こんにちは！！SEのtx_anです。
この記事は NHN テコラス Advent Calendar 2018 の18日目の記事です。

今年のre:Invent 2018では様々な新しいサービスが発表されましたね。
皆さまは、その中でどのサービスが気になりましたか？
私は、Transit Gatewayがすごく気になりました。

早速試してみましたので、このブログで紹介したいと思います。

Transit Gatewayとは？

AWS Transit Gateway はお客様が Amazon Virtual Private Cloud (VPC) とオンプレミスネットワークを単一のゲートウェイに接続できるようにするサービスです。AWS で実行するワークロードの数が増えるにつれ、その増加に対応できるよう複数のアカウントと Amazon VPC 間のネットワークをスケールする能力が必要になります。現在でも、ピアリングすることで Amazon VPC 間を接続できます。
…
— AWS Transit Gateway

上記の文書から一部の機能を下記の図にまとめました。
左側のダイアグラムは従来よく利用されている構成だと思います。(利用されていない場合は許してください。)
そしてTransit Gatewayを導入後は、右のダイアグラムになります。
VPC-ピアリングやVPN接続の部分をTransit Gatewayだけで一元管理できます。すごいですね。

では、右のダイアグラムを実現しましょう。
本ブログはでは注目のTransit Gatewayを試しますので、以下の環境準備をお願いします。m(_)m

環境準備

• VPC2つ：
  • VPC1: 10.0.0.0/16
  • VPC2: 172.33.0.0/16
• RTX1210とVPCサイト間VPN接続
• それぞれのVPCに1つEC2起動
  • VPC1 :10.0.1.155
  • VPC2 :172.33.0.154

それでは本題であるTransit Gatewayの設定を行います！！！

Transit Gateway作成

「AWSコンソール」->「VPC」->「Transit Gateway」->「Create Transit Gateway」

• 「Name」と「Description」を記入、他の項目をdefaultにしましょう。

Transit Gateway Attachments作成

「AWSコンソール」->「VPC」->「Transit Gateway Attachments」->「Create Transit Gateway Attachments」

VPC用のTransit Gateway Attachment作成

• Transit Gateway ID: 作成したTransit Gatewayを選択
• Attachment Type: VPC
• VPC ID: 該当VPC選択
• Subnet IDsを選択
• 他の項目：default

2つVPC用にTransit Gateway Attachmentを作成してください。

VPN用のTransit Gateway Attachment作成

• Transit Gateway ID: 作成したTransit Gatewayを選択
• Attachment Type: VPN
• Customer Gateway ID: 該当に選択
• 他の項目：default

各のVPCのルーティングを作成

赤い枠は作成したTransit Gatewayを選択します。

• VPC1（10.0.0.0/16）のルーティング
  

• VPC2（172.33.0.0/16）のルーティング
  

ここまででTransit Gatewayの準備が完了しました。

VPC1（10.0.0.0/16）のEC2からVPC2（172.33.0.0/16）のEC2へ通信確認

re:Invent 2018で発表されたArmベースの新しいAWS Gravitonプロセッサー-a1.mediumインスタンスタイプを利用しました。

[ec2-user@ip-10-0-1-155 ~]$ uname -r
4.14.77-81.59.amzn2.aarch64
[ec2-user@ip-10-0-1-155 ~]$ ssh 172.33.0.154
Last login: Fri Dec 14 06:34:46 2018 from 10.0.1.155

       __|  __|_  )
       _|  (     /   Amazon Linux 2 AMI
      ___|\___|___|

https://aws.amazon.com/amazon-linux-2/
1 package(s) needed for security, out of 5 available
Run "sudo yum update" to apply all updates.
[ec2-user@ip-172-33-0-154 ~]$

各のEC2からRTX1210へ通信

[ec2-user@ip-10-0-1-155 ~]$ ssh nguyenan@192.168.100.1
nguyenan@192.168.100.1's password:
RTX1210 Rev.14.01.33 (Fri Nov  2 14:31:39 2018)
Copyright (c) 1994-2018 Yamaha Corporation. All Rights Reserved.
To display the software copyright statement, use 'show copyright' command.
00:a0:de:cb:0d:0f, 00:a0:de:cb:0d:10, 00:a0:de:cb:0d:11
Memory 256Mbytes, 3LAN, 1BRI
nguyenan-test>

[ec2-user@ip-172-33-0-154 ~]$ ssh nguyenan@192.168.100.1
nguyenan@192.168.100.1's password:
RTX1210 Rev.14.01.33 (Fri Nov  2 14:31:39 2018)
Copyright (c) 1994-2018 Yamaha Corporation. All Rights Reserved.
To display the software copyright statement, use 'show copyright' command.
00:a0:de:cb:0d:0f, 00:a0:de:cb:0d:10, 00:a0:de:cb:0d:11
Memory 256Mbytes, 3LAN, 1BRI
nguyenan-test>

オフィスPC（192.168.100.2）からVPC2（172.33.0.0/16）のEC2へ通信確認

$ ifconfig |grep inet|grep 192
	inet 192.168.100.2 netmask 0xffffff00 broadcast 192.168.100.255
$ ssh -i key.pem ec2-user@172.33.0.154
Last login: Thu Nov 29 11:01:54 2018 from wsip-24-120-53-74.lv.lv.cox.net

       __|  __|_  )
       _|  (     /   Amazon Linux 2 AMI
      ___|\___|___|

https://aws.amazon.com/amazon-linux-2/
1 package(s) needed for security, out of 5 available
Run "sudo yum update" to apply all updates.
[ec2-user@ip-172-33-0-154 ~]$ 

Transit Gateway導入メリット

• ネットワークダイアグラムを簡略化
• 運用・管理コスト削減
• 通常４つVPC間通信するには８個作成からTransit Gateway 1個作成だけ削減

現時点Transit Gateway制限

• Transit Gatewayはまだリージョン間の利用ができません。同リージョンの場合は別のアカウントでも利用可能です。

最後に

• 本ブログで簡単なTransit Gatewayの利用方法を紹介しました。
• VPC間の通信やAWS環境VPCとオフィスの通信が確認できました。
• Transit Gatewayのみで、ネットワーク管理できるのは超楽でしょう。
• 発表された時点では東京リージョンが利用できなかったが、利用可能になったので、皆さんの環境で是非ご利用ください。
• 次は同リージョンで別のアカウントとの通信を試したいと思います。