Amazon VPC の ElastiCache クラスターにアクセスするアクセスパターン - Amazon ElastiCache for Redis

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon VPC の ElastiCache クラスターにアクセスするアクセスパターン

Amazon ElastiCache は、Amazon VPC でクラスターへアクセスするための以下のシナリオをサポートします。

ElastiCache クラスターと Amazon EC2 インスタンスが同じ Amazon VPC にある場合の クラスターへのアクセス

最も一般的ユースケースは、EC2 インスタンスにデプロイされたアプリケーションが同じ VPC のクラスターに接続する必要がある場合です。

このシナリオを以下に図で示します。

IMAGE: アプリケーションを示す図ElastiCache同じ VPC で

同じ VPC 内の EC2 インスタンスとクラスター間のアクセスを管理する方法として最も簡単なのは、次のとおりです。

  1. クラスターの VPC セキュリティグループを作成します。このセキュリティグループは、クラスターインスタンスへのアクセスを制限するのに使用できます。たとえば、クラスターを作成したときに割り当てたポートと、クラスターにアクセスするのに使用する IP アドレスを使用して TCP へのアクセスを許可する、このセキュリティグループのカスタムルールを作成できます。

    Redis クラスターとレプリケーショングループのデフォルトのポートは 6379 です。

  2. EC2 インスタンス (ウェブサーバーとアプリケーションサーバー) 用の VPC セキュリティグループを作成します。このセキュリティグループは、必要に応じて VPC のルーティングテーブルを介してインターネットから EC2 インスタンスへのアクセスを許可できます。たとえば、ポート 22 経由で EC2 インスタンスへの TCP アクセスを許可するルールをこのセキュリティグループに設定できます。

  3. EC2 インスタンス用に作成したセキュリティグループからの接続を許可するクラスターのセキュリティグループで、カスタムルールを作成します。これにより、セキュリティグループのメンバーにクラスターにアクセスできます。

注記

あなたが使用することを計画している場合ローカルゾーンの場合は、それらが有効になっていることを確認してください。そのローカルゾーンにサブネットグループを作成すると、VPC はそのローカルゾーンに拡張され、VPC はそのサブネットを他のアベイラビリティーゾーンのサブネットとして扱います。関連するすべてのゲートウェイとルートテーブルが自動的に調整されます。

他のセキュリティグループからの接続を許可する VPC セキュリティグループでルールを作成するには

  1. にサインインします。AWSマネジメントコンソールを開き、Amazon VPC コンソール (https://console.aws.amazon.com/vpc

  2. ナビゲーションペインで、[Security Groups] を選択します。

  3. クラスターインスタンスに使用するセキュリティグループを選択または作成します。[インバウンドルール] で、[インバウンドルールの編集] を選択し、[ルールの追加] を選択します。このセキュリティグループは、他のセキュリティグループのメンバーへのアクセスを許可します。

  4. [Type] で [Custom TCP Rule] を選択します。

    1. [Port Range] ポートには、クラスター作成時に使用したポートを指定します。

      Redis クラスターとレプリケーショングループのデフォルトのポートは 6379 です。

    2. [Source] ボックスに、セキュリティグループの ID の入力を開始します。リストから、Amazon EC2 インスタンスに使用するセキュリティグループを選択します。

  5. 終了したら、[Save] を選択します。

    IMAGE: インバウンド VPC ルールを編集する画面

へのアクセスElastiCacheクラスタ化すると、Amazon EC2インスタンスは異なるAmazon VPCs

クラスターがアクセスに使用している EC2 インスタンスとは異なる VPC にある場合、クラスターにアクセスする方法はいくつかあります。クラスターと EC2 インスタンスが別の VPC にあっても同じリージョンにある場合は、VPC ピア接続を使用できます。クラスターと EC2 インスタンスが異なるリージョンにある場合、リージョン間の VPN 接続を作成できます。

 

へのアクセスElastiCacheクラスタ化すると、Amazon EC2インスタンスは異なるAmazon VPC同じリージョンにある

次の図は、同じリージョンの異なる Amazon VPC での、Amazon VPC ピア接続を使用した、Amazon EC2 インスタンスによるクラスターへのアクセスを示しています。

IMAGE: アプリケーションを示す図ElastiCache同じリージョンの異なる VPC 内の

によってアクセスされるクラスタAmazon EC2別の内のインスタンスAmazon VPC同じリージョン内の VPC ピアリング接続

VPC ピア接続は、プライベート IP アドレスを使用して 2 つの VPC 間でトラフィックをルーティングすることを可能にするネットワーク接続です。どちらの VPC のインスタンスも、同じネットワーク内に存在しているかのように、相互に通信できます。独自の VPC ピアリング接続を作成するにはAmazon VPC、またはAmazon VPC別のAWSアカウントを 1 つのリージョン内で作成します。Amazon VPC ピア接続の詳細については、VPC ドキュメントを参照してください。

ピア接続経由で別の Amazon VPC のクラスターにアクセスするには

  1. 2 つの VPC に、重複する IP 範囲がないことを確認します。重複する IP 範囲がある場合、それらをピア接続することができません。

  2. 2 つの VPC をピア接続します。詳細については、「Amazon VPC ピア接続の作成と使用」を参照してください。

  3. ルーティングテーブルを更新します。詳細については、「VPC ピア接続のルートテーブルを更新する」を参照してください

    前述の図に示した例のルートテーブルは次のようになります。pcx-a894f1c1 はピア接続であることに注意してください。

    IMAGE: VPC ルーティングテーブルのスクリーンショット

    VPC ルーティングテーブル

  4. ElastiCache クラスターのセキュリティグループを変更して、ピア接続 VPC のアプリケーションセキュリティグループからのインバウンド接続を許可します。詳細については、「ピア VPC セキュリティグループの参照」を参照してください。

ピア接続によりクラスターにアクセスすると、追加のデータ転送コストが発生します。

Transit Gateway の使用

トランジットゲートウェイを使用すると、VPC と VPN 接続を同じAWSそれらの間のリージョンとルーティングトラフィック。トランジットゲートウェイはAWSアカウントを使用しており、AWSTransit Gateway を他のアカウントと共有するResource Access Manager。他の AWS アカウントとトランジットゲートウェイを共有した後、アカウントの所有者はトランジットゲートウェイにそれらの VPC をアタッチすることができます。どちらのアカウントのユーザーも、アタッチメントをいつでも削除できます。

トランジットゲートウェイでマルチキャストを有効にしてから、ドメインに関連付ける VPC アタッチメントを介してマルチキャストソースからマルチキャストグループメンバーにマルチキャストトラフィックを送信できるようにするトランジットゲートウェイマルチキャストドメインを作成できます。

また、異なる AWS リージョンでトランジットゲートウェイ間にピア接続アタッチメントを作成することもできます。これにより、異なるリージョン間でトランジットゲートウェイのアタッチメント間でトラフィックをルーティングできます。

詳細については、「トランジットゲートウェイ」を参照してください。

へのアクセスElastiCacheクラスタ化すると、Amazon EC2インスタンスは異なるAmazon VPC異なるリージョンにある

トランジットVPC の使用

VPC ピア接続を使用する代わりに、複数の、地理的に離れた VPC とリモートネットワークを接続するもう 1 つの一般的な方法の 1 つは、グローバルなネットワーク中継センターとして機能する中継 VPC の作成です。中継 VPC はネットワーク管理を単純化して、複数の VPC とリモートのネットワークを接続するために必要な接続数を最小限に抑えます。この設計は、コロケーション中継ハブを物理的に設立したり、物理的なネットワーク設備をデプロイしたりするための従来の費用をほとんどかけずに実装できるため、時間と労力を節約し、コストも削減できます。

IMAGE: 異なるリージョンの異なる VPC 間での接続を示す図

異なるリージョンの異なる VPC 間での接続

中継 Amazon VPC が確立できたら、1 つのリージョンの「スポーク」 VPC でデプロイしたアプリケーションを、別のリージョン内の「スポーク」 VPC で ElastiCache クラスターに接続できます。

別の内の別の VPC のクラスターにアクセスするにはAWSリージョン

  1. Transit VPC ソリューションをデプロイします。詳細については、「」を参照してください。AWSトランジットゲートウェイ

  2. アプリおよびキャッシュ VPC の VPC ルーティングテーブルを更新し、VGW (仮想プライベートゲートウェイ) および VPN アプライアンスを通じてトラフィックをルーティングします。ボーダーゲートウェイプロトコル (BGP) を使用した動的ルーティングの場合、ルートは自動的に伝達される可能性があります。

  3. ElastiCache クラスターのセキュリティグループを変更して、アプリケーションインスタンスの IP 範囲からのインバウンド接続を許可します。このシナリオでは、アプリケーションサーバーセキュリティグループを参照することはできません。

リージョン間でクラスターにアクセスすると、ネットワークのレイテンシーが生じ、リージョン間のデータ転送コストが追加で発生します。

顧客のデータセンター内で実行されるアプリケーションからの ElastiCache クラスターへのアクセス

もう 1 つシナリオとして、クライアントまたは顧客のデータセンター内のアプリケーションが VPC の ElastiCache クラスターにアクセスする必要がある場合のようなハイブリッドアーキテクチャが考えられます。このシナリオは、顧客の VPC とデータセンター間で VPN または Direct Connect による接続がある場合にサポートされます。

 

顧客のデータセンター内で実行されるアプリケーションからの VPN 接続を使用した ElastiCache クラスターへのアクセス

次の図は、VPN 接続を使用して社内ネットワークで実行されるアプリケーションから ElastiCache クラスターにアクセスする様子を示しています。

IMAGE: 接続を示す図ElastiCacheVPN によるデータセンターから

に接続するElastiCacheVPN によるデータセンターから

VPN 接続経由でオンプレミスアプリケーションから VPC のクラスターにアクセスするには

  1. VPC にハードウェア仮想プライベートゲートウェイを追加して、VPN 接続を確立します。詳細については、「VPC へのハードウェア仮想プライベートゲートウェイの追加」を参照してください。

  2. ElastiCache クラスターがデプロイされているサブネットの VPC ルーティングテーブルを更新して、オンプレミスアプリケーションサーバーからのトラフィックを許可します。BGP を使用した動的ルーティングの場合、ルートは自動的に伝達される可能性があります。

  3. ElastiCache クラスターのセキュリティグループを変更して、オンプレミスアプリケーションサーバーからのインバウンド接続を許可します。

VPN 接続経由でクラスターにアクセスすると、ネットワークのレイテンシーが生じ、追加のデータ転送コストが発生します。

 

顧客のデータセンター内で実行されるアプリケーションからの Direct Connect を使用した ElastiCache クラスターへのアクセス

次の図は、Direct Connect を使用して社内ネットワークで実行されるアプリケーションから ElastiCache クラスターにアクセスする様子を示しています。

IMAGE: 接続を示す図ElastiCacheDirect Connect によるデータセンターから

に接続するElastiCacheDirect Connect によるデータセンターから

Direct Connect を使用して、ネットワークで実行されるアプリケーションから ElastiCache クラスターにアクセスするには

  1. Direct Connect 接続を確立します。詳細については、「」を参照してください。の使用開始AWSDirect Connect

  2. ElastiCache クラスターのセキュリティグループを変更して、オンプレミスアプリケーションサーバーからのインバウンド接続を許可します。

DX 接続経由でクラスターにアクセスすると、ネットワークのレイテンシーが生じ、追加のデータ転送料金が発生する場合があります。