AWS Network Manager

AWS Network Manager は、複数のリージョンやアカウント、オンプレミス拠点にまたがって広がる広域ネットワークを、一つのコンソールから可視化・監視できるマネージドな運用ツールです。グローバルネットワークという論理的な入れ物に Transit Gateway やオンプレミスの拠点・機器を登録すると、世界地図やトポロジ図、各種メトリクスを通じて、分散したネットワーク全体の姿を一枚絵として把握できるようになります。

解決する課題

ネットワークが複数リージョンの Transit Gateway、複数アカウント、VPN や Direct Connect、そしてオンプレミスの拠点まで広がると、全体像を把握する手段が断片的になりがちです。リージョンごと・アカウントごとにコンソールを切り替え、どこに何が接続され、どのリンクが健全なのかを人手でつなぎ合わせて確認するのは大きな運用負担になります。

• どの Transit Gateway がどのリージョンにあり、相互にどう接続されているかを俯瞰する標準的な手段がない。
• オンプレミス拠点や機器、回線の情報が AWS 側の構成と結びついておらず、地理的・論理的な全体像が見えない。
• 接続状態の異常やイベントが各リソースに散らばり、広域ネットワークとしてまとめて監視できない。
• 経路の問題を切り分けたいとき、どこで通信が止まっているかを横断的に追う方法が乏しい。

AWS Network Manager は、これらの対象を一つのグローバルネットワークに集約して登録し、地図・トポロジ・メトリクス・イベントとして一元的に見える化することで、広域ネットワークの運用と監視を一か所にまとめます。

主要概念と用語

• グローバルネットワーク: ネットワーク全体を表す最上位の入れ物。この中に Transit Gateway やオンプレミス側のオブジェクト、Cloud WAN のコアネットワークなどを登録し、ひとまとまりの広域ネットワークとして扱う。
• 登録済み Transit Gateway: グローバルネットワークに登録した既存の Transit Gateway。登録することで、その接続やルートが可視化・監視の対象になる。複数リージョン・複数アカウントの Transit Gateway をまとめられる。
• サイト: オンプレミスの物理的な拠点を表すオブジェクト。所在地などの情報を持たせ、地図上に配置できる。
• デバイス: 拠点に置かれた物理機器（ルータなど）を表すオブジェクト。サイトに紐づけて管理する。
• リンク: 拠点が持つ回線（インターネット回線や専用線など）を表すオブジェクト。帯域やプロバイダといった属性を持たせられる。
• コネクション: デバイス同士の接続関係を表すオブジェクト。オンプレミス側の物理的なつながりを論理的に記述する。
• ダッシュボード: グローバルネットワークの状態を見るための画面群。地理的な世界地図、論理トポロジ図、メトリクス、イベントなどから構成される。

仕様・制限・クォータ

設計時に意識したい性質は次のとおりです。具体的な上限値はリージョンや時期で変わりうるため、定性的に把握し、正確な数値は公式ドキュメントとサービスクォータの画面で確認してください。

• AWS Network Manager はグローバルなスコープで動作し、複数のリージョンとアカウントにまたがるリソースを一つのグローバルネットワークで扱える。可視化・監視のための管理レイヤーであり、データプレーンの通信そのものを担うわけではない。
• 1 つのアカウントに作成できるグローバルネットワークの数や、登録できる Transit Gateway 数、サイト・デバイス・リンク・コネクションといったオブジェクト数には、それぞれアカウント単位のクォータがある。
• 監視は CloudWatch のメトリクスを利用し、ある程度の期間にわたる統計を保持して時系列で参照できる。長期の傾向把握に使える一方、保持期間には上限がある。
• イベントは準リアルタイムでダッシュボードに流れ、接続やルートの状態変化を把握できる。
• オンプレミス側のオブジェクト（サイト・デバイス・リンク）は、利用者が登録する論理的なメタデータであり、実機の状態を自動取得するものではない点に注意する。

内部の仕組み

AWS Network Manager の中心にあるのは、グローバルネットワークという論理的なコンテナです。利用者はまずこのグローバルネットワークを作成し、そこに既存の Transit Gateway を登録し、オンプレミス側のサイト・デバイス・リンク・コネクションを定義していきます。これにより、AWS 側の構成とオンプレミス側の構成が一つのモデルとして結びつきます。

登録された対象の情報は、コンソールのダッシュボードに集約されます。世界地図はリソースの所在地を地理的に示し、トポロジ図は Transit Gateway やアタッチメント、ピアリングといった論理的な接続関係を図として描きます。これにより、どのリージョンの Transit Gateway がどう相互接続されているか、オンプレミス拠点がどこにつながっているかを視覚的に追えます。

監視の面では、登録した Transit Gateway などのメトリクスが CloudWatch に発行され、Network Manager のダッシュボードからまとめて参照できます。あわせて、接続状態やルートの変化はイベントとして準リアルタイムに通知され、異常の早期検知につなげられます。Network Manager 自体はこれらの情報を集約・表示する管理レイヤーであり、実際のパケット転送は登録元の Transit Gateway や VPN、Direct Connect が担います。

設計パターン / ベストプラクティス

• 広域ネットワークの単一の見える化基盤として使う: 複数リージョン・複数アカウントの Transit Gateway を一つのグローバルネットワークに登録し、全体像を一か所で把握できる状態を作る。コンソールを切り替えて回る運用から脱却できる。
• オンプレミスの構成もモデル化する: サイト・デバイス・リンクを丁寧に登録し、地理情報や回線情報を持たせる。AWS 側だけでなくオンプレミスを含めた地図とトポロジが描け、ハイブリッド構成の全体把握に役立つ。
• マルチアカウントで集約する: 組織横断でネットワークを運用する場合、Transit Gateway の共有と組み合わせて、ネットワーク運用チームのアカウントから全体を監視する体制を整える。
• 監視とアラートを CloudWatch につなぐ: 重要なメトリクスにアラームを設定し、イベントを検知の起点にすることで、広域ネットワークの異常を見落とさない運用にする。
• 構成をコード化する: グローバルネットワークやオンプレミスオブジェクトの定義を Infrastructure as Code で管理し、実構成とモデルの乖離を防ぐ。

運用・監視

• ダッシュボードでの俯瞰: 地理ビューと論理トポロジビューを使い分け、どこに何があり、どう接続されているかを定期的に確認する。構成変更後の意図しない接続を早期に発見できる。
• メトリクス監視: 登録した Transit Gateway などのメトリクスを CloudWatch で監視し、帯域の逼迫やパケットドロップ、接続状態の変化にアラームを設定する。
• イベントの活用: 接続やルートの状態変化を示すイベントを検知の起点にし、通知やワークフローにつなげる。
• 経路の切り分け: 通信が到達しない問題の調査には、Reachability Analyzer などの経路解析と組み合わせ、どこで止まっているかを横断的に追う。
• 監査: グローバルネットワークやオブジェクトへの操作は CloudTrail に記録されるため、誰がいつ構成を変更したかを追跡できるようにしておく。

コスト

AWS Network Manager を使って Transit Gateway のネットワークを管理・監視すること自体には、追加料金がかかりません。可視化や監視のための管理レイヤーとして気軽に導入できるのが大きな利点です。

課金が発生するのは、グローバルネットワークに登録して実際に通信を担う基盤側のリソースです。具体的には、Transit Gateway のアタッチメント時間課金とデータ処理課金、VPN や Direct Connect の料金、Cloud WAN を併用する場合のコアネットワークの料金などが該当します。あわせて、監視に使う CloudWatch のメトリクスやアラーム、ログに対しても標準の料金が関係しうるため、監視構成の規模に応じて見積もってください。具体的な単価は変動するため、最新の料金ページで確認することが前提です。

セキュリティ

• IAM による制御: グローバルネットワークの作成・更新・削除、Transit Gateway の登録、オンプレミスオブジェクトの定義といった操作は IAM ポリシーで制御する。ネットワーク運用チームに必要な範囲の権限だけを与え、最小権限を保つ。
• マルチアカウントの境界: 複数アカウントの Transit Gateway を集約して監視する場合でも、登録と監視に必要な権限に限定し、データプレーンの制御はあくまで各アカウント側のセキュリティグループやルートテーブルで行う。
• 可視化対象の取り扱い: ダッシュボードには広域ネットワークの構成が一望できるため、参照できる範囲を適切に絞り、構成情報が不必要に共有されないようにする。
• 監査: グローバルネットワークやオブジェクトへの操作を CloudTrail で記録し、構成変更の証跡を残して不審な変更を検知できるようにする。

関連サービス・比較

最も密接に関係するのは AWS Transit Gateway です。Transit Gateway が実際に通信を中継するデータプレーンであるのに対し、AWS Network Manager はその Transit Gateway を含む広域ネットワークを横断的に可視化・監視する管理レイヤーです。両者は競合ではなく、Transit Gateway を運用するうえで全体像を見える化する補完関係にあります。

ハンズオン / CLI例

次は、グローバルネットワークを作成し、既存の Transit Gateway を登録し、オンプレミス拠点を表すサイトを定義するまでの基本的な流れの例です。リソース ID や所在地は自分の環境に置き換えてください。AWS Network Manager はグローバルスコープで動作するため、操作はサービスのグローバルエンドポイントに対して行われます。

# 広域ネットワークの入れ物となるグローバルネットワークを作成する
aws networkmanager create-global-network \
  --description "corp-global-network"

# 既存の Transit Gateway をグローバルネットワークへ登録する
aws networkmanager register-transit-gateway \
  --global-network-id global-network-0123456789abcdef0 \
  --transit-gateway-arn arn:aws:ec2:ap-northeast-1:111122223333:transit-gateway/tgw-0123456789abcdef0

# オンプレミス拠点を表すサイトを登録する（所在地は地図表示に使われる）
aws networkmanager create-site \
  --global-network-id global-network-0123456789abcdef0 \
  --description "tokyo-dc" \
  --location "Address=Tokyo JP,Latitude=35.68,Longitude=139.76"

# 登録済みの Transit Gateway を一覧して確認する
aws networkmanager get-transit-gateway-registrations \
  --global-network-id global-network-0123456789abcdef0