AWS OutpostsAWS リージョンへの接続 - AWS Outposts

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS OutpostsAWS リージョンへの接続

AWS Outposts は、サービスリンク接続を介したワイドエリアネットワーク (WAN) 接続をサポートします。

サービスリンクは、Outposts と AWS リージョン (またはホームリージョン) 間の必要な接続です。これにより、Outposts の管理と、 AWS リージョンとの間でのトラフィックの交換が可能になります。サービスリンクは、暗号化されたVPN接続セットを活用してホームリージョンと通信します。

サービスリンク接続が確立されると、Outpost は運用可能になり、 によって管理されます AWS。サービスリンクは、次のトラフィックを容易にします。

  • Outpost と関連付けられた 間のカスタマーVPCトラフィックVPCs。

  • リソース管理、リソースモニタリング、ファームウェアとソフトウェアの更新などの管理トラフィックをアウトポストします。

次の手順では、サービスリンクのセットアッププロセスと接続オプションについて説明します。

  1. Outposts ラックを注文すると、 は VLAN、IP、BGP、およびインフラストラクチャサブネット を収集するために AWS に連絡しますIPs。詳細については、「ローカルネットワーク接続」を参照してください。

  2. インストール時に、指定した情報に基づいて Outpost のサービスリンク AWS を設定します。

  3. ルーターなどのローカルネットワークデバイスは、BGP接続を介して各 Outpost ネットワークデバイスに接続するように設定します。サービスリンク VLAN、IP、およびBGP接続の詳細については、「」を参照してくださいネットワーク

  4. ファイアウォールなどのネットワークデバイスを設定して、Outposts が AWS リージョンまたはホームリージョンにアクセスできるようにします。 は、サービスリンクインフラストラクチャサブネットIPs AWS Outposts を使用して、リージョンとVPNの接続を設定し、コントロールとデータトラフィックを交換します。サービスリンクの確立は常に Outpost から開始されます。Outposts と AWS リージョン間のサービスリンクVPN接続は、次のいずれかのオプションを使用して確立できます。

    • パブリックインターネット

      このオプションでは、 AWS Outposts サービスリンクインフラストラクチャサブネットIPsがリージョンまたはホーム AWS リージョンのパブリック IP 範囲にアクセスできる必要があります。ファイアウォールなどのネットワークデバイスでは、 AWS リージョンパブリックIPsまたは 0.0.0.0/0 を許可する必要があります。

    • AWS Direct Connect (DX) パブリック VIFs

      このオプションでは、 AWS Outposts サービスリンクインフラストラクチャサブネットIPsが DX サービス経由で AWS リージョンまたはホームリージョンのパブリック IP 範囲にアクセスできる必要があります。ファイアウォールなどのネットワークデバイスでは、 AWSリージョンパブリックIPsまたは 0.0.0.0/0 を許可する必要があります。

    • プライベート接続

      詳細については、「 を使用したサービスリンクのプライベート接続VPC」を参照してください。

注記
  • ファイアウォールで AWS リージョンパブリック IPs (0.0.0.0/0 ではなく) のみを許可する場合は、ファイアウォールルールが up-to-date現在の IP アドレス範囲にあることを確認する必要があります。詳細については、「Amazon ユーザーガイド」のAWS 「IP アドレス範囲」を参照してください。 VPC

  • 注文プロセス中に提供されたサービスリンク設定を変更することはできません。

サービスリンクの最大送信単位 (MTU) 要件

ネットワーク接続の最大送信単位 (MTU) は、接続を通過できる最大許容パケットのサイズをバイト単位で表したものです。ネットワークは、Outpost と親 AWS リージョンのサービスリンクエンドポイントMTUの間で 1500 バイトをサポートする必要があります。サービスリンクを介した Outpost のインスタンスと AWS リージョンのインスタンスMTUの間で必要な の詳細については、「Amazon ユーザーガイド」の「Amazon EC2インスタンスのネットワーク最大送信単位 (MTU)」を参照してください。 EC2

サービスリンクの推奨帯域幅

最適なエクスペリエンスと障害耐性を得る AWS には、各コンピューティングラックに少なくとも 500 Mbps の冗長接続を使用し、 AWS リージョンへのサービスリンク接続に最大 175 ms のラウンドトリップレイテンシーを使用する必要があります。サービスリンクには、 AWS Direct Connect またはインターネット接続を使用できます。サービスリンク接続の最小 500 Mbps と最大往復時間の要件により、Amazon EC2インスタンスの起動、Amazon EBSボリュームのアタッチ、Amazon EKS、Amazon EMR、 メトリクスなどの AWS サービスへのアクセスを最適なパフォーマンス CloudWatch で行うことができます。

Outposts サービスのリンク帯域幅要件は、次の特性によって異なります。

  • AWS Outposts ラック数と容量の設定

  • AMI サイズ、アプリケーションの弾力性、バースト速度のニーズ、リージョンへの Amazon VPCトラフィックなどのワークロード特性

ニーズに必要なサービスリンク帯域幅に関するカスタムレコメンデーションを受け取るには、 AWS 営業担当者またはAPNパートナーにお問い合わせください。

ファイアウォールとサービスリンク

このセクションでは、ファイアウォール設定とサービスリンク接続について説明します。

次の図では、設定により Amazon が AWS リージョンVPCから Outpost に拡張されています。 AWS Direct Connect パブリック仮想インターフェイスは、サービスリンク接続です。次のトラフィックがサービスリンクと AWS Direct Connect 接続を通過します。

  • サービスリンク経由の Outpost への管理トラフィック

  • Outpost と関連付けられた 間のトラフィック VPCs

AWS Direct Connect への接続 AWS

インターネット接続でステートフルファイアウォールを使用してパブリックインターネットからサービスリンク への接続を制限している場合はVLAN、インターネットから開始されるすべてのインバウンド接続をブロックできます。これは、サービスリンクが Outpost からリージョンにのみVPN開始され、リージョンから Outpost には開始されないためです。

へのインターネットゲートウェイ接続 AWS

ファイアウォールを使用してサービスリンク からの接続を制限する場合はVLAN、すべてのインバウンド接続をブロックできます。次の表に従って、 AWS リージョンから Outpost へのアウトバウンド接続を許可する必要があります。ファイアウォールがステートフルであれば、許可されている Outpost からのアウトバウンド接続、つまり Outpost から開始された接続は、インバウンドに戻ることも許可される必要があります。

[プロトコル] ソースポート 送信元アドレス 発信先 ポート 送信先アドレス

UDP

443

AWS Outposts サービスリンク /26

443

AWS Outposts リージョンのパブリック IPs

TCP

1025-65535

AWS Outposts サービスリンク /26

443

AWS Outposts リージョンのパブリック IPs

注記

Outpost 内のインスタンスは、サービスリンクを使用して別の Outpost 内のインスタンスと通信することはできません。ローカルゲートウェイまたはローカルネットワークインターフェイスを介したルーティングを活用して Outposts 間の通信を行います。

AWS Outposts ラックは、ローカルゲートウェイコンポーネントを含む冗長な電源およびネットワーク機器を使用して設計されています。詳細については、「」の「レジリエンス AWS Outposts」を参照してください。

を使用したサービスリンクのプライベート接続 VPC

Outpost を作成する際に、コンソールでプライベート接続オプションを選択できます。これを行うと、指定した VPCおよび サブネットを使用して Outpost をインストールした後に、サービスリンクVPN接続が確立されます。これにより、 によるプライベート接続が可能になりVPC、パブリックインターネットの露出が最小限に抑えられます。

前提条件

Outpost にプライベート接続を設定するには、次の前提条件を満たす必要があります。

  • ユーザーまたはロールがプライベート接続のサービスにリンクされたロールを作成できるようにするには、IAMエンティティ (ユーザーまたはロール) のアクセス許可を設定する必要があります。IAM エンティティには、次のアクションにアクセスするためのアクセス許可が必要です。

    • iam:CreateServiceLinkedRolearn:aws:iam::*:role/aws-service-role/outposts.amazonaws.com/AWSServiceRoleForOutposts* での

    • iam:PutRolePolicyarn:aws:iam::*:role/aws-service-role/outposts.amazonaws.com/AWSServiceRoleForOutposts* での

    • ec2:DescribeVpcs

    • ec2:DescribeSubnets

    詳細については、「のアイデンティティとアクセス管理 (IAM) AWS Outposts」および「のサービスにリンクされたロール AWS Outposts」を参照してください。

  • Outpost と同じ AWS アカウントとアベイラビリティーゾーンで、10.1.0.0/16 と競合しないサブネット /25 以降との Outpost プライベート接続VPCのみを目的として を作成します。たとえば、10.2.0.0/16 を使用することができます。

  • AWS Direct Connect 接続、プライベート仮想インターフェイス、仮想プライベートゲートウェイを作成して、オンプレミスの Outpost が にアクセスできるようにしますVPC。接続が とは異なる AWS アカウントにある場合は AWS Direct Connect VPC、AWS Direct Connect 「 ユーザーガイド」の「アカウント間の仮想プライベートゲートウェイの関連付け」を参照してください。

  • サブネットをオンプレミスネットワークCIDRにアドバタイズします。これを行う AWS Direct Connect には、 を使用します。詳細については、「AWS Direct Connect ユーザーガイド」の「AWS Direct Connect 仮想インターフェイス」と「AWS Direct Connect ゲートウェイの操作」を参照してください。

AWS Outposts コンソールで Outpost を作成する際に、プライベート接続オプションを選択できます。手順については、Outposts ラックの注文を作成する を参照してください。

注記

Outpost がPENDINGステータスのときにプライベート接続オプションを選択するには、コンソールから Outposts を選択し、Outpost を選択します。アクションを選択し、プライベート接続を追加を選択し、表示される手順に従います。

Outpost のプライベート接続オプションを選択すると、 は、ユーザーに代わって次のタスクを完了できるようにするサービスにリンクされたロールをアカウント AWS Outposts に自動的に作成します。

  • VPC 指定したサブネットと にネットワークインターフェイスを作成し、ネットワークインターフェイスのセキュリティグループを作成します。

  • アカウント内の AWS Outposts サービスリンクエンドポイントインスタンスにネットワークインターフェイスをアタッチするアクセス許可をサービスに付与します。

  • アカウントからサービス リンク エンドポイント インスタンスにネットワーク インターフェイスを接続します。

サービスにリンクされたロールの詳細については、「のサービスにリンクされたロール AWS Outposts」を参照してください。

重要

Outpost をインストールしたら、Outpost からサブネットIPs内のプライベートへの接続を確認します。

冗長インターネット接続

Outpost から AWS リージョンへの接続を構築する場合は、可用性と回復性を高めるために複数の接続を作成することをお勧めします。詳細については、「‭‬AWS Direct Connect  の回復性に関する推奨事項‭‬」を参照してください。

パブリックインターネットへの接続が必要な場合は、既存のオンプレミスワークロードと同様に、冗長インターネット接続とさまざまなインターネットプロバイダーを使用できます。