[アップデート] Transit Gateway Network Manager で Route Analyzerが利用できるようになりました

AWS Transit Gateway(TGW) は複数のVPC, オンプレミス間の通信を可能にするネットワーク系サービスです。 TGWルートテーブル を作成・設定することで、 各VPC, オンプレミス間の柔軟なルート制御が可能になります。

そんな Transit Gateway には Network Manager という機能が無料で利用できます。

• AWS Transit Gateway network manager | AWS

TGWと接続されたネットワークを可視化ができます。 VPNのアップ・ダウンといったネットワークの変化や、各ネットワークリソースのメトリクス を監視することもできます。

この TGW Network Manager に新たに Route Analyzer(ルートアナライザー) が追加されました。

• Announcing Route Analyzer in AWS Transit Gateway Network Manager | AWS what's new

TGW Route Analyzer

TGWルートテーブル内のルートの分析を行うサービスです。

一般に TGW含めたネットワークのルート設定作業として以下を行います。

• TGWアタッチメントの作成
• TGWルートテーブルの関連付け
• TGWルートテーブルの編集
• (他, VPCやオンプレミスのルート設定)

上記の 太字 部分が適切に行われているか、 実際のトラフィックを発生させる前に検証 することができます。

※ セキュリティグループ、ネットワークACLなどは 分析の対象外 です

使ってみた

TGW Network Manager の画面に行くと、「ルートアナライザー」のタブがありました。

実際に使ってみましょう。 (※ Network Manager の基本的なセットアップは割愛します)

画面

ルートアナライザーの画面は以下になります。

送信元情報と、送信先情報 を登録して、 ルート分析を実行 します。シンプルです。

それぞれの項目の詳細は下記です。

• 送信元
  • TGW :: 送信元のTGW
  • TGW アタッチメント :: 送信元の TGWアタッチメント
  • IPアドレス(オプション) :: 送信元IPアドレス
• 送信先
  • TGW(オプション) :: 送信先のTGW
  • TGW アタッチメント(オプション) :: 送信先の TGWアタッチメント
  • IPアドレス :: 送信先IPアドレス
• チェックボックス
  • 結果に戻りパスを含める :: 行き帰り両方の通信を分析する場合、有効化します
  • Middlebox アプライアンスですか? :: ミドルボックス構成のルート分析の場合、有効化します

例1: アウトバウンド通信の集約構成 で検証

下図のような構成で VPC-A から VPC-Outbound 経由のアウトバウンド通信ができるかどうか 調べてみます。

▼ 行きの通信のみ分析 する場合は以下の入力だけで OKです。

分析を実行してみた結果がこちら。

• 送信元のアタッチメント
• そのアタッチメントに関連付けられている ルートテーブル
• そのルートテーブルから分かる 宛先のアタッチメント

の情報が分かります。

▼ 行き帰り両方の分析 をしてみます。

結果はこちら。行きの通信 前向きパス 、帰りの通信 戻りパス の検証結果が表示されました。

例2: Inter-Region Peering 環境 で検証

上のような共通サービスアクセスの構成を考えます。

• オレゴン、東京リージョンを跨いだ構成
• VPC-Oregon と VPC-Toyko は 東京リージョンにある VPC-Shared へアクセスできる
• VPC-Oregon と VPC-Toyko は 互いにアクセスはできない

このとき VPC-Oregon から VPC-Shared へ通信ができるか、検証してみます。

▼ 行き帰り両方の通信 を分析してみます。

結果はこちら。

長くなりましたが以下情報が分かりました。

行きの通信

1. 送信元 VPC-Oregon のアタッチメントからスタート
2. ↑ のアタッチメントに関連付けられているルートテーブル
3. ↑ のルートテーブルから分かるネクストホップ(Peering)
4. 東京リージョンの Peering のアタッチメントに関連付けられているルートテーブル
5. 送信先 ↑ のルートテーブルから分かるネクストホップ (VPC-Shared のアタッチメント)

帰りの通信

1. 送信先 VPC-Shared のアタッチメントからスタート
2. ↑のアタッチメントに関連付けられているルートテーブル
3. ↑ のルートテーブルから分かるネクストホップ(Peering)
4. オレゴンリージョンの Peering のアタッチメントに関連付けられているルートテーブル
5. 送信元 ↑ のルートテーブルから分かるネクストホップ (VPC-Oregon のアタッチメント)

おわりに

新しく出た TGW Network Manager Route Analyzer を使ってみました。 TGWのルート構築は「アタッチメント」や「ルートテーブルの関連付け」など、行うことが多いです。 ちゃんと構築できているか、気軽にチェックできるのはとても便利だと感じました。

Route Analyzer の実際のドキュメントはこちらにあります。

• Route Analyzer | AWS Document

ドキュメントの使用例は ミドルボックス構成の分析例 も載っているので 、その分析をされる方はご参考ください。