AWS OutpostsAWS リージョンへの接続 - AWS Outposts

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS OutpostsAWS リージョンへの接続

AWS Outposts は、サービスリンク接続を介した広域ネットワーク (WAN) 接続をサポートします。

注記

Outpost サーバーを自分のリージョンまたは AWS Outposts ホーム AWS リージョンに接続するサービスリンク接続にプライベート接続を使用することはできません。

AWS Outposts プロビジョニング中に、Outpost を選択したリージョンまたは AWS Outposts ホーム AWS リージョンに接続するサービスリンク接続をユーザーまたは が AWS 作成します。サービスリンクは暗号化された VPN 接続セットで、Outpost が選択したホームリージョンと通信する際に必ず使用されます。仮想 LAN (VLAN) を使用してサービスリンク上のトラフィックをセグメント化します。サービスリンク VLAN により、Outpost と AWS リージョン間の通信が可能になり、Outpost の管理と AWS リージョンと Outpost 間の VPC 内トラフィックの両方が可能になります。

Outpost はパブリックリージョン接続を通じて AWS リージョンに戻るサービスリンク VPN を作成することができます。そのためには、Outpost はパブリックインターネットまたはパブリック仮想インターフェイスを介して、 AWS リージョンの AWS Direct Connect パブリック IP 範囲に接続する必要があります。この接続は、サービスリンク VLAN 内の特定のルート経由でも、0.0.0.0/0 のデフォルトルート経由でも可能です。 AWSのパブリックレンジの詳細については、「AWS IP アドレス範囲」を参照してください。

サービスリンクが確立されると、Outpost は によって稼働および管理されます AWS。サービスリンクは以下のトラフィックに使用されます。

  • 内部コントロールプレーントラフィック、内部リソース監視、ファームウェアとソフトウェアの更新など、サービスリンク経由の Outpost への管理トラフィック。

  • Outpost と関連するすべての VPC 間のトラフィック (顧客データプレーントラフィックを含む)。

サービスリンクの最大送信単位 (MTU) 要件

ネットワーク接続の最大送信単位 (MTU) とは、接続を介して渡すことができる最大許容パケットサイズ (バイト単位) です。ネットワークは、Outpost と親 AWS リージョンのサービスリンクエンドポイント間の 1500 バイトの MTU をサポートする必要があります。サービスリンクを介した Outpost のインスタンスと AWS リージョンのインスタンス間の必要な MTU については、Amazon EC2 ユーザーガイド」の「Amazon EC2 インスタンスのネットワーク最大送信単位 (MTU)Amazon EC2」を参照してください。

サービスリンクの推奨帯域幅

最適なエクスペリエンスと回復性を実現するために、 AWS では、リージョンへの AWS サービスリンク接続に 500 Mbps 以上の冗長接続を使用することをお勧めします。各 Outpost サーバーの最大使用率は 500 Mbps です。接続速度を上げるには、複数の Outpost サーバーを使用してください。たとえば、 AWS Outposts サーバーが 3 台ある場合、最大接続速度は 1.5 Gbps (1,500 Mbps) に増加します。詳細については、「サーバーのサービスリンクトラフィック」を参照してください。

AWS Outposts サービスリンクの帯域幅要件は、AMI サイズ、アプリケーションの伸縮性、バースト速度のニーズ、リージョンへの Amazon VPC トラフィックなどのワークロード特性によって異なります。 AWS Outposts サーバーは AMIsキャッシュしないことに注意してください。AMI はインスタンスが起動するたびにリージョンからダウンロードされます。

ニーズに必要なサービスリンク帯域幅に関するカスタムレコメンデーションを受け取るには、 AWS 販売担当者または APN パートナーにお問い合わせください。

ファイアウォールとサービスリンク

このセクションでは、ファイアウォール設定とサービスリンク接続について説明します。

次の図では、設定によって Amazon VPC が AWS リージョンから Outpost に拡張されています。 AWS Direct Connect パブリック仮想インターフェイスは、サービスリンク接続です。次のトラフィックがサービスリンクと AWS Direct Connect 接続を通過します。

  • サービスリンク経由の Outpost への管理トラフィック

  • Outpost と関連するすべての VPC 間のトラフィック

AWS Direct Connect への接続 AWS

インターネット接続にステートフルファイアウォールを使用してパブリックインターネットからサービスリンク VLAN への接続を制限している場合、インターネットから開始されるすべてのインバウンド接続をブロックできます。これは、サービスリンク VPN は Outpost からリージョンにのみ開始され、リージョンから Outpost には開始されないためです。

へのインターネットゲートウェイ接続 AWS

ファイアウォールを使用してサービスリンク VLAN からの接続を制限すると、すべてのインバウンド接続をブロックできます。次の表に従って、 AWS リージョンから Outpost へのアウトバウンド接続を許可する必要があります。ファイアウォールがステートフルであれば、許可されている Outpost からのアウトバウンド接続、つまり Outpost から開始された接続は、インバウンドに戻ることも許可される必要があります。

[プロトコル] ソースポート 送信元アドレス 発信先 ポート 送信先アドレス

UDP

1024-65535

サービスリンク IP

53

DHCP 提供の DNS サーバー

UDP

443、1024-65535

サービスリンク IP

443

AWS Outposts サービスリンクエンドポイント

TCP

1024-65535

サービスリンク IP

443

AWS Outposts 登録エンドポイント

注記

Outpost 内のインスタンスは、サービスリンクを使用して別の Outposts 内のインスタンスと通信することはできません。ローカルゲートウェイまたはローカルネットワークインターフェイスを介したルーティングを活用して Outposts 間の通信を行います。

AWS は、Outpost サーバーとその親 AWS リージョン間の安全なネットワーク接続を維持します。サービスリンクと呼ばれるこのネットワーク接続は、Outpost と AWS リージョン間の VPC 内トラフィックを提供することで、Outpost を管理する上で不可欠です。AWS Well-Architected のベストプラクティスでは、アクティブ/アクティブ設計の異なるアベイラビリティーゾーンに親親化された 2 つの Outposts にアプリケーションをデプロイすることをお勧めします。詳細については、AWS Outposts 「高可用性の設計とアーキテクチャに関する考慮事項」を参照してください。

サービスリンクは、運用品質とパフォーマンスを維持するために定期的に更新されます。メンテナンス中、このネットワークで短いレイテンシーとパケット損失が発生し、リージョンでホストされているリソースへの VPC 接続に依存するワークロードに影響を与える可能性があります。ただし、ローカルネットワークインターフェイス (LNI) を通過するトラフィックは影響を受けません。AWS Well-Architected のベストプラクティスに従い、単一の Outpost サーバーに影響する障害やメンテナンスアクティビティにアプリケーションが回復できるようにすることで、アプリケーションへの影響を回避できます。

冗長インターネット接続

Outpost から AWS リージョンへの接続を構築する場合は、可用性と耐障害性を高めるために複数の接続を作成することをお勧めします。詳細については、「‭‬AWS Direct Connect  の回復性に関する推奨事項‭‬」を参照してください。

パブリックインターネットへの接続が必要な場合は、既存のオンプレミスワークロードと同様に、冗長インターネット接続とさまざまなインターネットプロバイダーを使用できます。