AWS OutpostsAWS リージョンへの接続 - AWS Outposts
サービスリンク経由の接続を使用したサービスリンクのプライベート接続 VPC冗長インターネット接続

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS OutpostsAWS リージョンへの接続

AWS Outposts は、サービスリンク接続を介した広域ネットワーク (WAN) 接続をサポートします。

サービスリンクは、Outposts と選択した AWS リージョン (またはホームリージョン) との間の必要な接続であり、Outposts の管理と AWS リージョンとの間のトラフィックの交換を可能にします。サービスリンクは、暗号化されたVPN接続セットを活用してホームリージョンと通信します。

サービスリンク接続を設定するには、Outpost のプロビジョニング中にローカルネットワークデバイスとの物理、仮想 LAN (VLAN)、およびネットワークレイヤー接続サービスリンクを設定 AWS する必要があります。詳細については、「ラックのローカルネットワーク接続」および「Outposts ラックのサイト要件」を参照してください。

AWS リージョンへのワイドエリアネットワーク (WAN) 接続の場合、 AWS Outposts は AWS リージョンのパブリックVPN接続を介してサービスリンク接続を確立できます。そのためには、Outposts がリージョンのパブリック IP 範囲にアクセスできる必要があります。パブリック IP 範囲は、パブリックインターネットまたは AWS Direct Connect パブリック仮想インターフェイスを経由できます。現在の IP アドレス範囲については、「Amazon ユーザーガイド」のAWS「IP アドレス範囲」を参照してください。 VPC この接続を有効にするには、サービスリンクネットワークレイヤーパスで特定のルートまたはデフォルトルート (0.0.0.0/0) を設定します。詳細については、「サービスリンクBGP接続」および「サービスリンクインフラストラクチャのサブネットアドバタイズ」および「IP 範囲」を参照してください。

または、Outpost のプライベート接続オプションを選択することもできます。詳細については、「 を使用したサービスリンクのプライベート接続VPC」を参照してください。

サービスリンク接続が確立されると、Outpost は によって運用され、管理されます AWS。サービスリンクは以下のトラフィックに使用されます。

  • Outpost と関連付けられた 間の顧客VPCトラフィックVPCs。

  • リソース管理、リソースモニタリング、ファームウェア、ソフトウェア更新などの Outposts 管理トラフィック。

サービスリンクの最大送信単位 (MTU) 要件

ネットワーク接続の最大送信単位 (MTU) は、接続を介して渡すことができる最大許容パケットのサイズをバイト単位で表したものです。ネットワークは、Outpost と親 AWS リージョンのサービスリンクエンドポイントMTU間の 1500 バイトをサポートする必要があります。Outpost のインスタンスと、サービスリンクを介した AWS リージョンのインスタンスMTUの間で必要な については、「Amazon ユーザーガイド」の「Amazon EC2インスタンスのネットワーク最大送信単位 (MTU)」を参照してください。 EC2

サービスリンクの推奨帯域幅

最適なエクスペリエンスと回復性を実現する AWS には、 AWS リージョンへのサービスリンク接続に、少なくとも 500 Mbps (1 Gbps が適している) の冗長接続と最大 175 ms のラウンドトリップレイテンシーを使用する必要があります。サービスリンクには、 AWS Direct Connect またはインターネット接続を使用できます。サービスリンク接続の最小 500 Mbps と最大ラウンドトリップ時間の要件により、Amazon EC2インスタンスの起動、Amazon EBSボリュームのアタッチ、Amazon 、Amazon EKS、 などの AWS CloudWatchのサービスへのアクセスを最適なパフォーマンスEMRで実行できます。

Outposts サービスのリンク帯域幅要件は、次の特性によって異なります。

  • AWS Outposts ラック数と容量設定

  • AMI サイズ、アプリケーションの伸縮性、バースト速度のニーズ、リージョンへの Amazon VPCトラフィックなどのワークロード特性

ニーズに必要なサービスリンク帯域幅に関するカスタムレコメンデーションを受け取るには、 AWS 販売担当者またはAPNパートナーにお問い合わせください。

ファイアウォールとサービスリンク

このセクションでは、ファイアウォール設定とサービスリンク接続について説明します。

次の図では、設定によって Amazon が AWS リージョンVPCから Outpost に拡張されています。 AWS Direct Connect パブリック仮想インターフェイスは、サービスリンク接続です。次のトラフィックがサービスリンクと AWS Direct Connect 接続を通過します。

  • サービスリンク経由の Outpost への管理トラフィック

  • Outpost と関連付けられた 間のトラフィック VPCs

AWS Direct Connect への接続 AWS

インターネット接続でステートフルファイアウォールを使用してパブリックインターネットからサービスリンク への接続を制限している場合はVLAN、インターネットから開始されるすべてのインバウンド接続をブロックできます。これは、サービスリンクが Outpost からリージョンにのみVPN開始され、リージョンから Outpost には開始されないためです。

へのインターネットゲートウェイ接続 AWS

ファイアウォールを使用してサービスリンク からの接続を制限する場合VLAN、すべてのインバウンド接続をブロックできます。次の表に従って、 AWS リージョンから Outpost へのアウトバウンド接続を許可する必要があります。ファイアウォールがステートフルであれば、許可されている Outpost からのアウトバウンド接続、つまり Outpost から開始された接続は、インバウンドに戻ることも許可される必要があります。

[プロトコル] ソースポート 送信元アドレス 発信先 ポート 送信先アドレス

UDP

443

AWS Outposts サービスリンク /26

443

AWS Outposts リージョンのパブリックルート

TCP

1025-65535

AWS Outposts サービスリンク /26

443

AWS Outposts リージョンのパブリックルート
注記

Outpost 内のインスタンスは、サービスリンクを使用して別の Outposts 内のインスタンスと通信することはできません。ローカルゲートウェイまたはローカルネットワークインターフェイスを介したルーティングを活用して Outposts 間の通信を行います。

AWS Outposts ラックは、ローカルゲートウェイコンポーネントを含む冗長電源およびネットワーク機器でも設計されています。詳細については、「 の耐障害性 AWS Outposts」を参照してください。

を使用したサービスリンクのプライベート接続 VPC

Outpost を作成する際に、コンソールでプライベート接続オプションを選択できます。これを行うと、指定した VPCとサブネットを使用して Outpost をインストールした後に、サービスリンクVPN接続が確立されます。これにより、 によるプライベート接続が可能になりVPC、パブリックインターネットへの露出が最小限に抑えられます。

前提条件

Outpost にプライベート接続を設定するには、次の前提条件を満たす必要があります。

  • ユーザーまたはロールがプライベート接続のサービスにリンクされたロールを作成できるようにするには、IAMエンティティ (ユーザーまたはロール) のアクセス許可を設定する必要があります。IAM エンティティには、次のアクションにアクセスするためのアクセス許可が必要です。

    • iam:CreateServiceLinkedRolearn:aws:iam::*:role/aws-service-role/outposts.amazonaws.com/AWSServiceRoleForOutposts* での

    • iam:PutRolePolicyarn:aws:iam::*:role/aws-service-role/outposts.amazonaws.com/AWSServiceRoleForOutposts* での

    • ec2:DescribeVpcs

    • ec2:DescribeSubnets

    詳細については、「の Identity and Access Management (IAM) AWS Outposts」および「AWS Outpostsのサービスにリンクされたロールの使用」を参照してください。

  • Outpost と同じ AWS アカウントとアベイラビリティーゾーンで、10.1.0.0/16 と競合しないサブネット /25 以降との Outpost プライベート接続のみVPCを目的として を作成します。たとえば、10.2.0.0/16 を使用することができます。

  • AWS Direct Connect 接続、プライベート仮想インターフェイス、仮想プライベートゲートウェイを作成して、オンプレミスの Outpost が にアクセスできるようにしますVPC。接続が AWS Direct Connect とは異なる AWS アカウントにある場合はVPC、「 ユーザーガイド」の「アカウント間で仮想プライベートゲートウェイを関連付ける」を参照してください。 AWS Direct Connect

  • サブネットをオンプレミスネットワークCIDRにアドバタイズします。これを行う AWS Direct Connect には、 を使用できます。詳細については、「AWS Direct Connect ユーザーガイド」の「AWS Direct Connect 仮想インターフェイス」と「AWS Direct Connect ゲートウェイの操作」を参照してください。

AWS Outposts コンソールで Outpost を作成する際に、プライベート接続オプションを選択できます。手順については、Outpost を作成して Outpost 容量を注文する を参照してください。

注記

Outpost のステータスが のときにプライベート接続オプションを選択するにはPENDING、コンソールから Outposts を選択し、Outpost を選択します。アクションを選択し、プライベート接続を追加を選択し、表示される手順に従います。

Outpost のプライベート接続オプションを選択すると、 によって自動的にサービスにリンクされたロールがアカウントに AWS Outposts 作成され、ユーザーに代わって次のタスクを完了できるようになります。

  • VPC 指定したサブネットと にネットワークインターフェイスを作成し、ネットワークインターフェイスのセキュリティグループを作成します。

  • アカウント内の AWS Outposts サービスリンクエンドポイントインスタンスにネットワークインターフェイスをアタッチするアクセス許可をサービスに付与します。

  • アカウントからサービス リンク エンドポイント インスタンスにネットワーク インターフェイスを接続します。

サービスにリンクされたロールの詳細については、「AWS Outpostsのサービスにリンクされたロールの使用」を参照してください。

重要

Outpost をインストールしたら、Outpost からサブネットIPs内のプライベート への接続を確認します。

冗長インターネット接続

Outpost から AWS リージョンへの接続を構築する場合は、可用性と回復性を高めるために複数の接続を作成することをお勧めします。詳細については、「‭‬AWS Direct Connect  の回復性に関する推奨事項‭‬」を参照してください。

パブリックインターネットへの接続が必要な場合は、既存のオンプレミスワークロードと同様に、冗長インターネット接続とさまざまなインターネットプロバイダーを使用できます。