VPC

このソリューションは、Amazon VPC 設定に関して 2 つのオプションが提供されています。

1. ソリューションに Amazon VPC を構築させる

2. ソリューション内で使用するために BYO Amazon VPC (独自の Amazon VPC) を使用して管理する。

ソリューションに Amazon VPC を構築させる

ソリューションに Amazon VPC を構築させるオプションを選択すると、デフォルトでは、10.10.0.0/20 の CIDR 範囲を持つ 2-AZ アーキテクチャとしてデプロイされます。Amazon VPC IP Address Manager (IPAM) を、各 AZ に 1 つのパブリックサブネットと 1 つのプライベートサブネットで使用するオプションもあります。このソリューションでは、各パブリックサブネットに NAT ゲートウェイを作成し、プライベートサブネットに ENI を作成するように Lambda 関数を設定します。さらに、この設定はルートテーブルとそのエントリ、セキュリティグループとそのルール、ネットワーク ACL、VPC エンドポイント (ゲートウェイとインターフェイスエンドポイント) を作成します。

独自の Amazon VPC を管理する

Amazon VPC を使用してソリューションをデプロイする場合、AWS アカウントとリージョンの既存の Amazon VPC を使用するオプションがあります。高可用性を確保するために、少なくとも 2 つのアベイラビリティーゾーンで VPC を利用可能にすることをお勧めします。また、VPC とルートテーブルの設定には、次の VPC エンドポイントとそれに関連する IAM ポリシーが必要です。

デプロイメントダッシュボード用の Amazon VPC

1. DynamoDB のゲートウェイエンドポイント

2. CloudWatch のインターフェイスエンドポイント

3. AWS CloudFormation のインターフェイスエンドポイント

ユースケース用の Amazon VPC

1. DynamoDB のゲートウェイエンドポイント

2. CloudWatch のインターフェイスエンドポイント

3. Systems Manager Parameter Store のインターフェイスエンドポイント

   注記

   このソリューションで必要なのは com.amazonaws.region.ssm のみです。

4. Amazon Bedrock のインターフェイスエンドポイント (bedrock-runtime、agent-runtime、bedrock-agent-runtime)

5. オプション: デプロイで Amazon Kendra をナレッジベースとして使用する場合は、Amazon Kendra のインターフェイスエンドポイントが必要です。

6. オプション: デプロイで、Amazon Bedrock で任意の LLM を使用する場合は、Amazon Bedrock のインターフェイスエンドポイントが必要です。

   注記

   このソリューションに必要なのは com.amazonaws.region.bedrock-runtime のみです。

7. オプション: デプロイで、LLM に Amazon SageMaker AI を使用する場合は、Amazon SageMaker AI のインターフェイスエンドポイントが必要です。

注記

Bring your own VPC deployment (Bring-Your-Own-VPC デプロイ) オプションを使用する場合でも、ソリューションによって VPC 設定が削除または変更されることはありません。ただし、Create a VPC for me (VPC の自動作成) オプションでソリューションが作成する VPC はすべて削除されます。このため、ソリューションが管理する VPC をスタック/デプロイ間で共有する場合は注意が必要です。

例えば、デプロイ A では Create a VPC for me (VPC の自動作成) オプションを使用します。デプロイ B では、デプロイ A で作成された VPC を使用する Bring my own VPC (自分の VPC を使用) を使用します。デプロイ A がデプロイ B より前に削除されると、VPC が削除されてしまうためデプロイ B は機能しなくなります。また、デプロイ B は Lambda 関数によって作成された ENI を使用しているため、デプロイ A を削除するとエラーが発生し、残存リソースが保持される可能性があります。