翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon VPC の ElastiCache キャッシュにアクセスするためのアクセスパターン
Amazon ElastiCache は、Amazon VPC のキャッシュにアクセスするための以下のシナリオをサポートします。
目次
ElastiCache キャッシュと Amazon EC2 インスタンスが同じ Amazon VPC にある場合の ElastiCache キャッシュへのアクセス
最も一般的ユースケースは、EC2 インスタンスにデプロイされたアプリケーションが同じ VPC のキャッシュに接続する必要がある場合です。
このシナリオを以下に図表で示します。
同じ VPC 内の EC2 インスタンスとキャッシュ間のアクセスを管理する方法として最も簡単なのは、次の方法です。
-
キャッシュ用のセキュリティグループを作成します。このセキュリティグループを使用して、キャッシュへのアクセスを制限できます。例えば、キャッシュを作成したときに割り当てたポートと、キャッシュにアクセスするのに使用する IP アドレスを使用して TCP へのアクセスを許可する、このセキュリティグループのカスタムルールを作成できます。
Memcached キャッシュのデフォルトのポートは
11211です。Valkey および Redis OSS キャッシュのデフォルトポートは
6379です。 -
EC2 インスタンス (ウェブサーバーとアプリケーションサーバー) 用の VPC セキュリティグループを作成します。このセキュリティグループは、必要に応じて VPC のルーティングテーブルを介してインターネットから EC2 インスタンスへのアクセスを許可できます。例えば、ポート 22 経由で EC2 インスタンスへの TCP アクセスを許可するルールをこのセキュリティグループに設定できます。
-
EC2 インスタンス用に作成したセキュリティグループからの接続を許可するキャッシュのセキュリティグループで、カスタムルールを作成します。これは、セキュリティグループのメンバーにキャッシュへのアクセスを許可します。
注記
[ローカルゾーン] の使用を予定している場合、有効になっていることを確認します。そのローカルゾーンにサブネットグループを作成すると、VPC はそのローカルゾーンに拡張され、VPC はそのサブネットを他のアベイラビリティーゾーンのサブネットとして扱います。関連するすべてのゲートウェイとルートテーブルが自動的に調整されます。
他のセキュリティグループからの接続を許可する VPC セキュリティグループでルールを作成するには
-
AWS マネジメントコンソールにサインインし、https://console.aws.amazon.com/vpc
で Amazon VPC コンソールを開きます。 -
ナビゲーションペインで、[Security Groups] を選択します。
-
キャッシュに使用するセキュリティグループを選択または作成します。インバウンドルール で、インバウンドルールの編集 を選択し、ルールの追加 を選択します。このセキュリティグループは、他のセキュリティグループのメンバーへのアクセスを許可します。
-
Type で Custom TCP Rule を選択します。
-
[ポート範囲] には、クラスター作成時に使用したポートを指定します。
Memcached キャッシュのデフォルトのポートは
11211です。Valkey および Redis OSS キャッシュとレプリケーショングループのデフォルトのポートは
6379です。 -
ソース ボックスに、セキュリティグループの ID の入力を開始します。リストから、Amazon EC2 インスタンスに使用するセキュリティグループを選択します。
-
-
終了したら、保存 を選択します。
ElastiCache キャッシュと Amazon EC2 インスタンスが異なる Amazon VPC にある場合の ElastiCache キャッシュへのアクセス
キャッシュがアクセスに使用している EC2 インスタンスとは異なる VPC にある場合、そのキャッシュにアクセスする方法はいくつかあります。キャッシュと EC2 インスタンスが異なる VPC にあるが、同じリージョンにある場合は、VPC ピアリングを使用できる。キャッシュと EC2 インスタンスが異なるリージョンにある場合、リージョン間で VPN 接続を作成できる。
ElastiCache クラスターと Amazon EC2 インスタンスが同じリージョンの異なる Amazon VPC にある場合の ElastiCache クラスターへのアクセス
次の図は、同じリージョンの異なる Amazon VPC での、Amazon VPC ピアリング接続を使用した、Amazon EC2 インスタンスによるキャッシュへのアクセスを示しています。
同じリージョンの異なる Amazon VPC で Amazon EC2 インスタンスによってアクセスされるキャッシュ - VPC ピアリング接続
VPC ピア接続は、プライベート IP アドレスを使用して 2 つの VPC 間でトラフィックをルーティングすることを可能にするネットワーク接続です。どちらの VPC のインスタンスも、同じネットワーク内に存在しているかのように、相互に通信できます。独自の Amazon VPC 間、または 1 つのリージョン内の別の AWS アカウントの Amazon VPC との間に VPCs ピアリング接続を作成できます。Amazon VPC ピア接続の詳細については、「VPC ドキュメント」を参照してください。
注記
ElastiCache VPC に適用される設定によっては、ピア接続された VPC の DNS 名前解決が失敗することがあります。これを解決するには、両方の VPC を、DNS ホスト名および DNS 解決に対して有効にする必要があります。詳細については、「VPC ピアリング接続の DNS 解決を有効にする」を参照してください。
ピアリング接続経由で別の Amazon VPC のキャッシュにアクセスするには
-
2 つの VPC に、重複する IP 範囲がないことを確認します。重複する IP 範囲がある場合、それらをピア接続することができません。
-
2 つの VPC をピア接続します。詳細については、「VPC ピア接続の作成と使用」を参照してください。
-
ルーティングテーブルを更新します。詳細については、「VPC ピア接続のルートテーブルを更新する」を参照してください
前述の図に示した例のルートテーブルは次のようになります。pcx-a894f1c1 はピア接続であることに注意してください。
VPC ルーティングテーブル
-
ElastiCache キャッシュのセキュリティグループを変更して、ピア接続 VPC のアプリケーションセキュリティグループからのインバウンド接続を許可します。詳細については、「ピア VPC セキュリティグループの参照」を参照してください。
ピアリング接続でキャッシュにアクセスすると、追加のデータ転送コストが発生します。
トランジット・ゲートウェイ の使用
Transit Gateway を使用すると、同じ AWS リージョンに VPCs と VPN 接続をアタッチし、それらの間でトラフィックをルーティングできます。Transit Gateway は AWS アカウント間で動作し、 AWS Resource Access Manager を使用して Transit Gateway を他のアカウントと共有できます。Transit Gateway を別の AWS アカウントと共有すると、アカウント所有者は VPCsを Transit Gateway にアタッチできます。どちらのアカウントのユーザーも、アタッチメントをいつでも削除できます。
トランジットゲートウェイでマルチキャストを有効にしてから、ドメインに関連付ける VPC アタッチメントを介してマルチキャストソースからマルチキャストグループメンバーにマルチキャストトラフィックを送信できるようにする トランジットゲートウェイマルチキャストドメインを作成できます。
異なる AWS リージョンのトランジットゲートウェイ間にピアリング接続アタッチメントを作成することもできます。これにより、異なるリージョン間でトランジットゲートウェイのアタッチメント間でトラフィックをルーティングできます。
詳細については、「トランジットゲートウェイ」を参照してください。
ElastiCache キャッシュと Amazon EC2 インスタンスが異なるリージョンの異なる Amazon VPC にある場合の ElastiCache キャッシュへのアクセス
トランジット VPC の使用
VPC ピアリングの代わりに使用する、複数の、地理的に離れた VPC とリモートネットワークを接続する別の一般的な方法は、グローバルなネットワーク中継センターとして機能する中継 VPC の作成です。中継 VPC はネットワーク管理を単純化して、複数の VPC とリモートのネットワークを接続するために必要な接続数を最小限に抑えます。この設計は、コロケーション中継ハブを物理的に設立したり、物理的なネットワーク設備をデプロイしたりするための従来の費用をほとんどかけずに実装できるため、時間と労力を節約し、コストも削減できます。
異なるリージョンの異なる VPC 間での接続
中継 Amazon VPC が確立できたら、1 つのリージョンの「スポーク」VPC でデプロイしたアプリケーションを、別のリージョン内の「スポーク」VPC で ElastiCache キャッシュに接続できます。
別の AWS リージョン内の別の VPC のキャッシュにアクセスするには
-
Transit VPC ソリューションをデプロイします。詳細については、「AWS Transit Gateway
」を参照してください。 -
アプリおよびキャッシュ VPC の VPC ルーティングテーブルを更新し、VGW (仮想プライベートゲートウェイ) および VPN アプライアンスを通じてトラフィックをルーティングします。ボーダーゲートウェイプロトコル (BGP) を使用した動的ルーティングの場合、ルートは自動的に伝達される可能性があります。
-
ElastiCache キャッシュのセキュリティグループを変更して、アプリケーションインスタンスの IP 範囲からのインバウンド接続を許可します。このシナリオでは、アプリケーションサーバーセキュリティグループを参照することはできません。
リージョン間でキャッシュにアクセスすると、ネットワークのレイテンシーが生じ、リージョン間のデータ転送コストが追加で発生します。
お客様のデータセンター内で実行されるアプリケーションからの ElastiCache キャッシュへのアクセス
もう 1 つシナリオとして、クライアントまたはお客様のデータセンター内のアプリケーションが VPC の ElastiCache キャッシュにアクセスする必要がある場合のようなハイブリッドアーキテクチャが考えられます。このシナリオは、顧客の VPC とデータセンター間で VPN または Direct Connect による接続がある場合にサポートされます。
お客様のデータセンター内で実行されるアプリケーションからの VPN 接続を使用した ElastiCache キャッシュへのアクセス
次の図は、VPN 接続を使用して社内ネットワークで実行されるアプリケーションから ElastiCache キャッシュにアクセスする様子を示しています。
VPN によるデータセンターから ElastiCache への接続
VPN 接続経由でオンプレミスアプリケーションから VPC のキャッシュにアクセスするには
-
VPC にハードウェア仮想プライベートゲートウェイを追加して、VPN 接続を確立します。詳細については、「VPC へのハードウェア仮想プライベートゲートウェイの追加」を参照してください。
-
ElastiCache キャッシュがデプロイされているサブネットの VPC ルーティングテーブルを更新して、オンプレミスアプリケーションサーバーからのトラフィックを許可します。BGP を使用した動的ルーティングの場合、ルートは自動的に伝達される可能性があります。
-
ElastiCache キャッシュのセキュリティグループを変更して、オンプレミスアプリケーションサーバーからのインバウンド接続を許可します。
VPN 接続経由でキャッシュにアクセスすると、ネットワークのレイテンシーが生じ、追加のデータ転送コストが発生します。
お客様のデータセンター内で実行されるアプリケーションからの Direct Connect を使用した ElastiCache キャッシュへのアクセス
次の図は、Direct Connect を使用して社内ネットワークで実行されるアプリケーションから ElastiCache キャッシュにアクセスする様子を示しています。
Direct Connect によるデータセンターから ElastiCache への接続
Direct Connect を使用して、ネットワークで実行されるアプリケーションから ElastiCache キャッシュにアクセスするには
-
Direct Connect 接続を確立します。詳細については、AWS 「Direct Connect の開始方法」を参照してください。
-
ElastiCache キャッシュのセキュリティグループを変更して、オンプレミスアプリケーションサーバーからのインバウンド接続を許可します。
DX 接続経由でキャッシュにアクセスすると、ネットワークのレイテンシーが生じ、追加のデータ転送料金が発生する場合があります。
