ヤマムギ

growing hard days.

*

Transit GatewayポリシーテーブルでCloud WANのコアネットワークに接続しました

   

「ポリシーテーブルってなんですか?」のご質問をいただいたので設定してみました。

VPCのドキュメントTransit Gateway ポリシーテーブルを見ると、

「Transit Gateway の動的ルーティングでは、ポリシーテーブルを使用してネットワークトラフィックが AWS Cloud WAN にルーティングされます。このテーブルには、ポリシー属性によってネットワークトラフィックを照合するためのポリシールールが含まれ、ルールに一致するトラフィックがターゲットルートテーブルにマッピングされます。」

とあり、

「トランジットゲートウェイポリシーテーブルは現在、トランジットゲートウェイピア接続を作成するときに、Cloud WAN でのみサポートされています ピアリング接続を作成するときに、そのテーブルを接続に関連付けることができます。その後、アソシエーションはポリシールールを自動的にテーブルに入力します。」

とあります。

設定した結果ですが、Transit GatewayからCloud WANコアネットワークを関連付けるために使用されていました。
現在はTransit GatewayからCloud WANコアネットワークへのポリシールールは編集できず、内容を見る場所も見つけられませんでした。

設定した内容

Cloud WANコアネットワークに東京とバージニア北部のTransit Gatewayピアリングとアタッチメントを作成しました。
このときにポリシーテーブルが必要でした。
セグメントとアタッチメントはタグで関連付けました。
この方法は、emiさんの「AWS Cloud WANを使ってマルチリージョンのVPC間で疎通確認する手順」を参照しました。
それぞれのTransit GatewayにVPCアタッチメントを作成して、東京とバージニア北部でping疎通を確認しました。

コアネットワーク

Cloud WANのグローバルネットワークとコアネットワークを作成しました。

ASN範囲はTransit Gatewayと重複しないように設定しました。

エッジロケーションはap-northeast-1とus-east-1を選択しました。

Devというセグメントを1つだけ作成しました。
ポリシーのバージョン編集で「アタッチメント承諾を必須にする」をオフにしました。
アタッチメントポリシーは条件をtag-valueにしてEnvironment:Devを設定しました。

ピアリング、アタッチメント

[ピアリングを作成]ボタンから作成しました。
コアネットワークに選択したエッジロケーションを選択すると、そのリージョンのTransit Gatewayが選択できました。
ここでポリシーテーブルが必要でした。
ポリシーテーブルは事前にリージョンに作成していても、新規で作成してもよかったです。

2つのピアリングができました。

ピアリングを作成すると、アタッチメントも作成されました。
アタッチメントには後で、タグEnvironment:Devを設定しました。
タグを設定するとセグメントDevに関連づきました。

Transit Gatewayのコンソールを見ると、コアネットワークとのピアリングアタッチメントができていました。
詳細を見ると、リクエスタとアクセプタ、リソースタイプはPeeringとなっているので、種類としてはTransit Gatewayピアリングのようです。
リクエスタがコアネットワークになっていました。

Transit Gatewayポリシーテーブルにはコアネットワークとのピアリングアタッチメントが関連づいていました。
Transit Gatewayルートテーブルにはコアネットワークとのピアリングアタッチメントは関連付けはありませんでしたので、ポリシーテーブルがコアネットワークへのルーティングを担っているようです。

確認

コアネットワークのルートタブで確認しました。
ap-northeast-1から[ルートの検索]をすると、us-east-1のTransit GatewayにアタッチしているVPC CIDRへのルートが確認できました。
動的にルーティングされていました。

東京のEC2インスタンスからバージニア北部のEC2インスタンスへ無事疎通確認できました。

トポロジグラフで全体像と詳細を確認できました。

料金

エッジが1時間あたり0.5USDですので、試すなら一気に試して削除しないとですね。


最後までお読みいただきましてありがとうございました!

【PR】 「AWS認定資格試験テキスト&問題集 AWS認定ソリューションアーキテクト - プロフェッショナル 改訂第2版」という本を書きました。

【PR】 「AWS認定資格試験テキスト AWS認定クラウドプラクティショナー 改訂第2版」という本を書きました。

【PR】 「ポケットスタディ AWS認定 デベロッパーアソシエイト」という本を書きました。

【PR】 「要点整理から攻略するAWS認定ソリューションアーキテクト-アソシエイト」という本を書きました。

【PR】 「AWSではじめるLinux入門ガイド」という本を書きました。

 - AWS , ,

ad

ad

  関連記事

プライベートサブネットのEC2でセッションマネージャを使うようVPCエンドポイントを構成する

インターネットゲートウェイへのルートがないルートテーブルに関連付けられたプライベ …

RocketChatからOutgoing Webhookで呼び出されたAPI Gatewayでtokenをリクエスト検証する

本来はWAFでやったほうがよさそうですが、追加料金を発生させたくない場合にAPI …

Amazon Elasticsearch ServiceにMySQLのデータを投入してkibanaで可視化してみる

MySQLのデータの可視化にAmazon Elasticsearch Servi …

CloudWatch LogsメトリクスフィルタでNginxのaccess_logから転送バイト数をモニタリングする

ユーザーガイドのApache ログからのフィールドの抽出を見てて、これ、Ngin …

AWS WAFのマネージドルールを見てみました

Web ACLで[Add managed rule groups]を選択しました …

AWS Toolkit for Eclipseで「Error Message: Unable to find a region via the region provider chain. Must provide an explicit region in the builder or setup environment to supply a region.」

AWS Toolkit for Eclipseをセットアップ(2021年版)の環 …

AWS Service CatalogポートフォリオをOrganizations組織で共有する

AWS Service Catalogチュートリアルで作成したポートフォリオのO …

AWS KMSのキーポリシーとアイデンティティベースポリシー

AWS KMSのCMKを作成する際に、管理者とキーユーザーを選択することで、以下 …

特定AWSアカウント特定リージョンのSQSキューを削除するLambda(Python)

やりたいこと 特定アカウント内特定リージョン内のSQSキューを全部削除したいです …

クロスリージョンでEFSをマウントしてみる

ニーズがあるかどうかはさておき、クロスリージョンでのEFSファイルシステムをマウ …