VPC 재구성과 관련된 Direct Connect 및 사이트 간 VPN 연결 마이그레이션 정보

특정 AWS 환경에서 Direct Connect로 연결하고 VPN 연결을 모두 수행하는 VPC를 재구성합니다.
당초는 「우와, 라우터 설정이라든지 전부 다시 해도 뭐야!?」라고 생각하고 있었습니다만, 조사해 보면 전혀 간단했습니다.

대부분 끝이 접혀 있지만 환경은 이런 느낌.

AWS 측

현재 VPC(10.0.0.0/16)

신규 구축 VPC (새 CIDR로 재구축 10.1.0.0/16)

VGW (이것이 없으면 시작되지 않음)

Direct Connect Gateway(VGW 연결)

고객 게이트웨이 (사이트 간 VPN 구성에 필요)

온 프레미스 (고객) 측

서브넷(10.100.0.0/16)

온프레미스(오피스)측

서브넷(192.168.0.0/24)

그래서 실제로 할 일은 이것뿐입니다.

작업 내용

재구성 전 VPC에서 VGW 분리
(※ 분리하면 VGW와 Direct Connect Gateway와의 연결이 없어지므로주의!)

새롭게 구축한 VPC에 VGW를 어태치

VGW를 부착 한 VPC에 연결하는 라우팅 테이블에서 "Route Propagation (루트 전파)"을 활성화 (※ 1)

VPC에 접속한 VGW를 Direct Connect Gateway에 다시 연결 실시
그 때에 「허가된 접두사(Allowed prefixes)」를 새로운 VPC의 CIDR로 설정(※2)

----------
※1 루트 전파를 유효화하기 전에 통신에 필요한 라우팅을 추가해 두도록 한다
※2 온프레측에 허가받기 위한 광고를 실시하므로, 통신에 필요한 사이즈의 CIDR에서도 OK
----------

그러면 이런 식으로 됩니다.


주의해야 하는 것이 보안 그룹 설정.

새로 만들면 좋지만 기존 설정을 복사하여 만들 때 인바운드/아웃바운드의 소스 IP 재작성을 잊어버리는 경향이 있습니다.
이것을 잊으면, 나중에 「에? 뭐? 왜 통신할 수 없어? 루트 테이블을 괴롭히는 날개가 됩니다 (나입니다).

이번에는 VGW의 교체로의 대응이었습니다만, 어차피라면 Transit Gateway에서의 설정으로 하면 좋았다고 생각하고 있습니다.
하지만, 몇 분 자신의 환경이 아니기 때문에, 생각할 수 없었던 것은 사실입니다.

이번, 자신의 검증 환경에서 VPN 연결을 Transit Gateway를 통해 변경 해 보자고 생각합니다.

이번 기사도 누군가의 도움이 되면 다행입니다.