Amazon Web Services ブログ

AWS Transit Gateway および AWS Cloud WAN におけるパフォーマンスとメトリクスに関する機能強化

本記事は 2025年5月12日に公開された “Performance and metrics enhancements for AWS Transit Gateway and AWS Cloud WAN” を翻訳したものです。

AWS は 2024年後半に AWS Transit GatewayAWS Cloud WAN において、以下のいくつかの機能強化を行いました。

  1. Transit Gateway および AWS Cloud WAN における Path MTU Discovery (PMTUD) のサポート
  2. アベイラビリティゾーン(AZ)の認識を改善するためのアプライアンスモードでのルーティング機能の強化
  3. AZ ごとの CloudWatch メトリクスへの対応
  4. AWS Cloud WAN におけるサービスの挿入操作に関する機能の強化

この記事では、これら4つの機能強化がどのように動作するのか、AWS ネットワークインフラストラクチャ全体に対してどのような価値を提供するのか、そしてこれらの機能を利用する上での重要な考慮事項について解説します。

1. Transit Gateway および AWS Cloud WAN における Path MTU Discovery (PMTUD) のサポート

2024年11月、AWS は Transit Gateway と AWS Cloud WAN の両方において PMTUD をサポートしたことを発表しました。この機能強化により、Transit Gateway と AWS Cloud WAN は現在 IPv4 と IPv6 の両方において PMTUD をサポートしています。

Transit Gateway と AWS Cloud WAN コアネットワークエッジ (CNE) における PMTUD の動作

PMTUD は、2つのホスト間におけるパス MTU を決定するために用いられます。パス MTU とは、送信側ホストと受信側ホストとの通信においてサポートされる最大パケットサイズです。2 つのホスト間のネットワークにおいてサポートされる MTU サイズが異なっている場合、PMTUD がサポートされているとパス上のネットワークデバイス(ここでは Transit Gateway や AWS Cloud WAN CNE)が送信側ホストに対して Internet Control Message Protocol (ICMP) メッセージで応答し、ネットワークパスでサポートされている最小の MTU サイズを通知することで、通知された MTU サイズ以下での再送を要求します。もしこの仕組みがなかった場合には、以下の図で示すように、送信されたパケットのサイズが受信側ホストで対応可能なサイズよりも大きかった場合にパケットドロップが発生する可能性があります。

Figure 1: PMTUD packet flow図 1: PMTUD パケットフロー

PMTUD がサポートされる以前では、Transit Gateway や AWS Cloud WAN CNE がサポートする最大 MTU サイズ(8500 bytes)を超えるジャンボフレームパケットを受信した場合には、VPC アタッチメントにおいて通知されることなく破棄されていました。PMTUD のサポートによって、このようなパケットが確認された場合には送信側ホストに対して IPv4 の場合は ICMP Fragmentation Needed メッセージ(Type 3、Code 4)が、IPv6 の場合は Packet Too Big (PTB) メッセージが ICMPv6 (Type 2) で通知されるようになります。これにより、送信元ホストは適切なパケットサイズへ調整した上で再送を行うことが可能となり、それ以降のネットワーク間でのサポートされるパケットサイズの不一致に伴うパケットドロップの発生を抑制することができます。

ユースケース

  • Amazon Linux の Amazon Machine Image (AMI) では既定の最大 MTU サイズは 9001 byte(ジャンボフレーム)となっています。Transit Gateway および AWS Cloud WAN における PMTUD のサポートによって、ユーザーは Amazon Elastic Compute Cloud (Amazon EC2) において引き続き 9001 byte のジャンボフレームを使用しつつ、最大 MTU サイズとして 8500 byte までのサポートとなるこれらのサービスを経由した通信を使用する場合においても、このジャンボフレームの既定値を変更する必要性はありません。
  • 同一 AWS リージョン内での VPC Peering においては最大 9001 byte のジャンボフレームがサポートされています。 一方で、Transit Gateway や AWS Cloud WAN の最大 MTU サイズは 8500 byte であるため、従来は VPC Peering からこれらのサービスを利用する構成へ移行する際には VPC 内の全ての EC2 インスタンスにおいて MTU サイズを 8500 byte 以下に変更する必要がありました。Transit Gateway および AWS Cloud WAN における PMTUD のサポートによって、そのような対応は不要となり、移行に際しての工数が大幅に削減されます。

考慮事項

  • Transit Gateway および AWS Cloud WAN における PMTUD 機能は既定で有効となっているため、ユーザーは設定変更を行う必要性はありません。
  • セキュリティグループとネットワークアクセスコントロールリスト(NACL)において、必要な ICMP ルールを許可する必要があります。
  • 執筆時点においては、Transit Gateway および AWS Cloud WAN において AWS Site−to−Site VPNAWS Direct Connect を利用する場合や、ピアリングを構成する場合における PMTUD はサポートしていません。
  • Transit Gateway でインスペクション VPC を用いてサードパーティの仮想アプライアンスを通信が通過する必要がある場合には、それらのネットワーク仮想アプライアンスにおいてジャンボフレームが有効となっていることを確認する必要があります。
  • 詳細については、Transit Gateway における MTU の考慮事項および EC2 インスタンスにおける MTU の設定についてのユーザーガイドを参照してください。

2. Transit Gateway と AWS Cloud WAN におけるアプライアンスモードでのルーティング機能強化による AZ 認識の強化

2つ目の機能強化として、Transit Gateway および AWS Cloud WAN CNE におけるパケットルーティングが改善されました。このルーティングプロセスにおける AZ 認識に関する機能強化は 2024 年 11 月 30 日に、Transit Gateway および AWS Cloud WAN が使用可能な全ての AWS リージョンに展開されました。

アプライアンスモードは、ファイアウォールやインライン分析、その他の通信経路に挿入して使用される仮想アプライアンスなどをサポートするためのインスペクション VPC アーキテクチャを実現するために実装されました。これらのセキュリティアプライアンスは、ネットワーク接続情報を維持しつつ適切にトラフィックフローの検査および制御を行います。たとえば、ファイアウォールは外部への送信トラフィックの開始を検出すると、その返信トラフィックを適切に評価するために必要となる接続状態についての情報を作成します。しかし返信トラフィックが別の AZ に配置されているファイアウォールに転送されてしまった場合、そのファイアウォールは接続状態についての情報を保持していないため返信トラフィックをブロックしてしまうことになります。アプライアンスモードは、このような問題の発生を防止するために、送受信トラフィックが同じ AZ の同じセキュリティアプライアンスを通過するように対称ルーティングと呼ばれる制御を行います。

これまでは、VPC アタッチメントにおいてアプライアンスモードが有効になっている場合、Transit Gateway および AWS Cloud WAN CNE における対称ルーティングではフローハッシュアルゴリズムに基づいてトラフィックの AZ を判断していました。このアルゴリズムは IP パケットにおける 4 タプルに基づいており、トラフィックフローの送信元および宛先の AZ については考慮されていなかったため、トラフィックが異なる AZ を経由する遠回りな経路となってしまう場合がありました。

この問題に対して、今回の AZ 認識の強化により、Transit Gateway と AWS Cloud WAN CNE はトラフィックパスの選択において、トラフィクフローの送信元と宛先の両方の AZ を考慮するようになり、フローの送信元と宛先が同じ AZ にある場合には、トラフィックはインスペクション VPC を経由する場合であっても同じ AZ 内に留まるようになりました。これにより、より効率的なルーティングとなり、レイテンシーを低減できる可能性があります。

この機能強化によるトラフィック最適化シナリオ

次の図で示すように、同じ AZ(use1-az1)に配置されているリソース間での Transit Gateway によってインスペクション VPC を経由させるトラフィックフローを考えてみましょう。このフローでは、use1-az1 と use1-az2 の2つの AZ にアタッチメント接続を構成したインスペクション VPC を経由します。今回の機能強化以前では、送信元と宛先の両方のリソースが use1-az1 にあったとしても、トラフィクが use1-az2 にあるインスペクションアプライアンス経由となる可能性がありました。今回の機能強化によって、Transit Gateway は送信元と宛先のリソースが use1-az1 にある場合には use1-az1 側のインスペクションアプライアンスを経由させるようになるため、AZ アフィニティが維持され、レイテンシーの低減とより予測可能なネットワークパフォーマンスが実現されます。

Appliance Mode AZ affinity図 2: アプライアンスモードにおける AZ アフィニティ

このアプライアンスモードの機能強化は、Transit Gateway と AWS Cloud WAN CNE を通過する既存のフローには影響を与えません。新しいフローのみがこの新しい動作仕様に基づいてルーティングされるため、既存ワークロードのスムーズな移行が可能です。AZ アフィニティは自動的に適用されるため、特に有効化の必要はありません。また、この機能強化の利用において追加のコストはありません。この機能強化によって、Transit Gateway と AWS Cloud WAN を利用する構成における AZ 間ネットワークトラフィックの管理がより改善されることとなります。

3. Transit Gateway と AWS Cloud WAN における AZ ごとの CloudWatch メトリクスの可視性強化

Transit Gateway と AWS Cloud WAN において、CloudWatch での AZごとのメトリクスに対応する重要な機能強化がリリースされました。この新機能により、AZごとでのトラフィック状況やパフォーマンスについてより詳細に可視化できます。この新機能によって、入出力バイト数や、入出力パケット数、ドロップパケット数などのパフォーマンスとトラフィックに関するメトリクスを用いてグローバルなネットワークのモニタリングが可能です。これらのメトリクスは 2024 年 11月 11 日に提供が開始され、Transit Gateway と AWS Cloud WAN を利用可能な全ての AWS リージョンでご利用頂けます。なお、これらのメトリクスは従来はアタッチメントのレベルのみで提供されていました。

AZごとのメトリクスに対応したことによって、トラフィックが AZ 間でどのように分散されているかについて、運用上の分析が可能となります。たとえば、Transit Gateway と AWS Cloud WAN のクォータは AZ ごとに設定されるため、この機能強化によって AZ ごとのトラフィックフローに対するクォータの影響をより詳細に把握することができます。AZ ごとのメトリクスは、リソース所有者のアカウントと、アタッチメント所有者のアカウント(クロスアカウントシナリオの場合)の両方に対して公開されます。

Transit Gateway における CloudWatch での AZごとのメトリクス

  1. CloudWatch コンソールで [メトリクス] > [すべてのメトリクス] を選択します。
  2. メトリクスとして [TransitGateway] > [Per-TransitGatewayAttachment AvailabilityZone Metrics] を選択します。
  3. グラフに含めたいメトリクスを選択します(チェックボックスにチェックを入れます)。各メトリクスの AZ 列もしくは詳細において、対象の AZ (use1-az1 や use-az2 など)を確認できます。

図 3 は、Transit Gateway の AZ ごとのメトリクスと集約されたメトリクスをグラフ化した表示例です。

Figure 3: Transit Gateway shows both aggregate and Per-AZ metrics in CloudWatch

図 3: Transit Gateway について CloudWatch における AZ ごとおよび集約されたメトリクスの表示例

これらの新しいメトリクスを使用するには、AWS マネジメントコンソールAWS コマンドラインインターフェイスCLI、もしくは AWS SDK を使用して CloudWatch にアクセスし、AZ 単位のデータに基づくカスタムダッシュボードやアラームを作成できます。これらのメトリクスを有効化するために必要な追加の操作はありません。サポートされているアタッチメントタイプに対して自動的に利用可能となります。

AZ ごとのメトリクスの使用に対して追加のコストはありません。ただし、AWS 無料利用枠を超える API 操作に対しては標準の CloudWatch 料金が適用されます。詳細については、Transit Gateway の CloudWatch メトリクスAWS Cloud WAN の CloudWatch メトリクスのガイドを参照してください。

4. AWS Cloud WAN におけるサービス挿入に関する運用機能の強化

このセクションは、AWS Cloud WAN における以下のコンポーネントについての理解を前提としています:グローバルネットワーク、コアネットワーク、ネットワークポリシー、アタッチメント、コアネットワークエッジ(CNE)、ネットワークセグメント、そしてネットワーク機能グループ(NFG)と呼ばれる AWS Cloud WAN におけるサービス挿入機能。

ネットワーク機能グループ(NFG)

NFG(図4)は、内部的には、特別なネットワークやセキュリティ機能をホストするVPCに対するネットワークアタッチメントの集合で構成されている単一のセグメントです。これらの機能としては、次世代ファイアウォール(NGFW)や侵入検知システム(IDS)、侵入防止システム(IPS)、AWS Network FirewallGateway Load Balancer などが含まれ、グローバルな AWS Cloud WAN ネットワークの一部としてデプロイされます。

NFG を使用すると、AWS Cloud WAN に接続された同一セグメントもしくはクロスセグメント間での通信を自動的に Cloud WAN に接続されたVPC に展開されているネットワーク機能を経由させることができます。その際には、適用させたいネットワーク機能が存在するコアネットワークアタッチメント(VPC、Site-to-Site VPN、Direct Connect、Transit Gateway ルートテーブル等)と、トラフィックを指定したネットワーク機能にリダイレクトさせる必要のあるセグメント(1つもしくは複数)をそれぞれ指定することができます。AWS Cloud WAN は NFG によって指定したセグメント間のネットワークトラフィックをコアネットワークアタッチメントを経由するように制御します。この NFG によるトラフィックの制御は、コアネットワークにおける同一リージョン内(イントラリージョン)トラフィックと、リージョン間(インターリージョン)トラフィックの両方に対して適用できます。

この機能強化が提供される前は、NFG においてサービス挿入を構成するためには、[セグメントアクション] の [サービス挿入] > [アクション] において [以下経由で送信](send-via)もしくは [以下に送信](send-to)を構成する前に、NFG を事前にコアネットワークアタッチメントに関連付ける必要があったため、新しいリージョンに Cloud WAN を拡張をする際の手順を複雑化させる要因となっていました。

今回のこのサービス挿入に関する運用機能の強化によって、AWS Cloud WAN のポリシーの適用を成功させる前提として、NFG をアタッチメントに関連付けることは必要ではなくなりました。アタッチメントが関連付けられていない NFG に対してセグメントアクションで [以下経由で送信](send-via)もしくは [以下に送信](send-to)を設定していていても、AWS Cloud WAN におけるポリシーの適用は成功します。ただし、関連付けが構成されるまで NFG に対するサービス挿入トラフィックは以下の図で示すようにブラックホールとして扱われます。

Figure 4: AWS Cloud WAN NFG図 4: AWS Cloud WAN NFG

この機能強化によって、AWS Cloud WAN を新しい AWS リージョンに展開することが容易となり、ポリシー管理の複雑さが削減されることで、サービス挿入の構成が管理しやすくなります。

AWS Cloud WAN の標準料金以外に、サービス挿入を利用するために必要となる追加の料金はありません。

まとめ

今回ご紹介した Transit Gateway および AWS Cloud WAN におけるこれらの機能強化は、ネットワークのパフォーマンスや可視性、運用効率などを改善するものです。これらの機能強化は、AWS がネットワークの管理機能を改善するとともに運用の負荷を削減することに対する継続的なコミットメントを示しています。複雑なマルチ AZ アーキテクチャの管理や、セキュリティ統制の実装、ネットワークパフォーマンスの最適化などにおいて、今回ご紹介した機能を活用頂くことで、より信頼性が高く効率性の高いクラウドネットワークを構築頂けます。

より詳細なガイダンスやベストプラクティスについては、Transit Gateway および AWS Cloud WAN の各ガイドをご参照いただくか、AWS のアカウントチームもしくは AWS サポートにお問い合わせください。

著者について

Tushar Jagdale

Tushar Jagdale

Tushar は AWS においてネットワークを専門とするソリューションアーキテクトであり、AWS においてスケーラブルで高い可用性とセキュリティを確保した、耐障害性とコスト効率を兼ね備えたネットワークの設計・構築するお客様を支援しています。データセンターのセキュリティおよびクラウドネットワークの構築に関して 15 年を超える経験があります。

Andrew Troup

Andrew Troup

Andrew は AWS におけるエンタープライズテクノロジストで、20 年以上にわたり米国連邦政府の顧客における複雑な技術的変革を支援してきた経験があります。ネットワーク、コンピュート、レジリエンス、オブザーバビリティの専門家として、AWS のお客様に対して実践的な経験に基づくガイダンスの提供に情熱を注いでいます。

翻訳は Technical Account Manager の畝高 孝雄が担当しました。原文はこちらです。