Auto Scaling VPC グループに Lattice ターゲットグループをアタッチする準備をします。 - Amazon EC2 Auto Scaling
セキュリティグループ: インバウンドルールとアウトバウンドルール制限事項

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Auto Scaling VPC グループに Lattice ターゲットグループをアタッチする準備をします。

Lattice VPC ターゲットグループを Auto Scaling グループにアタッチする前に、次の前提条件を満たす必要があります。

  • Lattice VPC サービスネットワーク、サービス、リスナー、およびターゲットグループを既に作成しておく必要があります。詳細については、VPC「Lattice ユーザーガイド」の以下のトピックを参照してください。

  • ターゲットグループは AWS アカウント、Auto Scaling グループと同じ 、VPC、および リージョンに存在する必要があります。

  • ターゲットグループは、instance のターゲットタイプを指定する必要があります。Auto Scaling グループを使用する場合、ip のターゲットタイプを指定することはできません。

  • ターゲットグループを Auto Scaling グループにアタッチするには、十分なIAMアクセス許可が必要です。次のポリシー例は、ターゲットグループをアタッチおよびデタッチするために必要な最小限のアクセス許可を示しています。

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "autoscaling:AttachTrafficSources",
                "autoscaling:DetachTrafficSources",
                "autoscaling:DescribeTrafficSources",
                "vpc-lattice:RegisterTargets",
                "vpc-lattice:DeregisterTargets"
            ],
            "Resource": "*"
        }
    ]
}

  • Auto Scaling グループの起動テンプレートに、互換性のあるセキュリティグループなど、Lattice VPC の正しい設定が含まれていない場合は、起動テンプレートを更新する必要があります。起動テンプレートが変更されても、既存のインスタンスは新しい設定に更新されません。既存のインスタンスを更新するには、インスタンスの更新を開始してインスタンスを置き換えます。詳細については、「インスタンスの更新を使用して Auto Scaling グループのインスタンスを更新する」を参照してください。

  • Auto Scaling グループで VPC Lattice ヘルスチェックを有効にする前に、アプリケーションベースのヘルスチェックを設定して、アプリケーションが期待どおりに応答していることを確認します。詳細については、VPC「Lattice ユーザーガイド」の「ターゲットグループのヘルスチェック」を参照してください。

セキュリティグループ: インバウンドルールとアウトバウンドルール

セキュリティグループは、関連付けられたEC2インスタンスのファイアウォールとして機能し、インバウンドトラフィックとアウトバウンドトラフィックの両方をインスタンスレベルで制御します。

注記

ネットワーク設定は十分に複雑であるため、Lattice VPC で使用する新しいセキュリティグループを作成することを強くお勧めします。また、 AWS Support に連絡する必要がある場合に、 がサポートしやすくなります。次のセクションは、ユーザーがこの推奨事項に従うことを前提とした内容になっています。

Auto Scaling グループで使用できる Lattice VPC のセキュリティグループの作成の詳細については、「Lattice ユーザーガイド」の「セキュリティグループを使用したトラフィックの制御」を参照してください。 VPC トラフィックフローの問題をトラブルシューティングするには、VPC「Lattice ユーザーガイド」で詳細を確認してください。

セキュリティグループの作成方法については、Amazon EC2 ユーザーガイドの「セキュリティグループの作成」および次の表を使用して、選択するオプションを決定します。

オプション

名前

 覚えやすい名前。

説明

 セキュリティグループの識別に役立つ説明。

VPC

Auto Scaling グループVPCと同じです。

インバウンドルール

セキュリティグループを作成するときには、インバウンドルールはありません。VPC Lattice サービスネットワーク内のクライアントからインスタンスへのインバウンドトラフィックは、セキュリティグループにインバウンドルールを追加するまで許可されません。

VPC Lattice サービスネットワーク内のクライアントが Auto Scaling グループのインスタンスに接続できるようにするには、Auto Scaling グループのセキュリティグループを正しく設定する必要があります。この場合、特定の IP アドレスではなく、Lattice VPC の AWS マネージドプレフィックスリストの名前からのトラフィックを許可するインバウンドルールを指定します。VPC Lattice プレフィックスリストは、Lattice VPC がCIDR表記で使用する IP アドレスの範囲です。詳細については、「Amazon VPCユーザーガイド」のAWS「 マネージドプレフィックスリストの操作」を参照してください。

セキュリティグループにルールを追加する方法については、「Amazon VPC ユーザーガイド」の「セキュリティグループにルールを追加する」を参照してください。また、次の表を使用して、選択するオプションを決定します。

オプション

HTTP ルール

タイプ: HTTP

ソース: com.amazonaws。region.vpc-lattice

HTTPS ルール

タイプ: HTTPS

ソース: com.amazonaws。region.vpc-lattice

セキュリティグループはステートフルです。これにより、Lattice VPC サービスネットワーク内のクライアントから Auto Scaling グループのインスタンスへのトラフィックが許可され、以前に残したクライアントにレスポンスが返されます。

アウトバウンドルール

デフォルトでは、セキュリティグループにはすべてのアウトバウンドトラフィックを許可するアウトバウンドルールが含まれています。必要に応じて、このデフォルトルールを削除し、特定のセキュリティニーズに対応するアウトバウンドルールを追加できます。

制限事項

  • 混合インスタンスグループはサポートされていません。混合インスタンスポリシーを持つ Auto Scaling VPC グループに Lattice ターゲットグループをアタッチしようとすると、エラーメッセージが表示されます。現在、混合インスタンスを持つ Auto Scaling グループは Lattice VPC サービス と統合できません。これは、負荷分散アルゴリズムにより、利用可能なすべてのリソースに負荷が均等に分散されたことで、インスタンス同士が同じ負荷を処理できるほどに類似していると想定されたためです。