Amazon Virtual Private Cloud
VPC ピアリング接続

VPC ピア機能の基本

VPC ピアリング接続を確立するには、次の操作を行います。

  1. リクエスタ VPC の所有者がアクセプタ VPC の所有者にリクエストを送信して、VPC ピアリング接続を作成します。アクセプタ VPC を所有できるのは、ユーザーまたは他の AWS アカウントです。また、アクセプタ VPC はリクエスタ VPC の CIDR ブロックと重複する CIDR ブロックを保持することはできません。

  2. アクセプタ VPC の所有者は、VPC ピアリング接続リクエストを承認して VPC ピアリング接続を有効にします。

  3. プライベート IP アドレスを使用して VPC 間でのトラフィックの流れを有効にするには、VPC ピアリング接続の各 VPC の所有者が、他の VPC (ピア VPC) の IP アドレス範囲を指すルートを 1 つ以上の VPC ルートテーブルに手動で追加する必要があります。

  4. 必要に応じて、ピア VPC との間で送受信されるトラフィックが制限されることのないように、インスタンスに関連付けられているセキュリティグループのルールを更新します。両方の VPC が同じリージョンにある場合は、セキュリティグループルールの Ingress ルールまたは Egress ルールの送信元または送信先として、ピア VPC のセキュリティグループを参照できます。

  5. デフォルトでは、VPC ピアリング接続のいずれかの側のインスタンスがパブリック DNS ホスト名を使用して互いをアドレスしている場合、ホスト名はインスタンスのパブリック IP アドレスに解決されます。この動作を変更するには、VPC 接続に対して DNS ホスト名解決を有効にします。DNS ホスト名解決を有効にした後、VPC ピアリング接続の両側のインスタンスがパブリック DNS ホスト名を使用して相互にアドレス指定する場合、ホスト名はインスタンスのプライベート IP アドレスに解決されます。

詳細については、「VPC ピア接続の操作」を参照してください。

VPC ピアリング接続のライフサイクル

VPC ピアリング接続は、リクエストが開始されたときから始まるさまざなステージで使用されます。それぞれのステージで実行可能なアクションがあり、そのライフサイクルの最後で、VPC ピアリング接続は Amazon VPC コンソールと API またはコマンドライン出力に一定期間表示されます。


                            VPC ピアリング接続のライフサイクル
  • [Initiating-request]: VPC ピアリング接続のリクエストが開始されました。このステージでは、ピアリング接続は失敗する可能性があり、pending-acceptanceに移行する場合があります。

  • [Failed]: VPC ピアリング接続のリクエストが失敗しました。この状態の間は、ピアリング接続が承認、却下、または削除されることはありません。失敗した VPC ピアリング接続は、リクエスタに 2 時間表示されます。

  • [Pending-acceptance]: VPC ピアリング接続リクエストがアクセプタ VPC の所有者からの承認を待っています。このステージの間、リクエスタ VPC の所有者はリクエストを削除できます。アクセプタ VPC の所有者はリクエストを承認するか却下できます。リクエストに対するアクションがない場合、リクエストは 7 日後に有効期限が切れます。

  • [Expired]: VPC ピアリング接続のリクエストが有効期限切れとなりました。どちらの VPC 所有者もアクションを実行することはできません。期限切れとなった VPC ピアリング接続は、両方の VPC 所有者に対して 2 日間表示されます。

  • [Rejected]: アクセプタ VPC の所有者は、VPC ピアリング接続リクエストの pending-acceptance を却下しました。このステージの間は、リクエストを承認することはできません。却下された VPC ピアリング接続は、リクエスタ VPC の所有者に対して 2 日間表示され、アクセプタ VPC の所有者に対しては 2 時間表示されます。リクエストが同じ AWS アカウント内で作成されている場合、却下されたリクエストは 2 時間表示されます。

  • [Provisioning]: VPC ピアリング接続リクエストが承認され、間もなく active 状態に移行します。

  • [Active]: VPC ピアリング接続がアクティブであり、トラフィックは VPC 間を流れることができます (セキュリティグループとルートテーブルがトラフィックの流れを許可する場合)。このステージの間、どちらの VPC の所有者も VPC 接続を削除したり却下したりできません。

    注記

    VPC が存在するリージョンでイベントが発生し、トラフィックの流れが中断した場合、VPC ピアリング接続のステータスは Active のままとなります。

  • [Deleting]: 削除中であるリージョン間 VPC ピアリング接続に適用されます。いずれかの VPC の所有者が active な VPC ピアリング接続を削除するリクエストを送信したか、リクエスタ VPC の所有者が pending-acceptance の VPC ピアリング接続リクエストを削除するリクエストを送信しました。

  • [Deleted]: active な状態の VPC ピアリング接続がいずれかの VPC 所有者によって削除されたか、pending-acceptance な状態の VPC ピアリング接続リクエストがリクエスタ VPC の所有者によって削除されました。このステージの間、VPC ピアリング接続を承認または却下することはできません。VPC ピアリング接続は、それを削除した当事者に対して 2 時間表示され、その他の当事者に対しては 2 日間表示されます。VPC ピアリング接続が同じ AWS アカウント内で作成されている場合、削除されたリクエストは 2 時間表示されます。

複数の VPC ピアリング接続

VPC ピアリング接続は、2 つの VPC 間の 1 対 1 関係です。自分の各 VPC に対して複数の VPC ピア接続を作成できますが、推移的なピア接続関係はサポートされません。自分の VPC と直接ピア関係にない VPC とのピア関係を作成することはできません。

次の図は、2 つの異なる VPC とピア関係にある VPC の例です。2 つの VPC ピアリング接続があり、VPC A は VPC B と VPC C の両方とピア関係にあります。VPC B と VPC C はピア関係にはありません。VPC B と VPC C との間のピアリング接続の中継データポイントとして VPC A を使用することはできません。VPC B と VPC C との間でトラフィックのルーティングを有効にしたい場合は、その VPC 間で一意の VPC ピアリング接続を作成する必要があります。


                1 つの VPC が 2 つの VPC とピアリング接続

VPC ピアリング接続の料金

VPC ピアリング接続の VPC が同じリージョン内にある場合、VPC ピアリング接続内でのデータ転送の料金は、アベイラビリティーゾーン間でのデータ転送の料金と同じです。VPC が異なるリージョンにある場合は、リージョン間データ転送の料金が適用されます。

詳細については、Amazon EC2 料金表を参照してください。

VPC ピア機能の制限事項

別の VPC との間で VPC ピアリング接続を作成するには、以下の制限事項と規則を認識しておく必要があります。

  • IPv4 または IPv6 CIDR ブロックが一致または重複する VPC 間で VPC ピアリング接続を作成することはできません。Amazon VPC には、固有の IPv6 CIDR ブロックが必ず割り当てられます。IPv6 CIDR ブロックは固有だが、IPv4 ブロックは固有ではない場合、ピアリング接続を確立することはできません。

  • VPC ごとに保持できる実行中および保留中の VPC ピア接続の数には上限があります。詳細については、Amazon VPC ユーザーガイドの「Amazon VPC 制限」を参照してください。

  • VPC ピアリングでは、推移的なピアリング関係がサポートされません。VPC ピアリング接続では、各自の VPC から、ピア VPC とピアリングされている可能性がある他の VPC にアクセスすることはできません。これは、自分の AWS アカウント内ですべてが完結する VPC ピアリング接続も含みます。サポートされないピア関係の詳細については、「サポートされていない VPC ピア接続設定」を参照してください。サポートされているピア関係の例については、「VPC ピア機能のシナリオ」を参照してください。

  • 同じ 2 つの VPC 間で同時に複数の VPC ピアリング接続を持つことはできません。

  • VPC ピアリング接続のユニキャストリバースパス転送 (uRPF) はサポートされていません。詳細については、「レスポンストラフィックのルーティング」を参照してください。

  • VPC が同じリージョンにある場合、VPC ピアリング接続の相互のリソースが IPv6 経由で相互通信することを許可できます。IPv6 通信は自動的なものではありません。IPv6 CIDR ブロックを各 VPC と関連付け、IPv6 通信を行うために VPC のインスタンスを有効にし、ピアリング接続用の IPv6 トラフィックを VPC ピアリング接続にルーティングするルートをルートテーブルに追加する必要があります。詳細については、Amazon VPC ユーザーガイドの「VPC とサブネット」を参照してください。

  • VPC ピアリング接続用に作成したタグは、作成元のアカウントまたはリージョンでのみ適用されます。

  • VPC ピア接続の VPC の IPv4 CIDR ブロックが、RFC 1918 で指定されたプライベート IPv4 アドレス範囲外である場合、その VPC のプライベート DNS ホスト名をプライベート IP アドレスに解決することはできません。プライベート DNS ホスト名をプライベート IP アドレスに解決するには、VPC ピア接続の DNS 解決サポートを有効にできます。詳細については、「VPC ピアリング接続の DNS 解決サポートを有効化」を参照してください。

リージョン間 VPC ピアリング接続には追加の制限があります。

  • ピア VPC のセキュリティグループを参照するセキュリティグループルールを作成することはできません。

  • VPC にリンクされている EC2-Classic インスタンスが ClassicLink 経由でピア VPC と通信するためのサポートを有効にすることはできません。

  • IPv6 経由の通信はサポートされていません。

  • VPC ピアリング接続の最大転送単位 (MTU) は 1500 バイトです (ジャンボフレームはサポートされていません)。

  • ピアリング接続された VPC のプライベート DNS ホスト名をプライベート IP アドレスに解決するには、VPC ピアリング接に対して DNS 解決のサポートを有効にする必要があります。これは、VPC の IPv4 CIDR ブロックが、RFC 1918 で指定されたプライベート IPv4 アドレス範囲内にあっても同じです。

  • DNS ホスト名解決は、中東 (バーレーン) リージョンのリージョン間 VPC ピア接続ではサポートされていません。