皆さんこんにちは。LifeKeeperプリセールスの西下です。
AWSの構築の現場でもTransit Gateway(トランジットゲートウェイ)の採用がよく聞かれるようになってきました。このTransit Gatewayを使うとHAクラスターの構築がシンプルになりとてもメリットがあります。
TransitGatewayとはどういったものなのか、どう使うと、どんなメリットが有るのか、そしてTransit Gatewayを使ったHAクラスター構成の設定例をご説明いたします。
Transit Gatewayとは
Transit Gatewayは2018年11月に登場したAWSのネットワークサービスで、VPC間のネットワーク接続をシンプルにして、簡単に管理できるようにするハブのようなサービスです。例えば「オンプレ-VPC」や「VPC-VPC」といった接続を単一のゲートウェイで実現できます。
従来の方法では、複数のアカウントの運用で複数のVPCの管理が必要になった場合、VPC間のピアリングやVPN、Direct Connect接続要件があれば経路は複雑になり、その分運用コストも増えてしまいますが、Transit Gatewayを使うことで、経路を集約して管理することができます。
従来の場合
Transit Gatewayを利用した場合
詳しくは公式のドキュメントをご参照ください。→[AWS Transit Gateway]
Direct Connect Gatewayとの違い
Direct Connect Gateway(DXGW)とはDirect Connect環境の追加機能で、仮想インターフェース(VIF)から別リージョン、複数の仮想ゲートウェイ(VGW)への接続を可能にします。
従来の場合だとVIFとVGWは1:1かつ同一リージョンである必要がありましたが、DXGWを利用することで別リージョンのVPCと接続することができ、複数のVPCとの接続も可能です。
詳しくは公式のドキュメントを参照ください。→[AWS Direct Connect Gateway]
DXGWはVPCーオンプレミス間の接続のみですが、Transit GatewayはさらにVPC間の接続もできるようになります。
また、DXGWは最大10個までしかVPCを接続できませんが、Transit Gatewayでは数千個ほど接続可能です。
Transit Gatewayの料金
Transit Gatewayの利用料金は従来の方式と比べて高いのでしょうか?安いのでしょうか?
Transit Gatewayの1アタッチメントにつき1時間あたり0.07USDかかります。処理データについては1GBあたり0.02USDかかります。 →[AWS Transit Gateway の料金]
Transit Gatewayの料金はVPNの料金に追加されるので、それだけを聞くと割高な印象を受けてしまいます。しかしVPCの数が増えてくればVPC間のピアリングの経路の組み合わせが掛け算で爆発的に増えてきます。これらの多くのVPCピアリングの設定コストを、Transit Gatewayはハブ・アンド・スポーク方式のシンプルな構成で埋めてくれるので、VPCが増えれば割安になります。
HAクラスターと組み合わせた時のメリット
さて、このTransit GatewayはHAクラスターの観点でどんなメリットがあるかというと、HAクラスターの構成に関わらず、1つのシンプルな構成で構築できる点にあります。ここをご理解いただくために、少し製品の話をさせて頂きます。
当社のHAクラスターソリューションのLifeKeeperは、AWS上での冗長構成を標準機能でサポートしています。この標準機能を使うことで、個別に制御スクリプトを開発すること無く、AWS上でのAZ(Availability Zone)を跨いだHAクラスターを短工数で構築できます。
現時点でLifeKeeperが対応しているのは下記の構成です。
※下図では省略していますが、いずれの構成もAZを跨いだ構成を前提としています。
<製品の標準機能でサポートされるHAクラスター構成>
この4つの構成の中で主に使われているのが、「ルートテーブルによる制御」と「Route53による制御」です。
ルートテーブルによる制御「ルートテーブルシナリオ」
AWS上のHAクラスター構成に対してクライアントが同一のVPCにある場合は、ルートテーブルシナリオがよく使われます。これはクライアントに対してVPCのレンジ外を指しているダミーの仮想IPアドレスにアクセスさせ、ルートテーブルを使ってルーティングの制御を行います。
<ルートテーブルシナリオの概念図>
Route53による制御
一方、AWS上のHAクラスター構成に対して、クライアントがVPCの外部…例えばオンプレミスの環境からDirect Connectを使ってアクセスする場合は、AWSの仕様上VPC外部からダミーの仮想IPによるルーティング制御ができません。このためRoute53を使ってホスト名の名前解決でルーティングの制御を行います。
<Route53による制御の概念図>
Route53によるLinux版JP1/AJS3のルーティングもサポートされています。
ルートテーブルも以前からサポートしておりましたが、環境の事情でTransit Gatewayを使えない場合などで有効です。
Transit Gatewayを使うと「ルートテーブルシナリオ」1つでまかなえる
LifeKeeperの観点でどんなメリットがあるかというと、クライアントがVPC外部にある場合でもルートテーブルシナリオを使える点にあります。ルートテーブルシナリオではVPCのCIDR外の「ダミーの仮想IP」をVPC内部のクライアントが使いますが、これはVPCのCIDR外のアドレスなのでVPCの外部のクライアントからはアクセスできません。Transit Gatewayを使うと、VPC外部からダミーの仮想IPにアクセスが可能になるので、VPCの外からでもルートテーブルシナリオが使えるのです。
Route53を使った制御は、システム要件でホスト名によるアクセスができない場合は使えないといったケースがあり、また、TTLなどDNSの設計の負担も増えます。Transit Gatewayとルートテーブルシナリオの組み合わせにより、今後シンプルな構成で効率的な構築が実現します。
<Transit GatewayとLifeKeeperを組み合わせた概念図>
このTransitGatewayとHAクラスタの構成についてもっと詳しく知りたい方は、こちらの動画をご覧ください。
| アジェンダ ・AWS TransitGatewayについて ・TransitGatewayを使わないHAクラスター構成 ・TransitGatewayを使ったHAクラスター構成 |
