// シス担のミカタ
クラウドネットワーキング

Transit Gateway とらんじっとげーとうぇい

VPCVPNAWSハブアンドスポークルーティングマルチアカウント
Transit Gatewayについて教えて

簡単に言うとこんな感じ!

複数のクラウドネットワーク(VPC)や拠点(オンプレミス)を、ひとつの「中央ハブ」に集めてまとめてつなぐ仕組みだよ。バラバラな道路をひとつのインターチェンジに集約するイメージ!これがないと拠点の数だけ個別に接続を張らないといけなくて、めちゃくちゃ大変になるんだ。

Transit Gatewayとは

Transit Gateway(トランジットゲートウェイ) は、AWSが提供するクラウドネットワーク用の「中央集線装置」です。複数の VPC(Virtual Private Cloud) やオンプレミス(自社データセンター)、他のAWSアカウント上のネットワークを、1か所のゲートウェイにまとめて接続できます。

従来は「VPCピアリング」と呼ばれる1対1の接続を拠点ごとに張る必要があり、拠点が増えるにつれて管理が爆発的に複雑になる問題がありました。Transit Gatewayはこの問題を解消するために登場し、ハブアンドスポーク型トポロジー(中心のハブに複数のスポーク=端末が刺さる形)でネットワークを整理します。

企業が複数のAWSアカウントや複数リージョンにシステムを分散させるマルチアカウント構成では、Transit Gatewayはもはや標準的なインフラ部品のひとつになっています。ルーティングの一元管理やセキュリティポリシーの統一もしやすくなるため、ネットワーク管理コストを大幅に削減できます。

Transit Gatewayの仕組みと構造

Transit GatewayはAWSのリージョン内に配置され、各VPCや接続先を「アタッチメント(attachment)」として登録します。接続先への通信はルートテーブルによって制御されます。

接続できる対象接続方式主な用途
VPC(同一アカウント)VPCアタッチメント社内システムの分離・統合
VPC(別アカウント)Resource Access Manager (RAM) 経由マルチアカウント構成
オンプレミスVPN / Direct Connect ゲートウェイ本社・データセンターとの接続
別リージョンTransit Gateway ピアリンググローバル構成
SD-WAN / サードパーティVPN アタッチメント拠点網との統合

ハブアンドスポーク構造を覚えるコツ

「車輪(ホイール)」をイメージすると覚えやすいです。中心の「ハブ(車軸)」がTransit Gateway、タイヤの外側に向かって伸びる「スポーク(放射状の棒)」がVPCや拠点です。スポーク同士が直接つながらず、必ずハブを経由するのがポイントです。

  VPC-A ──┐
  VPC-B ──┤
  VPC-C ──┼── Transit Gateway ──── オンプレミス
  VPC-D ──┤
  VPN  ──┘

VPCピアリングとの比較

比較項目VPCピアリングTransit Gateway
接続形態1対1(フルメッシュ)1対多(ハブアンドスポーク)
拠点10個の接続数最大45本最大10本
ルーティング管理各VPCで個別設定ゲートウェイで一元管理
帯域幅制限なし(自動)最大100Gbps
コスト通信量のみ固定費+通信量
推奨規模少数・シンプルな構成中〜大規模・複雑な構成

歴史と背景

  • 2018年11月 — AWS re:Invent 2018にてTransit Gatewayを発表・提供開始。それまでのVPCピアリングの「フルメッシュ問題」を解決するために設計された
  • 2019年 — Direct Connectゲートウェイとの統合に対応。オンプレミスとの接続がより柔軟になる
  • 2020年Transit Gateway ピアリングが一般提供開始。異なるリージョン間のTGT同士を接続できるようになり、グローバル構成が現実的に
  • 2021年〜マルチキャストサポート、Network Managerとの連携など機能拡充が続く。大手企業のLanding Zone(マルチアカウント基盤)設計での採用が急増
  • 現在 — AWS Well-Architected Frameworkでもマルチアカウント設計の標準パターンとして推奨。AzureのVirtual WAN、Google CloudのNetwork Connectivity Centerも類似機能を提供

他クラウドとの比較・構造図

各クラウドプロバイダーもTransit Gatewayに相当する機能を提供しています。

クラウドサービス名特徴
AWSTransit Gateway最も歴史が長く機能豊富
AzureVirtual WANSD-WANパートナーとの統合が強い
Google CloudNetwork Connectivity CenterBGPルーティングが柔軟
オンプレミス相当物理/仮想ルーターCisco、Juniperなど

以下はTransit Gatewayを中心としたネットワーク全体像の構造図です。

Transit Gateway (中央ハブ) VPC-A 本番環境 VPC-B ステージング環境 VPC-C 開発環境 VPC-D 別アカウント オンプレミス VPN / Direct Connect 別リージョン TGW ピアリング ルートテーブルで 通信経路を一元管理 VPC接続(同一アカウント) 別アカウントVPC オンプレ / 別リージョン

関連する規格・RFC

規格・RFC番号内容
RFC 4271BGP(Border Gateway Protocol)— TGWのルーティングに利用
RFC 4364BGP/MPLS IP VPN — Direct Connect接続時の参考規格
AWS BlackBelt Transit GatewayAWSの公式技術解説(規格ではないがデファクトのリファレンス)

関連用語

  • VPC — AWSクラウド上に作る「自分専用の仮想ネットワーク空間」
  • VPCピアリング — 2つのVPCを1対1で直接つなぐ方法。少数ならこれで十分
  • Direct Connect — オンプレミス