📌 まず結論:Transit Gateway Connect とは?
Transit Gateway Connectは、SD-WANデバイスとAWS Transit Gatewayを高スループットで統合するための専用アタッチメントです。従来のIPsec VPN(最大約1.25Gbps)の制限を超え、GREトンネルとBGP動的ルーティングを使って数十Gbpsの帯域を実現します。
超高スループット
IPsec VPNの約1.25Gbps制限を突破し、数十Gbpsの帯域を実現
GREトンネリング
暗号化オーバーヘッドが不要な軽量カプセル化で高速転送
BGP動的ルーティング
経路情報を自動交換し、スケーラブルなネットワーク運用を実現
🏗️ たとえ話で理解する
Transit Gateway Connectを「高速道路の専用コネクタ」に例えて理解しましょう。
🛣️ 「高速道路のインターチェンジ」のたとえ
あなたの会社(オンプレミス)とショッピングモール(AWS クラウド)をつなぐ道路を想像してください。
従来のIPsec VPNは「検問付きの一般道」です。すべての車(データ)を停めて身分証確認(暗号化・復号化)するため、通れる車の数に限界がありました(約1.25Gbps)。安全ですが、渋滞しがちです。
Transit Gateway Connectは「専用高速トンネル」です。車を検問なしでコンテナ(GREカプセル化)に載せてまとめて運ぶので、一気に大量の車が通れます(数十Gbps)。さらに、交通整理員(BGP)がリアルタイムで最適な経路を案内してくれます。
ただし、この高速トンネルは既存のインターチェンジ(VPCアタッチメント)の上に建設する必要があります。つまり、まずインターチェンジがないと、トンネルは作れません。
従来のIPsec VPNは「検問付きの一般道」です。すべての車(データ)を停めて身分証確認(暗号化・復号化)するため、通れる車の数に限界がありました(約1.25Gbps)。安全ですが、渋滞しがちです。
Transit Gateway Connectは「専用高速トンネル」です。車を検問なしでコンテナ(GREカプセル化)に載せてまとめて運ぶので、一気に大量の車が通れます(数十Gbps)。さらに、交通整理員(BGP)がリアルタイムで最適な経路を案内してくれます。
ただし、この高速トンネルは既存のインターチェンジ(VPCアタッチメント)の上に建設する必要があります。つまり、まずインターチェンジがないと、トンネルは作れません。
🗺️ たとえ話の対応関係
あなたの会社
オンプレミス環境
(SD-WANデバイス)
(SD-WANデバイス)
⟵ ⟶
🚇 専用高速トンネル
(TGW Connect)
(TGW Connect)
VPCアタッチメント上に構築
ショッピングモール
AWSクラウド
(Transit Gateway)
(Transit Gateway)
| 🛣️ たとえ話(高速道路) | ☁️ AWS の実際の概念 | 💡 ポイント |
|---|---|---|
| 🏢 あなたの会社 | オンプレミス環境 / SD-WANデバイス | 通信の発信元 |
| 🏬 ショッピングモール | AWS Transit Gateway | 中央のルーティングハブ |
| 🛤️ インターチェンジ | VPC アタッチメント(基盤) | Connectの前提条件 |
| 🚇 専用高速トンネル | Transit Gateway Connect アタッチメント | GREベースの高速接続 |
| 📦 コンテナに車を載せる | GRE カプセル化 | 低オーバーヘッドで高速 |
| 🚦 交通整理員 | BGP 動的ルーティング | 経路を自動最適化 |
| 🔍 検問付き一般道 | IPsec VPN(従来方式) | 暗号化オーバーヘッドで低速 |
🏛️ アーキテクチャ全体像
Transit Gateway Connectは3つの層(オンプレミス・接続層・AWS)で構成されます。
📐 Transit Gateway Connect の3層アーキテクチャ
🏢 オンプレミス層(あなたの会社)
SD-WAN デバイス
社内ネットワーク
BGP ルーター
🔗 Transit Gateway Connect 層(専用高速トンネル)
GRE トンネル
Connect Peer
BGP セッション
☁️ AWS 層(ショッピングモール)
Transit Gateway
VPC アタッチメント(基盤)
各 VPC / 他のアタッチメント
🔀 データの流れ(パケットの旅路)
📡 SD-WAN
デバイス
デバイス
→
📦 GRE
カプセル化
カプセル化
→
🔗 TGW Connect
Peer
Peer
→
🌐 Transit
Gateway
Gateway
→
🏗️ 宛先
VPC
VPC
BGP で経路情報を動的に交換しながら、GRE でカプセル化されたパケットが高速に転送される
⚖️ なぜ高速? IPsec VPN vs GRE の違い
Transit Gateway Connect が高スループットを実現できる理由をプロトコルレベルで比較します。
🔬 パイプの太さで見るスループットの違い
🔒 IPsec VPN(従来方式)
最大 ~1.25 Gbps
暗号化/復号化の処理がボトルネック
📦 GRE(Transit Gateway Connect)
最大 数十 Gbps
カプセル化のみでオーバーヘッド最小
従来方式
🔒 IPsec VPN 接続
- ❌ 暗号化/復号化のCPUオーバーヘッドが大きい
- ❌ 1トンネルあたり最大約1.25Gbps
- ❌ スケールアウトには複数トンネルが必要
- ⚠️ 暗号化が必要な通信には適している
- ✅ VPCアタッチメント不要で直接接続可能
Transit Gateway Connect
📦 GRE + BGP 接続
- ✅ GREカプセル化のみで低オーバーヘッド
- ✅ VPCアタッチメントの帯域をフル活用
- ✅ BGPで経路を自動管理・最適化
- ✅ SD-WANデバイスとネイティブ統合
- ⚠️ 前提として VPC アタッチメントが必要
🔒 従来方式:IPsec VPN のデータ経路
📡 SD-WAN
→
🔐 IPsec暗号化
→
🔓 復号化
→
🌐 TGW
→
🏗️ VPC
⏱️ 最大 ~1.25 Gbps(暗号化処理がボトルネック)
📦 新方式:Transit Gateway Connect のデータ経路
📡 SD-WAN
→
📦 GREカプセル化
→
🔗 Connect Peer
→
🌐 TGW
→
🏗️ VPC
🚀 最大 数十Gbps(VPCアタッチメントの帯域を活用)
🧩 構成要素を深掘り
Transit Gateway Connect を支える3つの技術要素を詳しく見ていきましょう。
GRE(Generic Routing Encapsulation)
パケットを別のパケットの中に「包む」カプセル化プロトコルです。IPsecのような暗号化処理を行わないため、CPUオーバーヘッドが極めて小さく、高スループットを実現します。ただし暗号化しないため、安全なネットワーク(Direct ConnectやVPC内)での利用が前提となります。
低オーバーヘッド・高速転送
BGP(Border Gateway Protocol)
インターネットのバックボーンで使われる動的ルーティングプロトコルです。隣接するルーター同士が経路情報を自動的に交換し合い、ネットワーク変更に動的に対応します。手動でルートテーブルを更新する必要がなく、大規模ネットワークの運用を自動化できます。
動的経路交換・自動化
Connect Peer
Transit Gateway ConnectアタッチメントとSD-WANデバイス間のGREトンネルとBGPセッションを確立するコンポーネントです。各Connect Peerには、GREのアウターIPアドレスとBGPのインナーIPアドレスを指定します。1つのConnectアタッチメントに複数のPeerを設定できます。
GRE + BGP の接続点
VPC アタッチメント(基盤トランスポート)
Transit Gateway Connectは独立した接続ではなく、既存のVPCアタッチメントを「土台」として使います。GREトンネルのトラフィックは、この基盤VPCアタッチメントの物理的なネットワーク帯域の上を流れます。そのため、Connect作成前にVPCアタッチメントが必須です。
Connectの必須前提条件
🛠️ 実装ステップ
Transit Gateway Connectをセットアップする3つのステップを、AWS CLIコマンド付きで解説します。
1
基盤となるVPCアタッチメントを確認/作成
Transit Gateway ConnectはVPCアタッチメントの上に構築されるため、まず基盤となるVPCアタッチメントが必要です。既にある場合はそのIDを確認します。
# 既存のVPCアタッチメントを確認
aws ec2 describe-transit-gateway-attachments \
--filters "Name=resource-type,Values=vpc" \
--query "TransitGatewayAttachments[*].[TransitGatewayAttachmentId,State]"
# 新規作成する場合
aws ec2 create-transit-gateway-vpc-attachment \
--transit-gateway-id tgw-0123456789abcdef0 \
--vpc-id vpc-0123456789abcdef0 \
--subnet-ids subnet-0123456789abcdef0
2
Transit Gateway Connect アタッチメントを作成
基盤VPCアタッチメントのIDを指定して、Connectアタッチメントを作成します。プロトコルは現在GREのみサポートされています。
# Connect アタッチメント作成
aws ec2 create-transit-gateway-connect \
--transport-transit-gateway-attachment-id tgw-attach-0123456789abcdef0 \
--options "Protocol=gre"
# 作成確認
aws ec2 describe-transit-gateway-connects \
--query "TransitGatewayConnects[*].[TransitGatewayAttachmentId,State]"
3
Connect Peer を設定
GREトンネルとBGPセッションのパラメータを指定してConnect Peerを作成します。SD-WANデバイス側のIPアドレスとBGPのASNを設定します。
# Connect Peer 作成
aws ec2 create-transit-gateway-connect-peer \
--transit-gateway-attachment-id tgw-attach-connect-0123456789 \
--peer-address 10.0.0.1 \
--transit-gateway-address 10.0.0.2 \
--bgp-options "PeerAsn=65000" \
--inside-cidr-blocks "169.254.6.0/29"
# Peer状態を確認
aws ec2 describe-transit-gateway-connect-peers \
--query "TransitGatewayConnectPeers[*].[TransitGatewayAttachmentId,State]"
📄 CloudFormation テンプレート例
AWSTemplateFormatVersion: '2010-09-09'
Description: 'Transit Gateway Connect Setup'
Resources:
# 1. 基盤となるVPCアタッチメント
TransportAttachment:
Type: AWS::EC2::TransitGatewayVpcAttachment
Properties:
TransitGatewayId: !Ref TransitGateway
VpcId: !Ref TransportVPC
SubnetIds:
- !Ref TransportSubnet
# 2. Connect アタッチメント
TGWConnect:
Type: AWS::EC2::TransitGatewayConnect
Properties:
TransportTransitGatewayAttachmentId: !Ref TransportAttachment
Options:
Protocol: gre
# 3. Connect Peer
TGWConnectPeer:
Type: AWS::EC2::TransitGatewayConnectPeer
Properties:
TransitGatewayAttachmentId: !Ref TGWConnect
PeerAddress: '10.0.0.1' # SD-WANデバイスのIP
TransitGatewayAddress: '10.0.0.2' # TGW側のIP
BgpOptions:
PeerAsn: 65000
InsideCidrBlocks:
- '169.254.6.0/29' # BGPピアリング用CIDR
⚠️ 知っておくべき制限事項
Transit Gateway Connectを使う前に把握しておくべき重要な制限事項です。
GRE プロトコルのみ
現在サポートされるカプセル化プロトコルはGREのみです。VXLANなど他のプロトコルは利用できません。
BGP ルーティングのみ
ルーティングプロトコルはBGPのみ対応。スタティックルーティングやOSPFなどは使用できません。
VPC アタッチメント必須
Connect単独では使えず、基盤となるVPCアタッチメント(トランスポート)が必ず必要です。
🎯 ユースケース
Transit Gateway Connectが真価を発揮する代表的なシナリオです。
SD-WAN とAWSの統合
Cisco SD-WAN、VMware SD-WAN、Aruba SD-WANなどのSD-WANデバイスをAWSに統合。各拠点からAWSへの高速アクセスを一元管理できます。
大容量データ転送
IPsec VPNの1.25Gbps制限を超えるスループットが必要なワークロード。ビッグデータ分析やメディア配信基盤の構築に最適です。
マルチリージョン・マルチ拠点接続
グローバル企業が多数の拠点をAWSに接続する際、BGPの動的ルーティングにより経路管理を自動化。スケーラブルなハイブリッドネットワークを構築できます。
Direct Connect との組み合わせ
AWS Direct Connectで専用線接続している環境に、Transit Gateway Connectを追加。すでに安全な専用線上でGREトンネルを構築するため、高速かつセキュアな接続を実現します。
✅ ベストプラクティス
GREは暗号化しない点に注意:GREトンネルは暗号化を行わないため、Direct Connectなどの安全なトランスポート上で使用するか、アプリケーションレベルの暗号化を併用してください。
IPアドレス計画を事前に:Connect Peerの設定にはGREアウターIPとBGPインナーIPが必要です。アドレス空間の重複がないよう事前に計画しましょう。
冗長化を考慮:複数のConnect Peerを異なるAZに配置し、BGPの冗長パスを確保することで、可用性を高められます。
CloudWatchで監視:Transit Gatewayのメトリクス(BytesIn/BytesOut、PacketDropCount)を監視し、帯域使用率やパケット損失を継続的にモニタリングしましょう。
❓ よくある質問
💬 GREは暗号化しないのに安全なの?
GRE自体は暗号化しませんが、Transit Gateway Connectは通常、Direct ConnectやVPC内部のプライベートネットワーク上で使用します。これらは既に安全な閉域網なので、二重に暗号化する必要がないケースがほとんどです。インターネット経由の場合は、アプリケーションレベルの暗号化(TLS/SSL)との併用を検討してください。
💬 既存のVPN接続と併用できる?
はい。Transit Gatewayには複数のアタッチメントタイプを同時に接続できます。IPsec VPN、Direct Connect、VPCアタッチメント、Connect アタッチメントを組み合わせ、用途に応じて使い分けることが可能です。
💬 VXLANは使えないの?
現時点ではGREプロトコルのみがサポートされています。VXLANのサポートは発表されていませんが、AWSは継続的にサービスを拡張しているため、最新のドキュメントを確認することをお勧めします。
💬 Connect Peerはいくつまで設定できる?
1つのTransit Gateway Connectアタッチメントあたり最大4つのConnect Peerを設定できます。各Peerが1つのGREトンネルとBGPセッションに対応し、冗長構成やトラフィック分散に活用できます。
💬 Transit Gateway Connectの料金体系は?
Transit Gateway Connectのアタッチメント時間料金と、データ処理料金が発生します。加えて、基盤となるVPCアタッチメントの料金も別途発生する点に注意してください。最新の料金はAWS公式サイトで確認することをお勧めします。
📝 まとめ
Transit Gateway Connect = SD-WAN × GRE × BGP で実現する高速ハイブリッド接続
SD-WANデバイスとAWSをネイティブに統合するための専用アタッチメント
GREの低オーバーヘッドで、IPsec VPNを大幅に超えるスループットを実現
BGPによる動的ルーティングで、大規模ネットワークの運用を自動化