仮想プライベートクラウドでの AWS DataSync の使用 - AWS DataSync

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

仮想プライベートクラウドでの AWS DataSync の使用

VPC エンドポイントを使用して、Amazon VPC サービスに基づいて仮想プライベートクラウド (VPC) に AWS DataSync をデプロイできます。この機能を使用すると、エージェントと DataSync サービスの間の接続はパブリックインターネットを経由しないため、パブリック IP アドレスを必要としません。これらの接続制限は、VPC 内でネットワークトラフィックを維持することにより、データのセキュリティを強化します。

DataSync の VPC エンドポイントは、VPC エンドポイントサービス (AWS PrivateLink) を使用しています。AWS PrivateLink は、可用性の高いスケーラブルな AWS のサービスであり、サポートされている AWS のサービスに VPC をプライベートに接続することを可能にします。詳細については、Amazon VPC ユーザーガイドの「VPC エンドポイント サービス (AWS PrivateLink)」をご参照ください。

VPC エンドポイントを使用するには、AWS Direct Connect または仮想プライベートネットワーク (VPN) を使用してファイルを転送できます。このような転送では、VPC 内からのみアクセス可能なプライベート IP アドレスを使用します。

VPC エンドポイントでの DataSync の動作

DataSync エージェントは、自己管理ストレージと AWS の間でデータを転送します。エージェントは、送信元ストレージと同じローカルネットワークにある仮想マシンとしてデプロイします。この方法では、ネットワークファイルシステム (NFS) やサーバーメッセージブロック (SMB) などのネットワークプロトコルを使用したデータの転送や、Amazon S3 API を使用した自己管理オブジェクトストレージへのアクセスに関連するネットワークオーバーヘッドが最小限に抑えられます。

プライベート VPC エンドポイントで DataSync を使用すると、DataSync エージェントはパブリックインターネットを経由することなく AWS と直接通信できます。

データ転送にプライベート IP アドレスを使用するための DataSync の設定

次の手順では、VPC エンドポイントを使用して AWS と通信する DataSync エージェントとタスクを設定するステップについて説明します。

次の図は、設定プロセスを示しています。

VPC エンドポイントを使用して AWS と通信するように DataSync エージェントとタスクを設定するには

  1. DataSync プライベート IP アドレスを設定する VPC とサブネットを選択します。

    VPC は、AWS Direct Connect または VPN 経由のルーティングルールを使用して、SMB、NFS またはセルフマネージドオブジェクトストレージが配置されているローカル環境に拡張する必要があります。この設定により、DataSync エージェントと DataSync サービスの間のすべての通信が VPC 内に留まることが確実になります。

  2. ローカルストレージの近くに DataSync エージェントをデプロイします。エージェントは、NFS、SMB または Amazon S3 API を使用してソースストレージの場所にアクセスできる必要があります。DataSync エージェント用の .ova ファイルは、DataSync コンソールからダウンロードできます。エージェントはパブリック IP アドレスを必要としません。.ova イメージのダウンロードとデプロイの詳細については、「エージェントを作成する」を参照してください。

    注記

    1 つのエージェントは、プライベート、パブリック、または連邦情報処理規格 (FIPS) の 1 つのタイプのエンドポイントに対してのみ使用できます。パブリックインターネット経由でデータを転送するようにエージェントがすでに設定されている場合は、新しいエージェントをデプロイしてプライベート DataSync エンドポイントにデータを転送します。詳細な手順については、「デプロイする DataSync エージェント」を参照してください。

  3. ステップ 1 で選択した VPC で、DataSync が使用するプライベート IP アドレスに確実にアクセスできるようにするセキュリティグループを作成します。これらのアドレスには、制御トラフィック用の 1 つの VPC エンドポイントと 4 つの VPC エンドポイントが含まれます。elastic network interface (ENIデータ転送に使用します。このセキュリティグループを使用して、これらのプライベート IP アドレスへのアクセスを管理し、エージェントがそれらのアドレスにルーティングできるようにします。

    エージェントは、これらの IP アドレスへの接続を確立できるようにする必要があります。エンドポイントにアタッチされたセキュリティグループで、エージェントのプライベート IP アドレスがこれらのエンドポイントに接続できるようにインバウンドルールを設定します。

  4. DataSync サービスの VPC エンドポイントを作成します。

    これを行うには、https://console.aws.amazon.com/vpc/ でAmazon VPC コンソールを開き、左のナビゲーションペインからエンドポイントを選択します。[Create Endpoint] (エンドポイントの作成) を選択します。

    [Service category] (サービスカテゴリ) で、[AWS service] を選択します。サービス名で、AWS リージョン (たとえば、com.amazonaws.us-east-1.datasync) 内の DataSync を選択します。次に、ステップ 1 と 3 で選択した VPC とセキュリティグループを選択します。必ず、[Enable Private DNS Name (プライベート DNS 名を有効にする)] チェックボックスをオフにします。

    重要

    DataSync Amazon EC2 エージェントを使用している場合は、アベイラビリティーゾーン間のネットワークトラフィックの料金を回避するために、エージェントが存在するアベイラビリティーゾーンを選択します。

    すべての AWS リージョンのデータ転送料金の詳細については、「Amazon EC2 オンデマンド料金」を参照してください。

    VPC エンドポイントの作成の詳細については、Amazon VPC ユーザーガイドの「インターフェイスエンドポイントの作成」を参照してください。

  5. 新しい VPC エンドポイントが使用可能になったら、セルフマネージド環境のネットワーク設定でエージェントのアクティベーションが許可されていることを確認します。

    アクティベーションは、エージェントを AWS アカウント に安全に関連付ける 1 回限りのオペレーションです。エージェントをアクティブ化するには、ポート 80 を使用してエージェントに到達できるコンピュータを使用します。アクティブ化後、このアクセスを取り消すことができます。エージェントは、ステップ 4 で作成した VPC エンドポイントのプライベート IP アドレスに到達できるはずです。

    この IP アドレスを見つけるには、https://console.aws.amazon.com/vpc/ で Amazon VPC コンソールを開き、左側のナビゲーションペインから [エンドポイント] を選択します。DataSync エンドポイントを選択し、[Subnets (サブネット)] リストで選択したサブネットのプライベート IP アドレスを確認します。これは VPC エンドポイントの IP アドレスです。

    注記

    ポート 443、1024–1064、およびポート 22 を使用して、エージェントから VPC エンドポイントへのアウトバウンドトラフィックを許可することを確認します。ポート 22 はオプションであり、AWS Supportチャネルに使用されます。

  6. エージェントをアクティブ化します。ポート 80 を使用してエージェントにルーティングでき、DataSync コンソールにアクセスできるコンピュータがある場合は、コンソールを開き、[Create Agent](エージェントの作成) を選択します。サービスエンドポイントセクションで、[VPC endpoints using AWS PrivateLink]( を使用する VPC エンドポイント) を選択します。

    ステップ 4 で VPC エンドポイント、ステップ 1 でサブネット、ステップ 3 でセキュリティグループを選択します。エージェントの IP アドレスを入力します。

    同じコンピュータを使用するエージェントと DataSync コンソールにアクセスできない場合は、エージェントのポート 80 にアクセスできるコンピュータからコマンドラインを使用してエージェントをアクティブ化します。詳細については、「エージェントを作成する」を参照してください。

  7. [Get Key (キーの取得)] を選択し、必要に応じてエージェント名とタグを入力して、[Create agent (エージェントの作成)] を選択します。新しいエージェントが DataSync コンソールの [エージェント] タブに現われます。緑色の [VPC Endpoint (VPC エンドポイント)] バナーは、このエージェントで実行されたすべてのタスクが、パブリックインターネットを経由せずにプライベートエンドポイントを使用していることを示します。

  8. データ転送の送信元と送信先を設定してタスクを作成します。エンドポイントの選択の詳細については、「サービスエンドポイントを選択する」を参照してください。

    プライベート IP アドレスを使用して転送しやすくするため、タスクでは、選択した VPC とサブネットに 4 つの ENI が作成されます。

  9. タスクが作成する 4 つの ENI と関連する IP アドレスにエージェントが到達できることを確認します。

    これらの IP アドレスを見つけるには、https://console.aws.amazon.com/ec2/で Amazon EC2 コンソールを開き、ダッシュボードのネットワークインターフェイスを選択します。検索フィルタにタスク ID を入力して、タスクの 4 つの ENI を表示します。これらは、VPC エンドポイントによって使用される ENI です。ポート 443 を使用して、エージェントからこれらのインターフェイスへのアウトバウンドトラフィックを許可していることを確認します。

これで、タスクを開始できるようになりました。このエージェントを使用する追加のタスクごとに、ステップ 9 を繰り返して、タスクのトラフィックがポート 443 を通過できるようにします。