クライアント IP アドレスの保存に関するベストプラクティス - AWS Global Accelerator

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

クライアント IP アドレスの保存に関するベストプラクティス

AWS Global Accelerator でクライアント IP アドレスの保持を使用する場合は、このセクションのエラスティックネットワークインターフェイスとセキュリティグループに関する情報とベストプラクティスに留意してください。

クライアントの IP アドレスの保持をサポートするために、Global Accelerator は、エンドポイントが存在するサブネットごとに 1 つずつ、AWS アカウントに Elastic ネットワークインターフェイスを作成します。Elastic Network Interface は、仮想ネットワークカードを表す VPC 内の論理ネットワーキングコンポーネントです。Global Accelerator は、これらの Elastic ネットワークインターフェイスを使用して、アクセラレータの背後にあるエンドポイントにトラフィックをルーティング このようにトラフィックをルーティングするためにサポートされているエンドポイントは、アプリケーションロードバランサー(内部およびインターネットに接続)と Amazon EC2 インスタンスです。

注記

Global Accelerator で内部Application Load Balancer または EC2 インスタンスエンドポイントを追加する場合、プライベートサブネットでターゲットを設定することで、インターネットトラフィックが Virtual Private Cloud(VPC; 仮想プライベートクラウド)のエンドポイントに直接送受信されるようにします。詳細については、「AWS Global Accelerator でのセキュアな VPC 接続」を参照してください。

グローバルアクセラレータによるエラスティックネットワークインターフェイスの使用方法

クライアントの IP アドレスの保持を有効にしたApplication Load Balancer がある場合、ロードバランサーが存在するサブネットの数によって、Global Accelerator がアカウントに作成する Elastic ネットワークインターフェイスの数が決まります。Global Accelerator は、アカウント内のアクセラレータの前にあるApplication Load Balancer のエラスティックネットワークインターフェイスを少なくとも 1 つ持つサブネットごとに 1 つのエラスティックネットワークインターフェイスを作成します。

以下の例では、このしくみを示しています。

  • 例 1: Application Load Balancer のサブネット A とサブネット B にエラスティックネットワークインターフェイスがあり、ロードバランサーをアクセラレータエンドポイントとして追加すると、Global Accelerator は各サブネットに 1 つずつ、2 つのエラスティックネットワークインターフェイスが作成されます。

  • 例 2: たとえば、サブネット A と SubnetB にエラスティックネットワークインターフェイスを持つ ALB1 を Accelerator1 に追加し、サブネット A にエラスティックネットワークインターフェイスを持つ ALB2 を Accelerator2 に追加すると、グローバルアクセラレータは、サブネット A に 1 つ、サブネット B に 1 つずつ、エラスティックネットワークインターフェイスを 2 つだけ作成します。

  • 例 3: SubnetA および SubnetB にエラスティックネットワークインターフェイスを持つ ALB1 を Accelerator1 に追加し、SubnetA および SubnetC にエラスティックネットワークインターフェイスを持つ ALB2 を Accelerator2 に追加すると、グローバルアクセラレータは 3 つのエラスティックネットワークインターフェイス (SubnetA に 1 つ、SubnetB に 1 つ、SubnetC に 1 つ) を作成します。SubnetA のelastic network interface は、アクセラレータ 1 とアクセラレータ 2 の両方にトラフィックを配信します。

例 3 に示すように、エラスティックネットワークインターフェイスは、同じサブネット内のエンドポイントが複数のアクセラレータの背後に配置されている場合、アクセラレータ間で再利用されます。

Global Accelerator が作成する論理エラスティックネットワークインターフェイスは、単一のホスト、スループットのボトルネック、または単一障害点を表すものではありません。アベイラビリティーゾーンまたはサブネットで単一のelastic network interface として表示される他の AWS サービス(ネットワークアドレス変換(NAT)ゲートウェイやネットワーク負荷バランサーなどのサービス)と同様に、Global Accelerator は水平方向に拡張され、可用性の高いサービスとして実装されます。

アクセラレータのエンドポイントで使用されるサブネットの数を評価して、Global Accelerator が作成する Elastic ネットワークインターフェイスの数を決定します。アクセラレータを作成する前に、必要な Elastic ネットワークインターフェイスに十分な IP アドレス空間容量(関連するサブネットごとに少なくとも 1 つの空き IP アドレス)があることを確認してください。十分な空きの IP アドレス領域がない場合は、Application Load Balancer および関連する Global Accelerator Elastic ネットワークインターフェイスに十分な空きの IP アドレス領域があるサブネットを作成または使用する必要があります。

Global Accelerator が、アカウントのアクセラレータのエンドポイントでelastic network interface が使用されていないと判断すると、Global Accelerator はインターフェイスを削除します。

グローバルアクセラレータによって作成されたセキュリティグループ

グローバルアクセラレータとセキュリティグループを使用する場合は、次の情報とベストプラクティスを確認してください。

  • Global Accelerator は、Elastic Network インターフェイスに関連付けられているセキュリティグループを作成します。システムによって禁止されるわけではありませんが、これらのグループのセキュリティグループ設定を編集しないでください。

  • グローバルアクセラレータは、作成したセキュリティグループを削除しません。ただし、Global Accelerator では、アカウントのアクセラレータのエンドポイントでelastic network interface が使用されていない場合、エラスティックネットワークインターフェイスは削除されます。

  • Global Accelerator によって作成されたセキュリティグループは、保守する他のセキュリティグループのソースグループとして使用できますが、Global Accelerator は VPC で指定したターゲットにのみトラフィックを転送します。

  • Global Accelerator で作成されたセキュリティグループのルールを変更すると、エンドポイントが異常になることがあります。その場合は、AWS サポート詳細については、

  • グローバルアクセラレータは、VPC ごとに特定のセキュリティグループを作成します。特定の VPC 内のエンドポイント用に作成された Elastic ネットワークインターフェイスは、elastic network interface が関連付けられているサブネットに関係なく、すべて同じセキュリティグループを使用します。