【アップデート】Amazon VPCフローログでTransit Gatewayのサポートが追加されました

みなさん、こんにちは。サニービュー事業部の小寺です。
Amazon VPCフローログにTransit Gatewayのサポートが追加されました。

https://aws.amazon.com/jp/about-aws/whats-new/2022/07/amazon-vpc-flow-logs-transit-gateway-improved-visibility-monitoring/

Amazon VPCフローログを取得されている方も多くいらっしゃるかと思いますが、今回のアップデートで追加で何かできるようになったのか詳しくお伝えしたいと思います。

そもそもAmazon VPCフローログとは

VPCフローログについて、簡単におさらいしてみます。
VPCフローログは、VPC のネットワークインターフェイスとの間で行き来する IP トラフィックに関する情報をキャプチャできるようにする機能です。
VPC、サブネット、またはネットワークインターフェイスのフローログを作成できます。サブネットまたは VPC のフローログを作成する場合、該当のサブネットまたは VPC 内の各ネットワークインターフェイスがモニタリングされます。
フローログはCloudWatch Logs または Amazon S3 に発行することができ、ログに対するデータの取り込み料金とアーカイブ料金の課金が発生します。

いざ、フローログを取得するには、以下の内容を指定する必要があります。

・フローログを作成するリソース
・キャプチャするトラフィックの種類 (許可されたトラフィック、拒否されたトラフィック、またはすべてのトラフィック)
・フローログデータを発行する送信先（S3 またはCloudWatch Logs）

また、他の AWS サービスによって作成されたネットワークインターフェイスのフローログの作成もできます。
・Elastic Load Balancing
・Amazon RDS
・Amazon ElastiCache
・Amazon Redshift
・Amazon WorkSpaces
・NAT ゲートウェイ
・トランジットゲートウェイ

さらに、VPCフローログにて出力されるログは一定間隔です。フローログで出力されるログはこのキャプチャー情報を集約したものとなります。
この挙動はVPCフローログの仕様で、デフォルトは、最大の集約間隔が 10 分に設定されています。
より短い間隔のログが必要となる場合、ログの集約期間を短く設定すればOKです。
ここで、やっかいなのが、集約間隔内にデータが取得された後、データの処理および CloudWatch Logs または Amazon S3 へのログ発行にはさらに時間がかかる点です。
フローログサービスは、通常約 5 分で CloudWatch Logs に、約10 分で Amazon S3 にログを配信されるようですが、あくまでベストエフォートとなっています。

また制約事項としては、既に作成されたフローログの集約期間を変更することは出来ず、再作成する必要があります。

Transit Gatewayの特徴

Transit Gatewayって何だっけ？色々なネットワークサービスがあるので、複雑ですよね。
AWS Transit Gateway は、Amazon Virtual Private Cloud (VPC) とオンプレミスネットワークを中央ハブで接続します。通常は、オンプレス環境からの接続では、VPNをそれぞれのVPCにアタッチする必要があります。
VPCの数が増えるほど、構築に時間がかかり、管理が複雑化し運用に手間がかかってしまいます。

このような場合に、簡単に数百・数千の接続を構築できるのが、AWS Transit Gatewayです。AWS Transit Gatewayを使えば、ネットワークが簡素化され、複雑なピア接続関係がなくなります。

https://aws.amazon.com/jp/transit-gatewayより引用

アップデートでうれしいこと

Transit Gateway はすべてのネットワークフローについて、送信元/送信先 IP アドレス、ポート、プロトコル、トラフィックカウンター、タイムスタンプ、各種メタデータなどの詳細なソフトウェアやアプリケーションがパフォーマンス改善や品質向上用に利用できるユーザーの利用状況データが取得できるようになりました。
Transit Gateway フローログを使用すると、単一の AWS アカウントであるネットワークの1つの場所からフローレベルのインサイトを得ることができます。
このアップデートにより、サードパーティのルーターやテレメトリエクスポートツールに依存することなく、Transit Gateway ピアリング接続を介した AWS リージョン間のトラフィック、および Direct Connect とサイト間 VPN 接続を介したトラフィックのフローレベルの可視化ができるようになりました。

対応リージョン

Transit Gateway の VPC フローログのサポートは、AWS Transit Gateway が提供されている AWS 公共部門と AWS GovCloud (米国) のすべてのリージョンで利用可能です。

料金

本アップデートを利用するための料金はかかりません。
VPCフローログを保管するための、CloudWatch Logs または Amazon S3の料金が従来通りかかります。

まとめ

Amazon VPCフローログにTransit Gatewayのサポートが追加されました。 Transit Gateway フローログを使用すると、単一の AWS アカウントであるネットワークの1つの場所からフローレベルのインサイトを得ることができるようになり、かなり簡単に接続のログ管理ができるようになりますね。