AWS Transit Gateway
考えるべきこと
クロスアカウント
Resource Access Manager (RAM)
TGW のオーナーアカウントから、各アカウントに共有する
共有後、各アカウントで TGW が見えるようになるのでアタッチメントを作成する
個別に共有することもできるし、Organization単位で共有することもできる。(個別の場合は承認プロセスがある)
Organizationで共有する場合は、Masterアカウントで共有を有効化する
名前解決
Route53 Resolver
クロスアカウントで Route53 private hostzone の名前解決をしたい場合
アタッチさせるsubnet
ENI が作成される
他のEC2などのリソースが作成されるsubnetとは別に作ることが推奨されている A. Transit Gateway (TGW) のアタッチメントがついているサブネットと同一のサブネットに EC2 インスタンスが存在する場合に、その EC2 インスタンスはTGWと同じルーティングテーブルを参照します。例えば インライン監査用の VPC の TGW の ENI がある Subnet 上に EC2 インスタンスを設置してしまうと、その EC2 インスタンスは必ずインライン監査のミドルボックス ENI に吸い込まれてしまい、EC2 インスタンスの意図するルーティングテーブルを作れなくなってしまいます。こういったことを防ぐために、TGW 専用のサブネットを作ることをお薦めしています。
シンプルに作るなら強く気にする必要はない?
ネットワーク構成管理、テストをどうやるか
Reachability Analyzer
TGW を跨ぐ通信はテストできない?
TGW Network Manager
Route Analyzer
実際のトラフィックは発生しない。security group などは考慮されない。