思います

AWS Transit Gateway 徹底解説 | AWS認定試験の頻出ポイントまとめ

1. サービス概要

AWS Transit Gateway(TGW)は、複数のVPCとオンプレミスネットワークをハブアンドスポーク型で一元的に接続するネットワークトランジットハブです。VPCピアリングのメッシュ構成が不要になり、大規模なネットワーク設計を大幅に簡略化できます。

VPC同士はTGWを経由してルーティングされるため、N個のVPCを接続する際にVPCピアリングでは最大N*(N-1)/2本の接続が必要なところ、TGWではN本のアタッチメントだけで済みます。

2. 主な特徴と機能

2.1 アタッチメントの種類

  • VPCアタッチメント: VPCをTGWに接続(同一リージョン内)。
  • Site-to-Site VPNアタッチメント: オンプレミスVPNデバイスをTGWに直接接続(VGW不要)。ECMP対応で複数VPN接続の帯域を束ねてスループット向上。
  • Direct Connectアタッチメント(トランジットVIF): Direct Connect GatewayをTGWに接続。
  • TGWピアリングアタッチメント: 異なるリージョンのTGW同士をピアリング(クロスリージョン接続)。

2.2 TGWルートテーブル

TGWには独立したルートテーブルがあり、アタッチメントごとにルーティングポリシーを制御できます。ルートテーブルを分離することで、特定のVPC間の通信を遮断するネットワーク分離(セグメンテーション)を実現できます。

  • デフォルトルートテーブル: 全アタッチメントが同一ルートテーブルを共有(簡易構成)。
  • カスタムルートテーブル: アタッチメントごとに異なるルートテーブルを割り当てて通信セグメントを分離。

2.3 マルチキャスト

TGWはマルチキャストトラフィックのルーティングをサポート(マルチキャストドメインの設定が必要)。

2.4 AWS Network Manager

TGWを使ったグローバルネットワークをNetwork Managerで可視化・監視できます。

3. アーキテクチャおよび技術要素

  1. 各VPC・VPN・Direct ConnectをTGWにアタッチ(各アタッチメントはENIを介してTGWに接続)。
  2. TGWルートテーブルで各アタッチメント間のルーティングを定義。
  3. VPCのルートテーブルにTGW向けの静的ルート(0.0.0.0/0またはスポークVPC向けCIDR)を設定。

注意: TGWはリージョンサービス(単一リージョン内でVPC・VPN・DXを接続)。クロスリージョンはTGWピアリングを使用。

4. セキュリティと認証・認可

  • ルートテーブル分離: 本番・開発・ステージング環境のVPCを異なるルートテーブルに割り当て、意図しない通信を遮断。
  • ネットワークACL・セキュリティグループ: TGWを通過する通信も各VPCのNACL・SGで制御できる。
  • RAM(Resource Access Manager): 組織内の他アカウントとTGWを共有してクロスアカウント接続を実現。

5. 料金形態

  • アタッチメント時間: TGWアタッチメント(VPC/VPN/DX/ピアリング)の時間課金。
  • データ処理: TGWを通過したデータ量(GB)に課金。

6. よくあるアーキテクチャ・設計パターン

  • ハブアンドスポーク(集中ルーティング): TGWをハブに全VPCをスポークとして接続。共有サービスVPC(ログ集約・セキュリティスキャン)を全VPCから利用可能。
  • 集中型インターネット接続: Egress VPC(NAT Gateway/Firewall配置)をTGWに接続し、全スポークVPCのインターネットトラフィックを集中管理。
  • ハイブリッドネットワーク: TGW + Direct Connect Gateway + Transit VIFで複数リージョン・複数VPCをオンプレミスから一元アクセス。

7. 設定・デプロイ手順(ハンズオン例)

  1. VPCコンソールでTransit Gatewayを作成(ASN・デフォルトルートテーブル設定)。
  2. 各VPCでTransit Gatewayアタッチメントを作成(サブネット選択)。
  3. TGWルートテーブルにルートを追加(または自動伝播を有効化)。
  4. 各VPCのルートテーブルにTGW向けルートを追加(例: 10.0.0.0/8 → tgw-xxxxx)。

8. 試験で問われやすいポイント

8.1 Transit Gateway vs VPCピアリング

  • Q: 多数のVPCを接続する最もスケーラブルな方法は?
    A: Transit Gateway(ハブアンドスポーク)。VPCピアリングは推移的ルーティング不可でN*(N-1)/2本が必要。TGWはN本のアタッチメントで集約。
  • Q: VPCピアリングとTGWの大きな違いは?
    A: VPCピアリングは推移的ルーティング不可(A→B→Cの通信はできない)。TGWはルートテーブルで推移的ルーティングを制御可能。

8.2 TGWのルートテーブル分離

  • Q: TGWで本番VPCと開発VPCの通信を遮断するには?
    A: カスタムルートテーブルを作成して本番・開発アタッチメントを別ルートテーブルに割り当てる(ルートテーブル分離)。

8.3 クロスアカウント共有

  • Q: 複数アカウントのVPCを1つのTGWに接続するには?
    A: AWS Resource Access Manager(RAM)でTGWを組織内の他アカウントと共有し、各アカウントからアタッチメントを作成。

8.4 VPN ECMP

  • Q: TGW経由のVPN接続で帯域幅を増やすには?
    A: ECMPを有効化して複数のVPN接続を並列利用(各VPN接続1.25Gbps × 本数でスループット向上)。
広告

お役立ち情報

姉妹サイト

アンケート

サイト情報