AWS EC2で業務系LANから分離された管理系LANネットワーク構成(裏LAN)

最終更新日付: 2020年10月3日

オンプレの物理サーバーの構成の時には、業務系ネットワーク(業務LAN=フロントエンド)のネットワーク帯域を消費したくないことから、管理系ネットワーク(裏LAN=バックエンド)を設けるネットワーク構成がありました。

AWS上のEC2では業務系ネットワーク(業務LAN=表LAN=フロントエンド)と完全に分離された管理系ネットワーク(管理LAN=裏LAN=バックエンド)を設けるネットワーク構成はとれるのでしょうか?

結論、TGW(トランジットゲートウェイ)も使用すれば分離された裏LANネットワーク構成は出来なくはない

ポイントはTGWを用意することにより、業務LANのVGWに対し裏LANが接続されていない点です。裏LANのルーターにはルーティングテーブル上にVGWは存在しなくTGWのみにつながっていることにより明らかにネットワーク分離されています。

クラウドに持って行って「そこまでする必要があるのか?」という疑問はありますが、「分離」にシビアな場合のネットワーク構成の場合ですね。

環境・前提条件

クラウドになり、ローカルなLANほどネットワーク帯域をシビアに考えなくなりましたが(ネットワーク帯域が広い)、
データ通信のセキュリティ面から完全に業務ネットワークと管理ネットワークを分離したいといった場合の話です。そして、両方のネットワーク共にオンプレに接続したい場合といった特殊要件です。

ただ普通に2枚NIC(複数ENI)を持っただけでは完全には分離されていない

例えば、とっても簡単に裏LANネットワーク構成を考えてみた場合、上記のようなAWSネットワーク構成が思い浮かぶと思います。しかし、この場合は二つのサブネットのルーターが、同じVGWに接続してしまうため、厳密にはネットワークは分離されていない状態です。

TGWはVGWとはルートテーブル上、別物のルートターゲットになる(別ルーティング機器)

AWSのサブネットで設定するルートテーブル(ルーティング)は、サブネットのGWの先にいるルータのルートテーブルを設定しています。

EC2

VPCのGW (10.x.x.1)
AWSのルートテーブルに沿った通信

ルートターゲット(VGWやTGW)
※VGW=Virtual Private Gateway、TGW=Transit Gateway

オンプレ

といった通信ルートになるので、サブネットが分かれていて、VGWとTGWといったルートターゲットが別物ならばAWSのコンソール上(論理上)は完全に分離されたネットワークになります。
オンプレに接続しなくても良い場合は、VPC Peeringでも裏LANが作れますね。

TGWは接続先VPNやVIFが無くても作成でき使用出来きる

TGWの面白いところは、オンプレミスと接続するようなDXのVIFやVPNが無くても、
複数のVPC同士を相互にネットワーク接続する意味合いで、TGWを作成し使えるところが面白いですね!

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です