翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon VPC 内の ElastiCache キャッシュにアクセスするためのアクセスパターン
Amazon は、Amazon VPC 内のキャッシュにアクセスするための以下のシナリオ ElastiCache をサポートしています。
目次
ElastiCache キャッシュと Amazon EC2 インスタンスが同じ Amazon VPC にある場合のキャッシュへのアクセス
最も一般的ユースケースは、EC2 インスタンスにデプロイされたアプリケーションが同じ VPC のキャッシュに接続する必要がある場合です。
このシナリオを以下に図表で示します。
同じ VPC 内の EC2 インスタンスとキャッシュ間のアクセスを管理する方法として最も簡単なのは、次の方法です。
-
キャッシュ用のセキュリティグループを作成します。このセキュリティグループを使用して、キャッシュへのアクセスを制限できます。例えば、キャッシュを作成したときに割り当てたポートと、キャッシュにアクセスするのに使用する IP アドレスを使用して TCP へのアクセスを許可する、このセキュリティグループのカスタムルールを作成できます。
Memcached キャッシュのデフォルトのポートは
11211です。 -
EC2 インスタンス (ウェブサーバーとアプリケーションサーバー) 用の VPC セキュリティグループを作成します。このセキュリティグループは、必要に応じて VPC のルーティングテーブルを介してインターネットから EC2 インスタンスへのアクセスを許可できます。例えば、ポート 22 経由で EC2 インスタンスへの TCP アクセスを許可するルールをこのセキュリティグループに設定できます。
-
EC2 インスタンス用に作成したセキュリティグループからの接続を許可するキャッシュのセキュリティグループで、カスタムルールを作成します。これは、セキュリティグループのメンバーにキャッシュへのアクセスを許可します。
注記
[ローカルゾーン] の使用を予定している場合、有効になっていることを確認します。そのローカルゾーンにサブネットグループを作成すると、VPC はそのローカルゾーンに拡張され、VPC はそのサブネットを他のアベイラビリティーゾーンのサブネットとして扱います。関連するすべてのゲートウェイとルートテーブルが自動的に調整されます。
他のセキュリティグループからの接続を許可する VPC セキュリティグループでルールを作成するには
-
AWS マネジメントコンソールにサインインし、https://console.aws.amazon.com/vpc
で Amazon VPC コンソールを開きます。 -
ナビゲーションペインで、[セキュリティグループ] を選択します。
-
キャッシュに使用するセキュリティグループを選択または作成します。インバウンドルール で、インバウンドルールの編集 を選択し、ルールの追加 を選択します。このセキュリティグループは、他のセキュリティグループのメンバーへのアクセスを許可します。
-
Type で Custom TCP Rule を選択します。
-
[ポート範囲] には、クラスター作成時に使用したポートを指定します。
Memcached キャッシュのデフォルトのポートは
11211です。 -
ソース ボックスに、セキュリティグループの ID の入力を開始します。リストから、Amazon EC2 インスタンスに使用するセキュリティグループを選択します。
-
-
終了したら、保存 を選択します。
ElastiCache キャッシュと Amazon EC2 インスタンスが異なる Amazon VPCs にある場合のキャッシュへのアクセス
キャッシュがアクセスに使用している EC2 インスタンスとは異なる VPC にある場合、そのキャッシュにアクセスする方法はいくつかあります。キャッシュと EC2 インスタンスが異なる VPC にあるが、同じリージョンにある場合は、VPC ピアリングを使用できる。キャッシュと EC2 インスタンスが異なるリージョンにある場合、リージョン間で VPN 接続を作成できる。
ElastiCache キャッシュと Amazon EC2 インスタンスが同じリージョン内の異なる Amazon VPCs にある場合のキャッシュへのアクセス
次の図は、同じリージョンの異なる Amazon VPC での、Amazon VPC ピアリング接続を使用した、Amazon EC2 インスタンスによるキャッシュへのアクセスを示しています。
同じリージョンの異なる Amazon VPC で Amazon EC2 インスタンスによってアクセスされるキャッシュ - VPC ピアリング接続
VPC ピア接続は、プライベート IP アドレスを使用して 2 つの VPC 間でトラフィックをルーティングすることを可能にするネットワーク接続です。どちらの VPC のインスタンスも、同じネットワーク内に存在しているかのように、相互に通信できます。独自の Amazon VPC 間、または単一のリージョン内の別の AWS アカウントの Amazon VPC との間で VPCsピアリング接続を作成できます。Amazon VPC ピア接続の詳細については、「VPC ドキュメント」を参照してください。
注記
ElastiCache VPCsの DNS 名の解決が失敗することがあります。これを解決するには、両方の VPC を、DNS ホスト名および DNS 解決に対して有効にする必要があります。詳細については、「VPC ピアリング接続の DNS 解決を有効にする」を参照してください。
ピアリング接続経由で別の Amazon VPC のキャッシュにアクセスするには
-
2 つの VPC に、重複する IP 範囲がないことを確認します。重複する IP 範囲がある場合、それらをピア接続することができません。
-
2 つの VPC をピア接続します。詳細については、「VPC ピア接続の作成と使用」を参照してください。
-
ルーティングテーブルを更新します。詳細については、「VPC ピア接続のルートテーブルを更新する」を参照してください
前述の図に示した例のルートテーブルは次のようになります。pcx-a894f1c1 はピア接続であることに注意してください。
VPC ルーティングテーブル
-
ElastiCache キャッシュのセキュリティグループを変更して、ピア接続された VPC のアプリケーションセキュリティグループからのインバウンド接続を許可します。詳細については、「ピア VPC セキュリティグループの参照」を参照してください。
ピアリング接続でキャッシュにアクセスすると、追加のデータ転送コストが発生します。
トランジット・ゲートウェイ の使用
トランジットゲートウェイを使用すると、同じ AWS リージョンに VPCsと VPN 接続をアタッチし、それらの間でトラフィックをルーティングできます。トランジットゲートウェイは AWS アカウント間で機能し、 AWS Resource Access Manager を使用してトランジットゲートウェイを他のアカウントと共有できます。トランジットゲートウェイを別の AWS アカウントと共有すると、アカウント所有者は自分の VPCsをトランジットゲートウェイにアタッチできます。どちらのアカウントのユーザーも、アタッチメントをいつでも削除できます。
トランジット・ゲートウェイ でマルチキャストを有効にしてから、ドメインに関連付ける VPC アタッチメントを介してマルチキャストソースからマルチキャストグループメンバーにマルチキャストトラフィックを送信できるようにする トランジット・ゲートウェイ マルチキャストドメインを作成できます。
異なる AWS リージョンのトランジットゲートウェイ間にピアリング接続アタッチメントを作成することもできます。これにより、異なるリージョン間でトランジット・ゲートウェイのアタッチメント間でトラフィックをルーティングできます。
詳細については、「トランジットゲートウェイ」を参照してください。
ElastiCache キャッシュと Amazon EC2 インスタンスが異なるリージョンの異なる Amazon VPCs にある場合のキャッシュへのアクセス
トランジット VPC の使用
VPC ピアリングの代わりに使用する、複数の、地理的に離れた VPC とリモートネットワークを接続する別の一般的な方法は、グローバルなネットワーク中継センターとして機能する中継 VPC の作成です。中継 VPC はネットワーク管理を単純化して、複数の VPC とリモートのネットワークを接続するために必要な接続数を最小限に抑えます。この設計は、コロケーション中継ハブを物理的に設立したり、物理的なネットワーク設備をデプロイしたりするための従来の費用をほとんどかけずに実装できるため、時間と労力を節約し、コストも削減できます。
異なるリージョンの異なる VPC 間での接続
Transit Amazon VPC が確立されると、あるリージョンの「スポーク」VPC にデプロイされたアプリケーションは、別のリージョン内の「スポーク」VPC の ElastiCache キャッシュに接続できます。
別の AWS リージョン内の別の VPC のキャッシュにアクセスするには
-
Transit VPC ソリューションをデプロイします。詳細については、「AWS Transit Gateway
」を参照してください。 -
アプリおよびキャッシュ VPC の VPC ルーティングテーブルを更新し、VGW (仮想プライベートゲートウェイ) および VPN アプライアンスを通じてトラフィックをルーティングします。ボーダーゲートウェイプロトコル (BGP) を使用した動的ルーティングの場合、ルートは自動的に伝達される可能性があります。
-
ElastiCache キャッシュのセキュリティグループを変更して、アプリケーションインスタンスの IP 範囲からのインバウンド接続を許可します。このシナリオでは、アプリケーションサーバーセキュリティグループを参照することはできません。
リージョン間でキャッシュにアクセスすると、ネットワークのレイテンシーが生じ、リージョン間のデータ転送コストが追加で発生します。
お客様のデータセンターで実行されているアプリケーションから ElastiCache キャッシュにアクセスする
もう 1 つのシナリオは、顧客のデータセンター内のクライアントまたはアプリケーションが VPC 内の ElastiCache キャッシュにアクセスする必要があるハイブリッドアーキテクチャです。このシナリオは、顧客の VPC とデータセンター間で VPN または Direct Connect による接続がある場合にサポートされます。
VPN 接続を使用してお客様のデータセンターで実行されているアプリケーションから ElastiCache キャッシュにアクセスする
次の図は、VPN 接続を使用して企業ネットワークで実行されているアプリケーションから ElastiCache キャッシュにアクセスする方法を示しています。
VPN 経由でデータセンター ElastiCache から に接続する
VPN 接続経由でオンプレミスアプリケーションから VPC のキャッシュにアクセスするには
-
VPC にハードウェア仮想プライベートゲートウェイを追加して、VPN 接続を確立します。詳細については、「VPC へのハードウェア仮想プライベートゲートウェイの追加」を参照してください。
-
ElastiCache キャッシュがデプロイされているサブネットの VPC ルーティングテーブルを更新して、オンプレミスアプリケーションサーバーからのトラフィックを許可します。BGP を使用した動的ルーティングの場合、ルートは自動的に伝達される可能性があります。
-
ElastiCache キャッシュのセキュリティグループを変更して、オンプレミスアプリケーションサーバーからのインバウンド接続を許可します。
VPN 接続経由でキャッシュにアクセスすると、ネットワークのレイテンシーが生じ、追加のデータ転送コストが発生します。
Direct Connect を使用してお客様のデータセンターで実行されているアプリケーションから ElastiCache キャッシュにアクセスする
次の図は、Direct Connect を使用して企業ネットワークで実行されているアプリケーションから ElastiCache キャッシュにアクセスする方法を示しています。
Direct Connect 経由でデータセンター ElastiCache から に接続する
Direct Connect を使用してネットワークで実行されているアプリケーションから ElastiCache キャッシュにアクセスするには
-
Direct Connect 接続を確立します。詳細については、AWS 「Direct Connect の開始方法」を参照してください。
-
ElastiCache キャッシュのセキュリティグループを変更して、オンプレミスアプリケーションサーバーからのインバウンド接続を許可します。
DX 接続経由でキャッシュにアクセスすると、ネットワークのレイテンシーが生じ、追加のデータ転送料金が発生する場合があります。
