[AWS]DirectConnect Gatewayでマルチアカウント接続をシンプルにしよう

千葉淳

2019.05.30

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

コンニチハ、千葉です。

オンプレ環境と複数のVPCの接続が必要な環境があり、DirectConnect Gatewayを利用していました。また、マルチアカウント環境だったため、一手間かけて別アカウントに接続を共有する必要がありました。 ところがDirectConnect Gatewayがマルチアカウント対応したので、一手間がなくなりました。

*出典:https://docs.aws.amazon.com/ja_jp/directconnect/latest/UserGuide/multi-account-associate-vgw.html

なにがいいのか?

イメージわかないと思うので、具体的な例を元に進めていきます。

オンプレから以下の環境に接続したいとしましょう。

  • AWSアカウント1にあるVPC1、VPC2
  • AWSアカウント2にあるVPC1、VPC2

オンプレからアカウント2にある、合計4つのVPCに接続することとします。

まずは、以前のやりかたはこうです。

以前のDirectConnect Gateway

アカウント1で実施

  • 1.DX Gateway作成
  • 2.VIF作成
  • 3.VGWとDX Gatewayを紐付け
  • 4.VGWとDX Gatewayを紐付け

アカウント2で実施

  • 5.アカウント1で作成したVIFをアカウント2に共有
  • 6.DX Gateway作成
  • 7.VGWとDX Gatewayを紐付け
  • 8.VGWとDX Gatewayを紐付け

オンプレで実施

  • 9.VIF1とVIF2のBGP接続設定

マルチアカウントDirectConnect Gatewayだとこうなる

まず大きいのはDX Gateway自体を共有するので、VIFを作成する必要がなくなります。アカウント1のDX Gatewayを別アカウントのVGWと直接関連づけすることができます。そのため、オンプレでの作業負荷も軽減されますし、AWSアカウントが増えてもAWSコンソールだけでVPCを追加することができます。 手順はこんな感じになります。

アカウント1で実施

  • 1.DX Gateway作成
  • 2.VIF作成
  • 3.VGWとDX Gatewayを紐付け
  • 4.VGWとDX Gatewayを紐付け
  • 5.DX Gatewayを共有

アカウント2で実施

  • 6.VGWとDX Gatewayを紐付け
  • 7.VGWとDX Gatewayを紐付け

オンプレで実施

  • 8.VIF1のBGP接続設定

やってみた

実際にDX Gatewayのアカウント間共有を行ってみました。作業の前提です。

  • アカウント1(DX Gatewayシェアするアカウント)
  • VPC、サブネット、VGWを作成済み
  • VIFを作成済み
  • DX Gateway作成済み
  • アカウント2(DX Gatewayシェアされるアカウント)
  • VPC、サブネット、VGWを作成済み

作業のサマリです。

  • アカウント2へログイン
  • DXの画面に移動し、対象のVGWの設定画面で、別アカウントにあるDX Gatewayの関連付け
  • アカウント1へログイン
  • 関連付けを許可

アカウント2での作業(DX Gatewayシェアされるアカウント)

DX画面から、「DirectConnect Gatewayを関連づける」をクリックします。

「別のアカウント」を選択しそれぞれ入力しましょう。

登録できました。

アカウント1での作業(DX Gatewayシェアするアカウント)

対象のDX Gatewayへ移動します。すると、アカウント2から申請が来ているので許可します。

これで、DX Gatewayの共有が完了です!

制約、注意事項

制約、注意事項です。

  • DX Gatewayへ関連づけられるプライベートゲートウェイの数は最大10。上限緩和不可。(つまりVPCが10まで)
  • プライベート仮想インターフェイスのボーダーゲートウェイプロトコル (BGP) セッションあたりのルートが100。上限緩和不可。
  • BGP 動的ルーティングが有効になっていないとオンプレ側やAWS側でルーティング設定必要です。現在の設定を確認しましょう。
  • Direct Connect ゲートウェイを所有しているアカウントと仮想プライベートゲートウェイを所有しているアカウントに同じ支払い ID がある場合にのみ、Direct Connect ゲートウェイと仮想プライベートゲートウェイを関連付けることができます。(つまり、同じOrganizationに所属していること)

2020/7/27追記

現在は支払いIDに関する制限がなくなっており、別の支払いIDであってもマルチアカウントでの共有可能です。

参考:https://docs.aws.amazon.com/ja_jp/directconnect/latest/UserGuide/limits.html

さいごに

DX Gatewayのマルチアカウント対応やってみました。今まで、アカウントごとにVIFを作成する必要がありましたが不要になりました。AWSコンソールだけで、VPC追加対応できるのはとても便利でいいですね。早速導入してみました!!

参考

AWS

関連記事

AWS Transit Gatewayを使ってAWS Network Firewallを通らないように変更する際にダウンタイムが発生するケースを考えてみた

のんピ

2024.02.28

AWS Transit Gatewayを使ってAWS Network Firewallを通らないバイパスを作ってみた

のんピ

2024.02.09

占有型?共有型?AWS Direct Connect の接続(Connection)と仮想インターフェース(VIF)関連の用語を整理してみた

千葉 幸宏(チバユキ)

2024.01.22

Transit GatewayのアプライアンスモードはインスペクションVPCでのみ有効にするべき

のんピ

2024.01.19