単一のVPN接続を介して複数のAWS VPCに接続する

Question 1

最善の選択肢は、AWS の VPC セットアップにすでに含まれている VPN を実際に利用することです。すでにセットアップ済みの状況から言えば、やろうとしていることです。オフィスやデータセンターなどの中央の場所へのユーザー接続がオプションであると仮定します。そうでない場合は、以下のセットアップの拡張バージョンが機能し、ユーザーが接続するための別の VPN インスタンスを追加します。

VPC 同士が通信する必要がある場合は、複数の VPN インスタンス (少なくとも VPC ごとに 1 つ、冗長性のためには複数が望ましい) を設定する必要がありますが、そのためにはフェイルオーバーを制御し、AWS のルーティングテーブルを新しいパスで更新するための別のインスタンスが必要になります。

オプション1：

AWS でユーザーが接続するための中央 VPN サーバー。このサーバー上にトンネルが作成され、トラフィックが他の VPC にルーティングされます。VPN トンネルを作成するには、別の VPC に他のインスタンスが必要になります。

オプション2:

AWS でユーザーが接続するための中央 VPN サーバー。他の VPC に接続するためのトンネルが設定された VPC ごとに 1 つ以上の他の VPN インスタンス。

オプション3:

ユーザー VPN が設定されている中央オフィスまたはデータセンターへの AWS VPN 機能。VPC 間の接続用にトンネルが設定された AWS 内の 1 つ以上の VPN インスタンス。

残念ながら、Amazon には VPC 間の VPN の設定がないため、トンネルを提案する場合は、もちろん、少なくともトンネル設定ごとにインスタンスのセットが必要になります。

Answer

最善の選択肢は、AWS の VPC セットアップにすでに含まれている VPN を実際に利用することです。すでにセットアップ済みの状況から言えば、やろうとしていることです。オフィスやデータセンターなどの中央の場所へのユーザー接続がオプションであると仮定します。そうでない場合は、以下のセットアップの拡張バージョンが機能し、ユーザーが接続するための別の VPN インスタンスを追加します。

VPC 同士が通信する必要がある場合は、複数の VPN インスタンス (少なくとも VPC ごとに 1 つ、冗長性のためには複数が望ましい) を設定する必要がありますが、そのためにはフェイルオーバーを制御し、AWS のルーティングテーブルを新しいパスで更新するための別のインスタンスが必要になります。

オプション1：

AWS でユーザーが接続するための中央 VPN サーバー。このサーバー上にトンネルが作成され、トラフィックが他の VPC にルーティングされます。VPN トンネルを作成するには、別の VPC に他のインスタンスが必要になります。

オプション2:

AWS でユーザーが接続するための中央 VPN サーバー。他の VPC に接続するためのトンネルが設定された VPC ごとに 1 つ以上の他の VPN インスタンス。

オプション3:

ユーザー VPN が設定されている中央オフィスまたはデータセンターへの AWS VPN 機能。VPC 間の接続用にトンネルが設定された AWS 内の 1 つ以上の VPN インスタンス。

残念ながら、Amazon には VPC 間の VPN の設定がないため、トンネルを提案する場合は、もちろん、少なくともトンネル設定ごとにインスタンスのセットが必要になります。

Question 2

実際、答えは次のAWSドキュメントに記載されていると思います。CIDR ブロック全体へのルートの設定

この設定に従うと、単一のVPNインスタンスを実行することができました。

アクセスしたいボックスが存在するピアリングされた VPC のサブネットと同様に、VPN ボックスがあるサブネットに関連付けられたルートテーブルにピアリング接続のルーティングを追加します。

ssh私は問題なくそれらの箱に入ることができた

Answer

実際、答えは次のAWSドキュメントに記載されていると思います。CIDR ブロック全体へのルートの設定

この設定に従うと、単一のVPNインスタンスを実行することができました。

アクセスしたいボックスが存在するピアリングされた VPC のサブネットと同様に、VPN ボックスがあるサブネットに関連付けられたルートテーブルにピアリング接続のルーティングを追加します。

ssh私は問題なくそれらの箱に入ることができた

Question 3

すべてのリソース (EC2 インスタンスと ElasticSearch などのその他のサービス) が同じリージョンにある限り、トランジットゲートウェイを使用してこれを行うことができます。3 つの VPC を作成し (別々のアカウントで作成し、ロールを介して結合することもできます)、1 つのトランジットゲートウェイを作成します。個別のトランジットゲートウェイアタッチメントを使用して 3 つの VPC を TG に接続し、各 TGA にルートテーブルを接続します。VPN (すべてのユーザーが接続する、またはすでに背後にある単一のルーターデバイスのカスタマーゲートウェイ、または一連のクライアント VPN エンドポイントのいずれか) を作成し、トランジットゲートウェイアタッチメントを使用してその VPN も TG に接続します。次に、すべてのルートが TG ルーティングテーブルエントリにあることを確認し、ファイアウォールルールのセキュリティグループを設定します。

注意: 複数のリージョン (us-east1 と us-west1 など) にリソースがある場合、これは機能しないようです。実際に、これが可能かどうか確認するために、ここで質問があります。ピアリングで機能するはずですが、機能しないようです。

Answer

すべてのリソース (EC2 インスタンスと ElasticSearch などのその他のサービス) が同じリージョンにある限り、トランジットゲートウェイを使用してこれを行うことができます。3 つの VPC を作成し (別々のアカウントで作成し、ロールを介して結合することもできます)、1 つのトランジットゲートウェイを作成します。個別のトランジットゲートウェイアタッチメントを使用して 3 つの VPC を TG に接続し、各 TGA にルートテーブルを接続します。VPN (すべてのユーザーが接続する、またはすでに背後にある単一のルーターデバイスのカスタマーゲートウェイ、または一連のクライアント VPN エンドポイントのいずれか) を作成し、トランジットゲートウェイアタッチメントを使用してその VPN も TG に接続します。次に、すべてのルートが TG ルーティングテーブルエントリにあることを確認し、ファイアウォールルールのセキュリティグループを設定します。

注意: 複数のリージョン (us-east1 と us-west1 など) にリソースがある場合、これは機能しないようです。実際に、これが可能かどうか確認するために、ここで質問があります。ピアリングで機能するはずですが、機能しないようです。

単一のVPN接続を介して複数のAWS VPCに接続する

答え1

答え2

答え3

関連情報