☁️ AWS Networking

Transit Gateway Network Manager
Route Analyzer 完全ガイド

カーナビのルート検索に例えて、Route Analyzerの仕組み・使い方・活用シーンを初心者向けに徹底図解します。

📌 最初に結論

Route Analyzer とは何か?

1 Transit Gateway のルートテーブルを分析し、送信元から宛先への経路の正しさを事前検証できる機能
2 実際のパケットは送信せず、設定だけを見てルートが通るかチェックする(カーナビの事前ルート検索と同じ)
3 往路(Forward)だけでなく復路(Return)の経路も同時に検証でき、片方向の通信不能を未然に防げる
💡 一言でまとめると
Route Analyzer は「ネットワークのカーナビ」。走り出す前に地図上で道が繋がっているか確認してくれる、トラブル未然防止ツールです。
🚗 たとえ話で理解

カーナビのルート検索で理解する Route Analyzer

「カーナビのルート検索」で考えてみよう

高速道路ネットワークの中で「出発地から目的地まで本当にたどり着けるか?」を地図上で確認する仕組みです。

カーナビの世界 AWSの世界
🛣️ 高速道路のジャンクション
複数路線が交差する交通の要所 		Transit Gateway(TGW)
VPC・VPN・Direct Connectを中央集約するハブ
🪧 道路標識・案内板
「○○方面はこちら」の行き先案内 		TGW ルートテーブル
宛先CIDRごとに次のホップを定義するルール
🔗 各ICへの接続道路
ジャンクションから各方面に伸びる道 		TGW アタッチメント
VPC / VPN / Direct Connect / Peering の接続口
📍 出発地 → 目的地
カーナビに入力する2地点 		Source → Destination
分析対象のTGW+アタッチメント+IPアドレス
🔍 ルート検索ボタン
実際に走る前に道順を確認する機能 		Route Analyzer
パケットを送らずルート設定だけで経路を検証
🏗️ 途中の料金所・検問所
経路途中に存在する中継ポイント 		Middlebox(中間アプライアンス)
ファイアウォール等を経由するVPC内の検査装置
⚙️ 仕組みを図解

Route Analyzer はどう動くのか?

Route Analyzer は Transit Gateway のルートテーブル設定を読み取り、指定した送信元から宛先までの経路が正しく設定されているかを判定します。

Route Analyzer 経路分析の全体像

🌐 Global Network 📍 Source TGW (東京リージョン) 🔗 VPC-A アタッチメント 🔗 VPN アタッチメント 🏁 Destination TGW (フランクフルトリージョン) 🔗 VPC-B アタッチメント 🔗 Peering アタッチメント 🛣️ TGW Peering リージョン間接続 → Forward Path(往路)→ ← Return Path(復路)← 🔍 Route Analyzer

分析の流れ(カーナビに目的地を入れてルート検索するイメージ)

1

グローバルネットワークに TGW を登録

🚗 カーナビに地図データをダウンロードするイメージ

Network Manager でグローバルネットワークを作成し、対象の Transit Gateway を登録します。

2

送信元(Source)を指定

🚗 出発地を入力する

送信元の TGW、アタッチメント、IPv4/IPv6 アドレスを選択します。

3

宛先(Destination)を指定

🚗 目的地を入力する

宛先の TGW、アタッチメント、IP アドレスを選択します。復路(Return path)の検証も有効にできます。

4

Middlebox の有無を設定(任意)

🚗 途中で料金所・検問を通るかどうかを指定する

ファイアウォールなどの中間アプライアンス VPC がある場合、その位置を指定して複数ホップの分析が可能です。

5

ルート分析を実行

🚗 「ルート検索」ボタンを押す!

結果が Connected / Not connected などのステータスで表示されます。ルートの不備がある場合は具体的にどこで途切れているかが分かります。

📊 分析結果

Route Analyzer が返す4つのステータス

カーナビの検索結果と同じように、ルートが繋がっているか、途中で途切れているかを明確に教えてくれます。

Connected

経路が正常に繋がっている状態。カーナビで「ルートが見つかりました」と表示されるのと同じ。

Not Connected

経路が途切れている。カーナビで「目的地までのルートが見つかりません」と表示される状態。

Blackhole Route

ルートは存在するが宛先が無効。道路標識はあるが、その先の道が工事中で通れない状態。

No Matching Route

宛先に一致するルートがルートテーブルに存在しない。そもそも案内板が設置されていない状態。

🏗️ Middlebox 対応

途中にファイアウォールがある場合の分析

VPC 内にファイアウォール等の中間アプライアンス(Middlebox)を設置している場合、その経路を含めた複数ホップの分析が可能です。

Middlebox 経由の経路分析フロー

📍 Source
VPC-A
🛣️ TGW-1
東京
🔥 Middlebox
FW VPC
🛣️ TGW-2
大阪
🏁 Dest
VPC-B
🚗 たとえるなら
「出発地 → 途中の料金所で検問 → 目的地」の経路を全部まとめてチェックできるイメージ。AWSはMiddlebox内部の処理は見えないが、TGWルートテーブル上で経路が正しく設定されているかは検証可能。
🎯 活用シーン

Route Analyzer の3大ユースケース

事前検証・既存検証・障害診断の3つのシーンで活用できます。

事前検証

🚗 旅行前にカーナビでルート確認

本番トラフィックを流す前に、ルートテーブルの設定が正しく動作するかを確認。新しいVPCやVPNを追加したとき、通信開始前に経路をチェックできる。

既存ルートの検証

🚗 現在の通勤ルートが最適か確認

すでに稼働中のルート設定が意図通りかを定期確認。ルートテーブルの変更後に、他の通信に影響がないかを素早く検証できる。

障害時のルート診断

🚗 渋滞時にどこが詰まっているか調査

通信障害が発生したとき、どのTGWのどのルートテーブルで経路が途切れているかを即座に特定。復旧時間を大幅に短縮できる。

⚠️ 対象範囲

Route Analyzer で分析できること・できないこと

Route Analyzer が検証するのは TGW ルートテーブルの設定のみ。VPC内のルートやセキュリティ制御は対象外です。

✅ 分析できること

  • TGW ルートテーブルの経路設定の検証
  • 複数 TGW 間(Peering)のルート検証
  • 往路 + 復路の双方向チェック
  • Middlebox 経由のマルチホップ分析
  • Blackhole ルートの検出

❌ 分析できないこと

  • VPC ルートテーブルの検証
  • セキュリティグループ / NACLのルール
  • カスタマーゲートウェイ(オンプレ側)の設定
  • Middlebox 内部のトラフィック処理
  • リージョン内ピアリング(Intra-Region)の分析
🚗 たとえるなら
Route Analyzer = 高速道路の案内板(ルートテーブル)だけをチェックするカーナビ。一般道の信号(SG/NACL)や、途中の検問所の中(Middlebox内部)は見えません。一般道や信号のチェックには VPC Flow Logs や Reachability Analyzer を併用しましょう。
🔧 関連ツール比較

Route Analyzer と他の診断ツールの使い分け

Route Analyzer

対象:TGWルートテーブル
方式:設定ベースの静的分析
範囲:TGW間のグローバルネットワーク全体

VPC Reachability Analyzer

対象:VPC内の接続性
方式:設定ベースの静的分析
範囲:EC2インスタンス間やENI間の到達性

VPC Flow Logs

対象:実際の通信ログ
方式:パケットベースの動的記録
範囲:ENIレベルの許可/拒否ログ

💡 ベストプラクティス
TGW レベルの経路は Route Analyzer で、VPC 内部の到達性は Reachability Analyzer で、実際の通信ログは Flow Logs でそれぞれ確認。3つを組み合わせることで、ネットワーク全体を網羅的に診断できます。
🚧 制約事項

Route Analyzer を使う際の注意点

TGW の事前登録が必須:分析対象の Transit Gateway はグローバルネットワークに登録されている必要があります。
TGW ルートテーブルのみが対象:VPC ルートテーブルやオンプレミス側のルーティングは検証できません。
セキュリティ制御は対象外:セキュリティグループや NACL のルールは評価しません。
リージョン内ピアリングは非対応:Intra-Region Peering の経路分析には対応していません。
復路分析の前提条件:復路(Return path)は往路が正常に解析できた場合のみ結果が返されます。
マルチアカウントは別途設定が必要:別アカウントのTGWを分析するには、マルチアカウントサポートを有効にする必要があります。
❓ よくある質問

Route Analyzer FAQ

Route Analyzer を使うと実際のトラフィックが発生する?
いいえ、Route Analyzer は実際のデータパケットを送信しません。TGW ルートテーブルの設定情報のみを分析する静的な検証ツールです。カーナビが実際に車を走らせずに地図上でルートを検索するのと同じです。
Route Analyzer 自体の追加料金は発生しません。ただし、Transit Gateway Network Manager の利用には、登録した TGW や VPN 接続ごとの料金が適用される場合があります。最新の料金は AWS の公式ドキュメントで確認してください。
TGW ルートテーブルは方向ごとに独立しています。たとえば TGW-1 → TGW-2 のルートは設定されているが、TGW-2 → TGW-1 への戻りルート(静的ルート等)が設定されていない場合に起こります。カーナビで言うと「行きの道はあるが、帰りの道が一方通行で通れない」状態です。Peering 先のルートテーブルに戻りのルートを追加しましょう。
Route Analyzer は TGW ルートテーブルに特化したグローバルスケールの分析ツール、Reachability Analyzer は VPC 内部のリソース間到達性(SG/NACL を含む)を分析するツールです。対象レイヤーが異なるため、用途に応じて使い分けるか併用します。
はい、マネジメントコンソールだけでなく、AWS CLI の start-route-analysis コマンドや API からもルート分析を実行できます。自動化パイプラインに組み込むことも可能です。
📝 まとめ

Route Analyzer をひと言で

Route Analyzer = 高速道路ネットワーク専用カーナビ

走り出す前にルート(TGWルートテーブル)を検索して、「ちゃんと目的地に着けるか」を確認するツール。実際のパケットは送らない。SG/NACL やVPC内部は見えないので、他のツールと組み合わせて使おう。

SAP試験で押さえるポイント

「TGW ルートテーブルの経路を事前検証・障害診断するツール」「パケットは送信しない」「VPC ルートテーブル / SG / NACL は対象外」がキーワード。Reachability Analyzer との使い分けも重要。

関連リソース

Transit Gateway、Network Manager、VPC Peering、Direct Connect、Site-to-Site VPN、Reachability Analyzer、VPC Flow Logs などと合わせて学習すると効果的です。

Created by SSuzuki1063

AWS SAP Learning Resources