🔀 AWS Transit Gateway Deep Dive

VPCネットワークの中央集約ハブを完全理解

📘 図解強化エディション

💡 結論ファースト:Transit Gateway とは

🎯 一言で言うと

複数のVPCとオンプレミスを一箇所で集中管理する「ネットワークのハブ空港」。VPC Peeringの複雑な接続管理から解放されます。

🔢 導入タイミング

VPCが3つ以上あり増加見込み、Direct Connect接続VPCが20超、通信監査・ガバナンスが必要な場合

⚡ 主要機能

VPC/VPN/Direct Connect接続、複数ルートテーブル、リージョン間ピアリング、マルチキャスト対応

📊 帯域幅

VPCアタッチメント: 最大100Gbps/AZ、MTU: 8500バイト のジャンボフレーム対応

📚 4つのコアコンセプトを図解で理解

Transit Gatewayの心臓部となる4つの概念と、その関係性を視覚的に解説

🔗 4つの概念はこう繋がっている

🔗

Attachment

接続の入口
接続する
🔀

TGW

参照する
🗺️

Route Table

経路情報
🎫

Association

入口の紐付け
AttachmentとRoute Tableを
1対1で紐付け
📢

Propagation

経路の伝播
AttachmentのCIDRを
Route Tableに自動登録

📦 パケットの旅:各概念が機能するタイミング

1
🏢

VPCから送信

VPCのルートテーブルで宛先をTGWに向ける

2
🔗
Attachmentで受信

パケットがTGWのアタッチメント経由で到達

Attachment
3
🎫
どのテーブルを見る?

Associationで紐付けられたRoute Tableを特定

Association
4
🗺️
経路検索

Route Tableで宛先CIDRにマッチするルートを検索

Route Table
5
🚀
転送実行

マッチしたルートのAttachmentへパケット転送

💡 Propagationの役割: ステップ4で検索されるルートを自動登録する仕組み。VPCをアタッチすると、そのCIDRが自動的にRoute Tableに追加される。

⚖️ 最重要:Association と Propagation の違い

🎫

Association

✈️ 搭乗券とゲートの紐付け
VPC-A
Attachment
━━▶
Route Table A
1つのAttachmentは1つのRoute Tableにのみ紐付け可能
  • 📍 役割:「このAttachmentから来たパケットはどのRoute Tableを見るか」を決定
  • 1️⃣ 関係:Attachment : Route Table = 1 : 1(必ず1つだけ)
  • 🚪 方向:入口側の設定(パケットがTGWに入ってきた時)
  • 🎯 用途:環境分離(本番用/開発用Route Tableを分ける)
💡 覚え方:「この飛行機(Attachment)の乗客は、どの案内板(Route Table)を見て移動するか」
📢

Propagation

✈️ 新規就航便の案内板への自動登録
VPC-A
10.1.0.0/16
━━▶
Route Table A
VPC-A
10.1.0.0/16
━━▶
Route Table B
同じCIDRを複数のRoute Tableに伝播可能
  • 📍 役割:AttachmentのCIDR情報をRoute Tableに自動登録
  • 🔢 関係:Attachment : Route Table = 1 : N(複数可能)
  • 🚪 方向:出口側の設定(他からこのVPCに到達するためのルート)
  • 🎯 用途:動的ルート管理、スタティックルート設定の省力化
💡 覚え方:「新しい就航先(VPC)ができたら、案内板(Route Table)に自動で行き先を追加」
🔗

Attachment(アタッチメント)

✈️ 空港の搭乗ゲート

VPC、VPN、Direct Connect、他のTGWなどをTransit Gatewayに接続するための「入口」です。 各接続先ごとに1つのAttachmentを作成します。

VPC
Attachment
TGW

⚠️ 重要ポイント

  • ✅ VPCアタッチメントは各AZにサブネット(/28以上)が必要
  • ✅ サブネット内にENI(Elastic Network Interface)が作成される
  • ✅ TGWあたり最大5,000アタッチメント(ハードリミット)
🗺️

Route Table(ルートテーブル)

✈️ フライト案内板

パケットをどのAttachmentに転送するか決める経路情報です。 Transit Gatewayは複数のRoute Tableを持てるため、環境分離が可能です。

宛先CIDR 転送先
10.1.0.0/16 → VPC-A Attachment
10.2.0.0/16 → VPC-B Attachment
192.168.0.0/16 → VPN Attachment

⚠️ 重要ポイント

  • ✅ TGWには最低1つのRoute Tableが必要
  • ✅ デフォルトで最大20個(上限緩和可能)
  • ✅ 経路は最大10,000件(全テーブル合計)
🎫

Association(アソシエーション)

✈️ 搭乗券とゲートの紐付け

AttachmentとRoute Tableを紐付けます。VPCからTGWに入ったパケットは、 Associateされたルートテーブルを参照して転送先を決定します。

VPC-A
━━🎫━━▶
Route Table A
❌ 1つのAttachmentを複数のRoute Tableにはアソシエートできない

⚠️ 重要ポイント

  • 1対1の関係:Attachmentは1つのRoute Tableのみ
  • ✅ VPC内にTGWのルートは伝播されない→VPC側にスタティックルートが必要
  • ✅ 「どのテーブルを見るか」を決める入口側の設定
📢

Propagation(プロパゲーション)

✈️ 新規就航便の案内板への自動登録

AttachmentのCIDR情報をRoute Tableに自動伝播します。 手動でスタティックルートを書く代わりに、動的に経路を登録できます。

VPC-A
10.1.0.0/16
━📢━▶
Route Table A
VPC-A
10.1.0.0/16
━📢━▶
Route Table B
✅ 同じCIDRを複数のRoute Tableに伝播可能(1対多)

⚠️ 重要ポイント

  • 1対多の関係:複数のRoute Tableに伝播可能
  • ✅ Associationとは独立した設定
  • ✅ 「他からこのVPCへ到達するルート」を自動登録

🔌 アタッチメント種類の選び方

5種類のアタッチメントから最適なものを選ぶための判断基準と比較

🤔 どのアタッチメントを使うべき?判断フロー

接続先はどこ?
AWS内のVPC
同じリージョン?
Yes
🏢
VPC Attachment
No
🌍
Peering Attachment
オンプレミス
接続方法は?
インターネット経由
🔒
VPN Attachment
専用線
📡
Direct Connect
SD-WAN
🔀
Connect

📊 アタッチメント比較表

タイプ 最大帯域幅 ルーティング 暗号化 主なユースケース
🏢 VPC 100 Gbps/AZ スタティック なし 同一リージョン内VPC接続
🔒 VPN 1.25 Gbps/トンネル BGP / スタティック IPsec オンプレミスとの暗号化接続
📡 Direct Connect 100 Gbps(DX次第) BGP MACsec対応 専用線による安定・大容量接続
🌍 Peering 制限なし スタティックのみ AWSバックボーン リージョン間/TGW間接続
🔀 Connect 5 Gbps/GREトンネル BGP over GRE なし SD-WANアプライアンス接続

🏗️ 各アタッチメントの接続構成

🏢

VPC Attachment

VPC
10.1.0.0/16
━━▶
🔀
TGW
━━▶
他のVPC
  • ✅ 各AZにサブネット(/28以上)が必要
  • ✅ ENIが自動作成される
  • ✅ MTU 8500バイト対応
  • ⚠️ VPCルートテーブルに手動でTGW向けルート追加必要
💼 ユースケース例

マイクロサービス間通信、共有サービスVPCへのアクセス

🔒

VPN Attachment

🏭 オンプレ
Customer GW
🔐━▶
🔀
TGW
━━▶
VPC群
  • ✅ IPsec暗号化でセキュア
  • ✅ BGPまたはスタティックルート
  • ✅ ECMPで複数VPN束ねて帯域UP
  • ⚠️ 1トンネル最大1.25Gbps
💼 ユースケース例

オンプレDCとの接続、バックアップ経路、小規模拠点接続

📡

Direct Connect Gateway

🏭 オンプレ
専用線
━━▶
DXGW
━━▶
🔀
TGW
  • ✅ Transit VIF経由で接続
  • ✅ 安定した大容量通信
  • ✅ 複数VPCを1本のDXで接続
  • ❌ Private VIFとの併用不可
💼 ユースケース例

大容量データ転送、低レイテンシ要件、基幹システム接続

🌍

Peering Attachment

🔀
東京
🔀
大阪
  • ✅ リージョン間接続対応
  • ✅ 同一リージョン内も可能
  • ⚠️ スタティックルートのみ(BGP伝播なし)
  • ⚠️ 双方でアクセプトが必要
💼 ユースケース例

DR構成、グローバルサービス展開、マルチリージョン冗長化

🔀

Connect Attachment

🔀 SD-WAN
アプライアンス
GRE▶
🔀
TGW
  • ✅ BGP over GREで接続
  • ✅ 最大5Gbps/GREトンネル
  • ✅ ECMPサポート
  • ⚠️ VPCまたはDXGWがトランスポート
💼 ユースケース例

SD-WAN統合、サードパーティNVA接続、ブランチオフィス統合

🔀 Connect Attachment Deep Dive

SD-WANや仮想アプライアンスとの高帯域接続を実現する特殊なアタッチメント

🏨 たとえ話:ホテルの「専用シャトルバス契約」

🏨 ホテルのたとえ

🏨
ホテル本館

中央のネットワークハブ

🚌
専用シャトルバス会社

SD-WANベンダー

📋
バス会社との専用契約

Connect Attachment

🛣️
専用レーン

GREトンネル

💡 ポイント

通常のVPN Attachmentは「一般タクシー」のようなもの。
Connect Attachmentは「専用シャトルバス」で、SD-WAN事業者と直接契約して高速・柔軟な接続を実現します。

🎯 一言で言うと:
SD-WANなどの仮想ネットワークアプライアンスとTransit GatewayをGREトンネル + BGPで接続するための仕組み

⚖️ VPN Attachment vs Connect Attachment

比較項目 🔒 VPN Attachment 🔀 Connect Attachment
プロトコル IPsec GRE + BGP
帯域幅 1.25 Gbps/トンネル 5 Gbps/トンネル ⚡
暗号化 ✓ あり(IPsec) ✗ なし(別途実装要)
ルーティング BGP or スタティック BGP のみ
主なユースケース オンプレ直接接続 SD-WAN / NVA経由接続

🔒 VPNを選ぶ場面

オンプレミスと直接接続し、暗号化が必須の場合。小〜中規模の接続に最適。

🔀 Connectを選ぶ場面

SD-WANソリューションとの統合で、高帯域が必要な場合。大規模ブランチ接続に最適。

📏 主要なクォータ(制限)

項目 デフォルト値 上限緩和 備考
アカウントあたりのTGW数 5 可能 リージョンごと
TGWあたりのルートテーブル数 20 可能 環境分離に影響
TGWあたりの経路数 10,000 可能 全ルートテーブル合計
TGWあたりのアタッチメント数 5,000 不可 ハードリミット
VPCあたりのTGW接続数 5 不可 ハードリミット
VPCアタッチメント帯域幅 100 Gbps/AZ 要相談 バースト上限
VPNトンネル帯域幅 1.25 Gbps 不可 ECMPで集約可能
MTU 8,500 bytes 不可 ジャンボフレーム対応

✅ ベストプラクティス

✅ 推奨事項(Do)

  • ✓ 各AZにアタッチメント用サブネットを配置し、可用性を確保する
  • ✓ ルートテーブルを用途・環境ごとに分割し、セキュリティ境界を明確にする
  • ✓ Propagationを活用して動的にルートを管理し、運用負荷を軽減する
  • ✓ VPC Flow Logsと合わせてトラフィックを可視化・監査する
  • ✓ TGWのAZごとの帯域上限を考慮した設計をする
  • ✓ ECMP対応環境ではVPN接続を複数束ねて帯域を確保する

❌ アンチパターン(Don't)

  • ✗ VPC数が少ない(2つ以下)のにTGWを使用する → VPC Peeringで十分
  • ✗ 単一AZにのみアタッチメントを作成する → 可用性リスク
  • ✗ Transit VIFとPrivate VIFを同じDXGWで併用しようとする → 不可
  • ✗ ピアリング接続でBGPによる動的ルーティングを期待する → スタティックのみ
  • ✗ VPCサブネットのルートテーブルでTGW向けのルートを設定し忘れる
  • ✗ マルチキャストを後から有効化しようとする → TGW作成時のみ

❓ よくある質問(FAQ)

Q: VPC PeeringとTransit Gatewayの違いは?

VPC Peeringは2つのVPC間の1対1接続で、接続数が増えるとフルメッシュ構成が必要になり管理が複雑化します。Transit Gatewayはハブ&スポーク型で、VPCが増えても管理がシンプルです。VPCが3つ以上ならTGWを検討しましょう。

Q: TGWの料金体系は?

アタッチメント時間($/hour)とデータ処理量($/GB)の2軸で課金されます。VPC Peeringより割高ですが、管理コストの削減や機能面でのメリットとのトレードオフを検討しましょう。

Q: 別アカウントのVPCも接続できる?

はい。Resource Access Manager(RAM)を使ってTGWを他のAWSアカウントと共有できます。AWS Organizationsと連携すれば、組織内でのマルチアカウント構成が容易になります。

Q: セキュリティグループは適用される?

TGW自体にセキュリティグループは適用できません。TGW通過後の通信制御は、各VPC内のセキュリティグループやNACL、またはNetwork Firewallで行います。

Q: Cloud WANとの違いは?

Transit Gatewayはリージョン単位で管理(Customer Managed)、Cloud WANはグローバルレベルで一元管理(AWS Managed)です。Cloud WANはBGPベースのリージョン間接続、Intent-basedポリシーなど高度な機能がありますが、TGWは柔軟なDIY設計が可能です。

Q: マルチキャストはどう使う?

TGW作成時にマルチキャストを有効化すると、TGWがマルチキャストルーターとして動作します。IGMPv2をサポートし、VPCアタッチメントのみで利用可能です。後から有効化はできないので注意。

Created by SSuzuki1063

AWS SAP Learning Resources