AWS Networking Service

Transit Gateway
Network Manager

グローバルネットワークを「空港管制塔」のように一元管理・モニタリングするサービス

¥0

追加料金なし

全リージョン

管理対象TGW配置可能

主要監視機能

SD-WAN

サードパーティ統合

🎯 最初に押さえる4つのポイント

1 グローバルビュー：複数リージョンのTransit Gateway・VPN・DXを1つのダッシュボードで俯瞰

2 トポロジ可視化：接続関係を地理的マップとトポロジ図で表示し、状態を色分け

3 ルート分析：Route Analyzerで経路を事前検証し、ブラックホールルートを検出

4 イベント連携：CloudWatch・EventBridge・SNSと統合しリアルタイム通知

SECTION 01

サービス概要

AWS Transit Gateway Network Managerは、AWS上に構築したグローバルネットワークを一元的に可視化・モニタリング・分析するためのマネージドサービスです。 Transit Gatewayを中心に、VPC・VPN・Direct Connect・SD-WANデバイスなど、あらゆるネットワークリソースの接続関係とステータスをリアルタイムで把握できます。

SECTION 02

たとえ話で理解する

🗼✈️

Network Manager ＝空港管制塔

世界中の空港と航空路を一つの管制塔から見守り、管理する仕組み。

SECTION 03

アーキテクチャ全体図

Network Managerは「グローバルネットワーク」を頂点に、Transit Gateway・サイト・デバイス・リンクを階層的に管理します。

SECTION 04

リソース階層の可視化

Network Managerでは、リソースをツリー状の階層で管理します。この構造を理解すると、設定の全体像が掴めます。

SECTION 05

主要機能の詳細

📡

トポロジマップ（レーダースクリーン）

管制塔のレーダーのように、全ネットワークリソースの接続関係をインタラクティブなマップで表示。地理的な位置情報も重ね合わせ、稼働中/ダウンを色分けで一目瞭然にします。

🗺️

Route Analyzer（フライトプラン検証）

送信元と宛先を指定してルーティング経路を分析。TGWルートテーブルを横断して経路をトレースし、ブラックホールルートや不整合を検出します。

📊

CloudWatch メトリクス連携

Transit Gatewayのバイト数・パケット数・ドロップパケットなどをCloudWatchに自動送信。閾値アラームでトラフィック急増や品質劣化を即座にキャッチします。

🚨

イベント通知（緊急アラート）

VPN接続のダウン・BGPセッションフラップなどをEventBridge / SNS経由でリアルタイム通知。Lambdaと連携して自動復旧も可能です。

🌐

グローバルネットワーク管理

複数リージョンのTGWを1つの「グローバルネットワーク」に登録。サイト・デバイス・リンクの階層構造でネットワークインベントリを論理管理します。

🔧

SD-WAN 統合（地上支援機器）

Cisco・Aruba・Versa等のSD-WANデバイスをNetwork Managerに統合。AWSネットワークとオンプレSD-WANを単一ペインで一元管理できます。

SECTION 06

Route Analyzer 詳細図解

Route Analyzerは「フライトプランの事前検証」にあたります。送信元と宛先を指定するだけで、TGWルートテーブルを辿り、経路の正常性を確認できます。

SECTION 07

イベント通知フロー

Network Managerは障害やステータス変更を検知すると、CloudWatch / EventBridge / SNSを通じて運用チームに即座に通知します。

SECTION 08

類似サービスとの比較

試験で頻出の「Network Manager と他サービスの違い」を視覚的に整理します。

⚠️

試験ひっかけポイント： 「VPC Reachability Analyzer」と「Route Analyzer」は名前が似ていますが対象が全く違います。 VPC内部（ENI間）→ Reachability Analyzer、 TGW間ルーティング → Route Analyzer（Network Manager）と覚えましょう。

SECTION 09

ユースケース

🌍 マルチリージョン運用

複数リージョンのTGWを一元管理。リージョン間ピアリングの状態やトラフィック量をグローバルビューで把握し、障害時にどの接続が影響を受けたか即座に特定。

🏭 ハイブリッドクラウド監視

オンプレミスDCとAWS間のVPN/DX接続をNetwork Managerに登録。サイトとデバイス情報を追加し、ハイブリッド接続の健全性を地理的マップ上でリアルタイム監視。

🔍 障害の根本原因分析

「東京からバージニアのDBに繋がらない」→ Route Analyzerでルートをトレース。TGWルートテーブルの設定不整合やブラックホールルートを素早く特定。

📋 コンプライアンス監査対応

ネットワーク構成をトポロジマップで可視化し、監査担当者への説明資料として活用。接続ステータス履歴をCloudWatch Logsに保存し監査証跡に。

SECTION 10

コード例（CLI / CFn / Terraform）

グローバルネットワークの作成と TGW 登録

# グローバルネットワークの作成（管制塔の建設）
aws networkmanager create-global-network \
  --description "Production Global Network" \
  --tags Key=Environment,Value=Production

# Transit Gateway の登録（空港を管制塔に登録）
aws networkmanager register-transit-gateway \
  --global-network-id global-network-0abc123def456 \
  --transit-gateway-arn arn:aws:ec2:ap-northeast-1:123456789012:transit-gateway/tgw-0abc123

# サイトの作成（物理拠点の登録）
aws networkmanager create-site \
  --global-network-id global-network-0abc123def456 \
  --description "Tokyo Office" \
  --location '{"Address":"Tokyo, Japan","Latitude":"35.6762","Longitude":"139.6503"}'

# Route Analyzer でルート検証（フライトプラン確認）
aws networkmanager start-route-analysis \
  --global-network-id global-network-0abc123def456 \
  --source '{"TransitGatewayAttachmentArn":"arn:aws:...","IpAddress":"10.1.0.10"}' \
  --destination '{"TransitGatewayAttachmentArn":"arn:aws:...","IpAddress":"10.2.0.10"}'

AWSTemplateFormatVersion: '2010-09-09'
Description: 'Network Manager Global Network Setup'

Resources:
  # グローバルネットワーク（管制塔）
  GlobalNetwork:
    Type: AWS::NetworkManager::GlobalNetwork
    Properties:
      Description: "Production Global Network"
      Tags:
        - Key: Environment
          Value: Production

  # Transit Gateway 登録
  TgwRegistration:
    Type: AWS::NetworkManager::TransitGatewayRegistration
    Properties:
      GlobalNetworkId: !Ref GlobalNetwork
      TransitGatewayArn: !Sub
        "arn:aws:ec2:${AWS::Region}:${AWS::AccountId}:transit-gateway/${TgwId}"

  # サイト（物理拠点情報）
  TokyoSite:
    Type: AWS::NetworkManager::Site
    Properties:
      GlobalNetworkId: !Ref GlobalNetwork
      Description: "Tokyo Office"
      Location:
        Address: "Tokyo, Japan"
        Latitude: "35.6762"
        Longitude: "139.6503"

# グローバルネットワーク（管制塔）
resource "aws_networkmanager_global_network" "main" {
  description = "Production Global Network"
  tags = { Environment = "Production" }
}

# Transit Gateway 登録
resource "aws_networkmanager_transit_gateway_registration" "tokyo" {
  global_network_id   = aws_networkmanager_global_network.main.id
  transit_gateway_arn = aws_ec2_transit_gateway.tokyo.arn
}

# サイト（物理拠点）
resource "aws_networkmanager_site" "tokyo_office" {
  global_network_id = aws_networkmanager_global_network.main.id
  description       = "Tokyo Office"
  location {
    address   = "Tokyo, Japan"
    latitude  = "35.6762"
    longitude = "139.6503"
  }
}

# デバイス（ルーター登録）
resource "aws_networkmanager_device" "tokyo_router" {
  global_network_id = aws_networkmanager_global_network.main.id
  site_id           = aws_networkmanager_site.tokyo_office.id
  description       = "Tokyo Core Router"
  model  = "Cisco ISR 4451"
  vendor = "Cisco"
}

SECTION 11

ベストプラクティス vs アンチパターン

✅ ベストプラクティス

🟢すべてのTGWを1つのグローバルネットワークに登録し、完全な俯瞰ビューを確保する

🟢サイト・デバイス・リンク情報を正確に登録し、トポロジマップの精度を高める

🟢CloudWatch Alarmを設定し、VPN接続ダウンやBGPフラップを即座に検知する

🟢変更適用前にRoute Analyzerで経路を事前検証し、ルーティング事故を防止する

🟢EventBridge + Lambda で自動復旧パイプラインを構築する

❌ アンチパターン

🔴一部のTGWだけ登録し、レーダーの死角を作る

🔴サイト・デバイス情報を未登録のまま放置し、トポロジマップが不正確になる

🔴CloudWatch Alarmなしで運用し、障害をユーザー報告で初めて知る

🔴ルート変更をRoute Analyzer検証なしで本番適用し通信断を引き起こす

🔴タグ付けを怠り、大量リソースが「名前なし」で管理不能になる

SECTION 12

トラブルシューティング

SECTION 13

試験対策（ANS-C01 / SAP-C02）

📝 試験で問われるポイント

ANS-C01 「マルチリージョンTGW環境の一元監視」→ Network Manager。CloudWatch単体では複数リージョンの俯瞰ビューは提供しない。

ANS-C01 「ルーティング検証・ブラックホール検出」→ Route Analyzer。VPC Reachability AnalyzerはVPC内部用で別物。

SAP-C02 「ハイブリッド環境のネットワーク可視化」→ Network Manager + サイト/デバイス登録。「オンプレ含む一元管理」がキーワード。

ANS-C01 Network Managerは追加料金なし。「サードパーティ監視ツール vs Network Manager」→ AWSネイティブ＋無料が有利。

SAP-C02 Cloud WANとの使い分け：「グローバルNWの構築＋制御」→ Cloud WAN、「既存TGWの可視化・監視」→ Network Manager。

SECTION 14

よくある質問（FAQ）

Network Managerの利用に追加料金はかかりますか？ ▼

Network Manager自体は追加料金なしで利用できます。ただし、CloudWatch メトリクスの保存やSNS通知など連携サービスの料金は通常どおり発生します。

クロスアカウントのTransit Gatewayも登録できますか？ ▼

はい。AWS RAM を使ってTGWを共有し、共有先アカウントのNetwork Managerにも登録可能です。Organizations内のマルチアカウント環境でも一元管理が実現できます。

Network ManagerとCloud WANの違いは何ですか？ ▼

Network Managerは既存TGWベースネットワークの「可視化・モニタリング」ツール。Cloud WANはポリシーベースでグローバルWANを自動構築・制御するサービス。Cloud WANもNetwork Managerコンソール内から管理します。

Route Analyzerはリアルタイムのトラフィック分析ですか？ ▼

いいえ。Route Analyzerはルートテーブルの設定（コントロールプレーン）を分析するツールで、実際のパケットフローをキャプチャするものではありません。実際のトラフィック分析にはVPC Flow LogsやTraffic Mirroringを併用します。

Network Managerはどのリージョンで利用できますか？ ▼

Network Managerはus-west-2（オレゴン）にグローバルリソースとして作成されますが、管理対象のTGWは任意のリージョンに配置できます。

SD-WANデバイスはどのベンダーが対応していますか？ ▼

Cisco、Aruba、Versa Networks、Silver Peak（Aruba EdgeConnect）など、AWSパートナーのSD-WANソリューションが対応しています。

APPENDIX

用語集＆チートシート

📖 用語集

Global Network最上位オブジェクト。全TGW・サイト・デバイスを束ねる論理コンテナ。

Site物理拠点（オフィス/DC）。緯度・経度の位置情報を持つ。

Device拠点のネットワーク機器。Siteに紐付けて登録。

Link拠点の回線情報（ISP名、帯域幅等）。

Route AnalyzerTGWルートテーブルを分析して経路を可視化。

Topology Mapリソース接続関係を地理的・論理的に表示するダッシュボード。

TGW Peering異なるリージョンのTGW同士のリージョン間ピアリング。

Cloud WANAWSマネージドのグローバルWAN。Network Managerコンソール内で管理。

📋 チートシート

サービス名

AWS Transit Gateway Network Manager（VPCコンソール内「ネットワークマネージャー」）

料金

Network Manager自体は無料。連携サービス料金は別途

主要機能

トポロジマップ / Route Analyzer / CloudWatch連携 / イベント通知 / SD-WAN統合

管理対象

TGW / VPC / VPN / DX / SD-WANデバイス / サイト / リンク

リージョン

グローバルリソース（us-west-2）。管理対象TGWは任意リージョン

試験頻出キーワード

一元管理 / グローバルビュー / ルート検証 / ハイブリッド監視 / 追加料金なし

類似サービスとの違い

Reachability Analyzer（VPC内部）vs Route Analyzer（TGW間ルーティング）

Cloud WAN との関係

Cloud WAN「構築＋制御」、Network Manager「可視化＋監視」。同一コンソール管理