COLOR IS クラウドLT大会 VOL.11 LT⑤ TRANSIT GATEWAYのアプライアンスモード 2024/10/28 野崎 高弘

2 • 野崎 高弘（のざき たかひろ） • 前職まではインフラ構築・保守やSOCセキュリティアナリストをやっていました • 現在は見積もり、提案などのドキュメント作業や技術検証が主なインフラエンジニア • 趣味：資格取得、ゲーム（RPG）、犬の散歩、ドラマ鑑賞、巨人ファン • 資格：現在、AWS・GCP全冠、その他100種以上保持の資格オタク • 2024年3月『AWS認定 高度なネットワーキング-専門知識（ANS-C01）完全対応テキスト』執 筆（2章、巻末模擬問題担当） • 主な受賞歴 2023 Japan AWS All Certifications Engineers 2024 Japan AWS All Certifications Engineers 2024 Japan AWS Top Engineers(Networking) 自己紹介

本LTの内容 3 Transit Gatewayのアプライアンスモードについて、詳細に解説 Transit Gatewayアタッチメントのアプライアンスモード（TGW Appliance mode）は、各AZ （アベイラビリティゾーン）から発信されたトラフィックが別々のセキュリティアプライアンス （ステートフルファイアウォール）を通る非対称ルーティングにより、パケットがドロップ（破 棄）されないようにするために使用する機能です。 この設定は、異なるAZのセキュリティアプライアンスと通信するときに必須となる機能であり、 AWSのANS-C01試験でも出題される要素です。しかし、その割には設定したことがない方も多い と思うので、その設定方法を本LTでご紹介します。 （参考） ステートフルアプライアンスおよびアプライアンスモード [AWS Black Belt Online Seminar] Gateway Load Balancer 資料及び QA 公開

考慮事項と対象者 4 考慮事項 • アプライアンスモードが有効な場合のトラフィックは、送信元と送信先のトラフィックがTGW アタッチメントからセキュリティアプライアンスがあるインスペクションVPCに到達する限り、 正しくルーティングされます。 • アプライアンスモードが有効になっていない場合、トラフィックは発信元のAZに保持されます が、アプライアンスモードを有効にしたアタッチメントでは、トラフィックが発信元と異なる AZを流れる可能性があるため、そのアタッチメントの現在のルートに影響する可能性がありま す。 対象者 • ANS-C01（AWS Certified Advanced Networking – Specialty）試験受験予定者 • TGWの設定をするネットワークエンジニア

アプライアンスモードとは 5 （アプライアンスモードが無効な場合） VPC AのAZ 1⇨VPC BのAZ 2へのリクエスト トラフィックが、検査のためにVPC CのAZ 1 のステートフルセキュリティアプライアンス を経由します。 次にその戻りであるVPC BのAZ 2からのレス ポンストラフィックが、TGWによってVPC C の同じAZ 2にルーティングされます。 ところが、AZ 2のアプライアンスはVPC Aの 送信元からの元のリクエストを認識していな いため、リクエストトラフィックとレスポン ストラフィックの両方が検査できず、トラ フィックをドロップします。 （https://docs.aws.amazon.com/ja_jp/vpc/latest/tgw/images/transit-gateway-appliance-dropped-traffic.png より）

アプライアンスモードとは 6 （アプライアンスモードが有効な場合） VPC CのTGWアタッチメントでアプ ライアンスモードのサポートを有効 にした場合、VPC BのAZ 2からのレ スポンストラフィックが送信元トラ フィックと同じ VPC CのAZ 1にルー ティングされるようになります。 これにより対称ルーティングとなり、 VPC CのAZ 1のアプライアンスはセ キュリティチェックをOKし、元の送 信元にトラフィックを返します。 （https://docs.aws.amazon.com/ja_jp/vpc/latest/tgw/images/transit-gateway-appliance.png より）

アプライアンスモードとは 7 （アプライアンスモードが有効な場合） 原理的に説明すると、TGWは、フローハッシュアルゴリズムを使用して、対象VPC内の1つのネットワークイ ンターフェイス（ENI）を選択し、フローの有効期間中トラフィックを送信します。そしてリターントラ フィックに同じENIを使用します。これにより、双方向トラフィックに対しては対称ルーティングが行われ、 フローの有効期間中、TGWアタ ッチメント内の同じAZを経由し てルーティングさせることがで きるようになります。 フローハッシュアルゴリズムは、 NLBのセッション維持にも使わ れている原理です。 （https://www.linkedin.com/pulse/hash-flow-algorithm-aws-network-load-balancer-nlb-in-depth-mishraより）

構成図 8 送信元VPC AのAZ（ap- northeast-1a）にある送 信元EC2から、送信先VP C BのAZ（ap-northeast- 1c）にある送信先EC2への 通信前提の必要な部分の図 だけを抜粋

事前作業 9 以下のリソースは既に作成済みであるものとし、ここではインスペクションVPCでのTGWアタッ チメントの作成部分だけを取り扱います。 • VPC Aとそのプライベートサブネット、EC2、TGWアタッチメント • VPC Bとそのプライベートサブネット、EC2、TGWアタッチメント • VPC C（nozaki-vpc）とそのプライベートサブネット、セキュリティアプライアンスEC2

TGW設定手順概要 10 1. TGWの作成 2. TGWアタッチメントの作成 ・TGW、VPCとの関連付け ・アプライアンスモードサポートを有効に

TGW設定（TGWの作成） 11 名前：わかりやすい名前で あとはデフォルトでOK ASN：特に指定しなければ、 「64512」が設定

TGW設定（TGWアタッチメントの作成） 12 名前：わかりやすい名前で TGW ID：既存のTGWを指定 アタッチメントタイプ：VPCを 指定

TGW設定（TGWアタッチメントの作成） 13 アプライアンスモード：有効に VPC ID：対象のVPCを指定 あとはデフォルトでOK

応用例：Gateway Load Balancer がある場合のアプライアンスモード 14 Gateway Load Balancer（GWLB）で は、TGWがアタッチされているサブネッ トにインラインVPCがGWLBエンドポイ ント向けの経路を向けます。 この際、セキュリティアプライアンスが ある方のTGWアタッチメントで、アプラ イアンスモードを有効にすることによ り、トラフィックが行きのGWLBエンド ポイントに戻る対称ルーティングになり ます。

感想・まとめ 15 • TGWアタッチメントのアプライアンスモードは、各AZから発信されたトラ フィックが別々のセキュリティアプライアンスを通る非対称ルーティングによ り、パケットがドロップされないようにする機能 • 異なるAZのセキュリティアプライアンスと通信するときに必須となる機能 • TGWはフローハッシュアルゴリズムを使用して、対象VPC内の1つのENIを選 択して、フローの有効期間中トラフィックを送信し、リターントラフィックに 同じENIを使用する • アプライアンスモードではトラフィックが任意のAZを流れる可能性があるため、 そのアタッチメントの現在のルートに影響する可能性に注意

16 色々拙いところはあったかと思いますが ご清聴ありがとうございました （なお、本LTの内容はあくまで個人見解の技術的調査・検証であり、私の所属する会社等は一歳 関係ありません）