[アップデート] Transit Gateway Network Manager で Route Analyzerが利用できるようになりました

TGWルートテーブルの検証が捗ります
2020.05.05

AWS Transit Gateway(TGW) は複数のVPC, オンプレミス間の通信を可能にするネットワーク系サービスです。 TGWルートテーブル を作成・設定することで、 各VPC, オンプレミス間の柔軟なルート制御が可能になります。

そんな Transit Gateway には Network Manager という機能が無料で利用できます。

TGWと接続されたネットワークを可視化ができます。 VPNのアップ・ダウンといったネットワークの変化や、各ネットワークリソースのメトリクス を監視することもできます。

この TGW Network Manager に新たに Route Analyzer(ルートアナライザー) が追加されました。

TGW Route Analyzer

TGWルートテーブル内のルートの分析を行うサービスです。

一般に TGW含めたネットワークのルート設定作業として以下を行います。

  • TGWアタッチメントの作成
  • TGWルートテーブルの関連付け
  • TGWルートテーブルの編集
  • (他, VPCやオンプレミスのルート設定)

上記の 太字 部分が適切に行われているか、 実際のトラフィックを発生させる前に検証 することができます。

※ セキュリティグループ、ネットワークACLなどは 分析の対象外 です

使ってみた

TGW Network Manager の画面に行くと、「ルートアナライザー」のタブがありました。

実際に使ってみましょう。 (※ Network Manager の基本的なセットアップは割愛します)

画面

ルートアナライザーの画面は以下になります。

送信元情報と、送信先情報 を登録して、 ルート分析を実行 します。シンプルです。

それぞれの項目の詳細は下記です。

  • 送信元
    • TGW :: 送信元のTGW
    • TGW アタッチメント :: 送信元の TGWアタッチメント
    • IPアドレス(オプション) :: 送信元IPアドレス
  • 送信先
    • TGW(オプション) :: 送信先のTGW
    • TGW アタッチメント(オプション) :: 送信先の TGWアタッチメント
    • IPアドレス :: 送信先IPアドレス
  • チェックボックス
    • 結果に戻りパスを含める :: 行き帰り両方の通信を分析する場合、有効化します
    • Middlebox アプライアンスですか? :: ミドルボックス構成のルート分析の場合、有効化します

例1: アウトバウンド通信の集約構成 で検証

下図のような構成で VPC-A から VPC-Outbound 経由のアウトバウンド通信ができるかどうか 調べてみます。

▼ 行きの通信のみ分析 する場合は以下の入力だけで OKです。

分析を実行してみた結果がこちら。

  • 送信元のアタッチメント
  • そのアタッチメントに関連付けられている ルートテーブル
  • そのルートテーブルから分かる 宛先のアタッチメント

の情報が分かります。

▼ 行き帰り両方の分析 をしてみます。

結果はこちら。行きの通信 前向きパス 、帰りの通信 戻りパス の検証結果が表示されました。

例2: Inter-Region Peering 環境 で検証

上のような共通サービスアクセスの構成を考えます。

  • オレゴン、東京リージョンを跨いだ構成
  • VPC-OregonVPC-Toyko は 東京リージョンにある VPC-Shared へアクセスできる
  • VPC-OregonVPC-Toyko は 互いにアクセスはできない

このとき VPC-Oregon から VPC-Shared へ通信ができるか、検証してみます。

▼ 行き帰り両方の通信 を分析してみます。

結果はこちら。

長くなりましたが以下情報が分かりました。

行きの通信

  1. 送信元 VPC-Oregon のアタッチメントからスタート
  2. ↑ のアタッチメントに関連付けられているルートテーブル
  3. ↑ のルートテーブルから分かるネクストホップ(Peering)
  4. 東京リージョンの Peering のアタッチメントに関連付けられているルートテーブル
  5. 送信先 ↑ のルートテーブルから分かるネクストホップ (VPC-Shared のアタッチメント)

帰りの通信

  1. 送信先 VPC-Shared のアタッチメントからスタート
  2. ↑のアタッチメントに関連付けられているルートテーブル
  3. ↑ のルートテーブルから分かるネクストホップ(Peering)
  4. オレゴンリージョンの Peering のアタッチメントに関連付けられているルートテーブル
  5. 送信元 ↑ のルートテーブルから分かるネクストホップ (VPC-Oregon のアタッチメント)

おわりに

新しく出た TGW Network Manager Route Analyzer を使ってみました。 TGWのルート構築は「アタッチメント」や「ルートテーブルの関連付け」など、行うことが多いです。 ちゃんと構築できているか、気軽にチェックできるのはとても便利だと感じました。

Route Analyzer の実際のドキュメントはこちらにあります。

ドキュメントの使用例は ミドルボックス構成の分析例 も載っているので 、その分析をされる方はご参考ください。