AWS OutpostsAWS リージョンへの接続 - AWS Outposts

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS OutpostsAWS リージョンへの接続

AWS Outposts は、サービスリンク接続を介した広域ネットワーク (WAN) 接続をサポートします。

サービスリンクは、Outposts と選択した AWS リージョン (またはホームリージョン) との間の必要な接続であり、Outposts の管理と AWS リージョンとの間のトラフィックの交換を可能にします。サービスリンクは、暗号化された VPN 接続のセットを活用して、ホームリージョンと通信します。

サービスリンク接続を設定するには、Outpost のプロビジョニング中にローカルネットワークデバイスとの物理、仮想 LAN (VLAN)、およびネットワークレイヤー接続サービスリンクを設定 AWS する必要があります。詳細については、「ラックのローカルネットワーク接続」および「Outposts ラックのサイト要件」を参照してください。

AWS リージョンへのワイドエリアネットワーク (WAN) 接続の場合、 AWS Outposts は AWS リージョンのパブリック接続を介してサービスリンク VPN 接続を確立できます。そのためには、Outposts がリージョンのパブリック IP 範囲にアクセスできる必要があります。パブリック IP 範囲は、パブリックインターネットまたは AWS Direct Connect パブリック仮想インターフェイスを経由できます。現在の IP アドレス範囲については、「Amazon VPC ユーザーガイド」の「AWS IP アドレス範囲」を参照してください。 この接続を有効にするには、サービスリンクネットワークレイヤーパスで特定のルートまたはデフォルトルート (0.0.0.0/0) を設定します。詳細については、「サービスリンク BGP 接続」および「サービスリンクインフラストラクチャサブネットアドバタイズメント」および「IP 範囲」を参照してください。

または、Outpost のプライベート接続オプションを選択することもできます。詳細については、「VPC を使用したサービスリンクのプライベート接続」を参照してください。

サービスリンク接続が確立されると、Outpost は によって運用され、管理されます AWS。サービスリンクは以下のトラフィックに使用されます。

  • Outpost と関連付けられた VPC 間のカスタマー VPCsトラフィック。

  • リソース管理、リソースモニタリング、ファームウェア、ソフトウェア更新などの Outposts 管理トラフィック。

サービスリンクの最大送信単位 (MTU) 要件

ネットワーク接続の最大送信単位 (MTU) とは、接続を介して渡すことができる最大許容パケットサイズ (バイト単位) です。ネットワークは、Outpost と親 AWS リージョンのサービスリンクエンドポイント間の 1500 バイトの MTU をサポートする必要があります。サービスリンクを介した Outpost のインスタンスと AWS リージョンのインスタンス間の必要な MTU については、Amazon EC2 ユーザーガイド」の「Amazon EC2 インスタンスのネットワーク最大送信単位 (MTU)Amazon EC2」を参照してください。

サービスリンクの推奨帯域幅

最適なエクスペリエンスと回復性を実現するために、 AWS では、 AWS リージョンへのサービスリンク接続に、少なくとも 500 Mbps (1 Gbps が望ましい) の冗長接続と最大 175 ms のラウンドトリップレイテンシーを使用する必要があります。サービスリンクには、 AWS Direct Connect またはインターネット接続を使用できます。サービスリンク接続の最小 500 Mbps と最大ラウンドトリップ時間の要件により、Amazon EC2 インスタンスの起動、Amazon EBS ボリュームのアタッチ、Amazon EKS、Amazon EMR、メトリクス CloudWatchなどの AWS のサービスへのアクセスを最適なパフォーマンスで実行できます。

Outposts サービスのリンク帯域幅要件は、次の特性によって異なります。

  • AWS Outposts ラック数と容量設定

  • AMI サイズ、アプリケーションの伸縮性、バースト速度のニーズ、リージョンへの Amazon VPC トラフィックなどのワークロード特性

ニーズに必要なサービスリンク帯域幅に関するカスタムレコメンデーションを受け取るには、 AWS 販売担当者または APN パートナーにお問い合わせください。

ファイアウォールとサービスリンク

このセクションでは、ファイアウォール設定とサービスリンク接続について説明します。

次の図では、設定によって Amazon VPC が AWS リージョンから Outpost に拡張されています。 AWS Direct Connect パブリック仮想インターフェイスは、サービスリンク接続です。次のトラフィックがサービスリンクと AWS Direct Connect 接続を通過します。

  • サービスリンク経由の Outpost への管理トラフィック

  • Outpost と関連するすべての VPC 間のトラフィック

AWS Direct Connect への接続 AWS

インターネット接続にステートフルファイアウォールを使用してパブリックインターネットからサービスリンク VLAN への接続を制限している場合、インターネットから開始されるすべてのインバウンド接続をブロックできます。これは、サービスリンク VPN は Outpost からリージョンにのみ開始され、リージョンから Outpost には開始されないためです。

へのインターネットゲートウェイ接続 AWS

ファイアウォールを使用してサービスリンク VLAN からの接続を制限すると、すべてのインバウンド接続をブロックできます。次の表に従って、 AWS リージョンから Outpost へのアウトバウンド接続を許可する必要があります。ファイアウォールがステートフルであれば、許可されている Outpost からのアウトバウンド接続、つまり Outpost から開始された接続は、インバウンドに戻ることも許可される必要があります。

[プロトコル] ソースポート 送信元アドレス 発信先 ポート 送信先アドレス

UDP

443

AWS Outposts サービスリンク /26

443

AWS Outposts リージョンのパブリックルート

TCP

1025-65535

AWS Outposts サービスリンク /26

443

AWS Outposts リージョンのパブリックルート

注記

Outpost 内のインスタンスは、サービスリンクを使用して別の Outposts 内のインスタンスと通信することはできません。ローカルゲートウェイまたはローカルネットワークインターフェイスを介したルーティングを活用して Outposts 間の通信を行います。

AWS Outposts ラックは、ローカルゲートウェイコンポーネントを含む冗長電源およびネットワーク機器でも設計されています。詳細については、「 の耐障害性 AWS Outposts」を参照してください。

VPC を使用したサービスリンクのプライベート接続

Outpost を作成する際に、コンソールでプライベート接続オプションを選択できます。これを行うと、指定した VPC とサブネットを使用して Outpost をインストールした後に、サービスリンク VPN 接続が確立されます。これにより、VPC を介したプライベート接続が可能になり、パブリックインターネットへの露出が最小限に抑えられます。

前提条件

Outpost にプライベート接続を設定するには、次の前提条件を満たす必要があります。

  • ユーザーまたはロールがサービスにリンクされたロールをプライベート接続で作成できるようにするには、IAM エンティティ (ユーザーまたはロール) のアクセス許可を設定する必要があります。IAM エンティティには、以下のアクションにアクセスする権限が必要です。

    • iam:CreateServiceLinkedRolearn:aws:iam::*:role/aws-service-role/outposts.amazonaws.com/AWSServiceRoleForOutposts* での

    • iam:PutRolePolicyarn:aws:iam::*:role/aws-service-role/outposts.amazonaws.com/AWSServiceRoleForOutposts* での

    • ec2:DescribeVpcs

    • ec2:DescribeSubnets

    詳細については、「の Identity and Access Management (IAM) AWS Outposts」および「AWS Outpostsのサービスにリンクされたロールの使用」を参照してください。

  • Outpost と同じ AWS アカウントとアベイラビリティーゾーンで、10.1.0.0/16 と競合しないサブネット /25 以上との Outpost プライベート接続のみを目的として VPC を作成します。たとえば、10.2.0.0/16 を使用することができます。

  • AWS Direct Connect 接続、プライベート仮想インターフェイス、仮想プライベートゲートウェイを作成して、オンプレミスの Outpost が VPC にアクセスできるようにします。接続が VPC AWS Direct Connect とは異なる AWS アカウントにある場合は、「 ユーザーガイド」の「アカウント間で仮想プライベートゲートウェイを関連付ける」を参照してください。 AWS Direct Connect

  • サブネット CIDR をオンプレミスネットワークにアドバタイズします。これを行う AWS Direct Connect には、 を使用できます。詳細については、「AWS Direct Connect ユーザーガイド」の「AWS Direct Connect 仮想インターフェイス」と「AWS Direct Connect ゲートウェイの操作」を参照してください。

AWS Outposts コンソールで Outpost を作成する際に、プライベート接続オプションを選択できます。手順については、「Outpost を作成して Outpost 容量を注文する」を参照してください。

注記

Outpost のステータスが保留中のときにプライベート接続オプションを選択するには、コンソールから Outposts を選択し、Outpost を選択します。アクションを選択し、プライベート接続を追加を選択し、表示される手順に従います。

Outpost のプライベート接続オプションを選択すると、 によって自動的にサービスにリンクされたロールがアカウントに AWS Outposts 作成され、ユーザーに代わって次のタスクを完了できるようになります。

  • 指定したサブネットと VPC にネットワークインターフェイスを作成し、ネットワークインターフェイスのセキュリティグループを作成します。

  • アカウント内の AWS Outposts サービスリンクエンドポイントインスタンスにネットワークインターフェイスをアタッチするアクセス許可をサービスに付与します。

  • アカウントからサービス リンク エンドポイント インスタンスにネットワーク インターフェイスを接続します。

サービスにリンクされたロールの詳細については、「AWS Outpostsのサービスにリンクされたロールの使用」を参照してください。

重要

Outpost をインストールしたら、Outpost からサブネット内のプライベート IP への接続を確認します。

冗長インターネット接続

Outpost から AWS リージョンへの接続を構築する場合は、可用性と回復性を高めるために複数の接続を作成することをお勧めします。詳細については、「‭‬AWS Direct Connect  の回復性に関する推奨事項‭‬」を参照してください。

パブリックインターネットへの接続が必要な場合は、既存のオンプレミスワークロードと同様に、冗長インターネット接続とさまざまなインターネットプロバイダーを使用できます。