VPN サーバーの経路伝搬の構成
VPN サーバー用に構成されたクライアント IPv4 アドレス・プールは、複数のサブセット CIDR 範囲に分割され、宛先として VPC ルーティング・テーブルに追加されます。 VPC ルーティング・テーブル・フィールドの 「経路を受け入れる (Accepts routes from)」 は、VPN サーバーによって追加された経路をルーティング・テーブルが受け入れるかどうかを制御します。 このルーティング・テーブルに経路を伝搬するように VPN サーバーを構成します。
ルーティング・テーブルの作成 の場合、 次の経路を受け入れます。 フィールドで VPN サーバー を選択して、VPN サーバーの経路が伝搬されるようにします。 デフォルトのルーティング・テーブルでは、デフォルトで 「VPN サーバー」 が選択されています。 これは、以下の場合に行う必要があります。
-
VPN クライアントからサブネット内の仮想サーバー・インスタンスにアクセスする場合は、このサブネットに関連付けられているルーティング・テーブルの 「VPN サーバー」 を選択します。
-
VPN クライアントが Ingress トラフィック・ソースに接続されている VPC にアクセスできるように、VPN サーバーからの経路を受け入れるように Ingress ルーティング・テーブルを構成する場合は、 「VPN サーバー」 を選択して、以下を実行します。
- Direct Link や Transit Gatewayなどの Ingress トラフィック・ソースを選択するときに、 「アドバータイズ」 を 「オン」 に切り替えます。
- VPN 経路を作成 するときに、その VPN 経路に対して 「配信」 アクションまたは 「変換」 アクションを使用できます。
トラブルシューティングのために、 「VPN サーバー」 スイッチを選択または選択解除して、VPN サーバーによって追加された経路を確認できます。
経路を公示するためのクライアント VPN for VPC のマイグレーション
Transit Gatewayを介して接続された複数の VPC に VPN クライアントから接続する場合は、宛先 VPC への VPN サーバー経路を設定できます。 その後、 translate アクションを使用して、送信元 IP アドレスを VPN サーバーのプライベート IP に変換し、VPN クライアント IP アドレスを非表示にすることができます。 ただし、接続されているすべてのクライアント IP アドレスをモニターまたは監査する場合は、このアクションによってセキュリティー上の問題が発生する可能性があります。
2024 年 5 月 3 日以降、この問題は VPN サーバーの経路公示の使用によって解決されています。
translate VPN サーバー経路を使用する既存の VPN サーバーのお客様は、以下のオプションから選択できます。
-
VPN サーバー経路に対して
translateアクションを使用し続けます。 これ以上する必要はありません。 -
VPN サーバー経路に対して
deliverアクションを使用します。 VPN サーバーの 「アドバタイズ先」 スイッチを有効にした後、以下の手順を実行します。- VPN サーバーが存在する VPC の Ingress ルーティング・テーブルに移動します。
- 「トラフィック・ソース」 セクションで、 「アドバタイズ先」 を 「オン」 に切り替えます。
translateアクションを使用して VPN サーバー経路を削除します。deliverアクションを使用して VPN サーバー経路を作成します。- 経路の 「アドバタイズ」 状況が表の 「オン」 を示すのを待ちます。
このプロセスでは、トラフィックが短時間中断されます。 そのため、保守ウィンドウを使用してマイグレーションを調整し、中断を最小限に抑える必要があります。