によるサービスの作成 AWS PrivateLink - Amazon Virtual Private Cloud

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

によるサービスの作成 AWS PrivateLink

エンドポイントサービス と呼ばれる AWS PrivateLink、 を利用した独自のサービスを作成できます。お客様はサービスプロバイダーであり、お客様のサービスへの接続を作成する AWS プリンシパルはサービスコンシューマーです。

エンドポイントサービスには、Network Load Balancer または Gateway Load Balancer のいずれかが必要です。ロードバランサーは、サービスコンシューマーからリクエストを受け取ってサービスにルーティングします。この場合、Network Load Balancer を使用してエンドポイントサービスを作成します。Gateway Load Balancer を使用してエンドポイントサービスを作成する方法の詳細については、「仮想アプライアンスにアクセスする」を参照してください。

考慮事項

  • エンドポイントサービスは、そのサービスを作成したリージョンで使用できます。VPC ピアリングを使用して、他のリージョンからエンドポイントサービスにアクセスできます。

  • エンドポイントサービスは、 経由のトラフィックのみをサポートしますTCP。

  • サービスコンシューマーがエンドポイントサービスに関する情報を取得すると、サービスプロバイダーと共通するアベイラビリティゾーンのみが表示されます。サービスプロバイダーとサービスコンシューマーが異なるアカウントにある場合、us-east-1a などのアベイラビリティゾーン名は、各 AWS アカウントの異なる物理アベイラビリティゾーンにマッピングされる可能性があります。AZ を使用してIDs、サービスのアベイラビリティーゾーンを一貫して識別できます。詳細については、「Amazon ユーザーガイド」の「AZIDs」を参照してください。 EC2

  • サービスコンシューマーがインターフェイスエンドポイントを介してトラフィックをサービスに送信する場合、アプリケーションに提供されるソース IP アドレスは、サービスコンシューマーの IP アドレスではなく、ロードバランサーノードのプライベート IP アドレスです。ロードバランサーでプロキシプロトコルを有効にすると、プロキシプロトコルヘッダーからサービスコンシューマーのアドレスとインターフェイスエンドポイントIDsのアドレスを取得できます。詳細については、Network Load Balancer ユーザーガイドの「Proxy Protocol」を参照してください。

  • Network Load Balancer は 1 つのエンドポイントサービスに関連付けることができますが、エンドポイントサービスは複数の Network Load Balancer に関連付けることができます。

  • エンドポイントサービスが複数の Network Load Balancer に関連付けられている場合、各エンドポイントネットワークインターフェイスは 1 つのロードバランサーに関連付けられます。エンドポイントネットワークインターフェイスからの最初の接続が開始されると、エンドポイントネットワークインターフェイスと同じアベイラビリティーゾーンにあるいずれかの Network Load Balancer がランダムに選択されます。このエンドポイントネットワークインターフェイスからの以降のすべての接続リクエストは、この選択されたロードバランサーを使用します。どのロードバランサーが選択されてもコンシューマーがエンドポイントサービスを正常に使用できるように、エンドポイントサービスのすべてのロードバランサーに同じリスナーとターゲットグループ設定を使用することをお勧めします。

  • AWS PrivateLink リソースにはクォータがあります。詳細については、「AWS PrivateLink クォータ」を参照してください。

前提条件

  • エンドポイントサービスの を、サービスが使用可能になる各アベイラビリティーゾーンに少なくとも 1 つのサブネットで作成VPCします。

  • サービスコンシューマーがVPCエンドポイントサービスのIPv6インターフェイスエンドポイントを作成できるようにするには、 サブネットVPCと サブネットに IPv6CIDRブロックが関連付けられている必要があります。

  • で Network Load Balancer を作成しますVPC。サービスコンシューマー向けにサービスを使用可能にするアベイラビリティゾーンごとに 1 つのサブネットを選択します。低レイテンシーとフォールトトレランスのために、リージョン内の少なくとも 2 つのアベイラビリティーゾーンでサービスを使用可能にすることをお勧めします。

  • Network Load Balancer にセキュリティグループがある場合は、クライアントの IP アドレスからのインバウンドトラフィックを許可する必要があります。または、 経由のトラフィックのインバウンドセキュリティグループルールの評価を無効にすることもできます AWS PrivateLink。詳細については、「Network Load Balancer ユーザーガイド」の「セキュリティグループ」を参照してください。

  • エンドポイントサービスがIPv6リクエストを承諾できるようにするには、Network Load Balancer でデュアルスタック IP アドレスタイプを使用する必要があります。ターゲットはIPv6トラフィックをサポートする必要はありません。詳細については、「Network Load Balancer のユーザーガイド」の「IP アドレスのタイプ」を参照してください。

    プロキシプロトコルバージョン 2 ヘッダーからソース IP アドレスを処理する場合は、IPv6アドレスを処理できることを確認します。

  • サービスを使用可能にする各アベイラビリティゾーンでインスタンスを起動し、ロードバランサーのターゲットグループに登録します。有効なすべてのアベイラビリティーゾーンでインスタンスを起動しない場合は、クロスゾーン負荷分散を有効にして、ゾーンDNSホスト名を使用してサービスにアクセスするサービスコンシューマーをサポートできます。クロスゾーン負荷分散を有効にすると、リージョン内データ転送料金が適用されます。詳細については、「Network Load Balancer ユーザーガイド」の「クロスゾーン負荷分散」を参照してください。

エンドポイントサービスを作成する

Network Load Balancer を使用してエンドポイントサービスを作成するには、次の手順を使用します。

コンソールを使用してエンドポイントサービスを作成するには
  1. で Amazon VPCコンソールを開きますhttps://console.aws.amazon.com/vpc/

  2. ナビゲーションペインで、[Endpoint Services] (エンドポイントサービス) を選択します。

  3. [Create endpoint service]] (エンドポイントサービスの作成) を選択します。

  4. [Load balancer type] (ロードバランサーのタイプ) で、[Network] を選択します。

  5. [使用可能なロードバランサー] で、エンドポイントサービスに関連付ける Network Load Balancer を選択します。含まれているアベイラビリティーゾーンには、選択した Network Load Balancer で有効になっているアベイラビリティーゾーンが一覧表示されます。エンドポイントサービスは、これらのアベイラビリティーゾーンで利用できます。

  6. エンドポイントサービスへの接続リクエストが手動で承諾されなければならないようにするために、[Require acceptance for endpoint] (エンドポイントの承諾を要求) で、[Acceptance required] (承諾が必要) を選択します。それ以外の場合、これらのリクエストは自動的に受け入れられます。

  7. プライベートDNS名を有効にする で、プライベートDNS名をサービスに関連付ける を選択して、サービスコンシューマーがサービスにアクセスするために使用できるプライベートDNS名を関連付け、プライベートDNS名を入力します。それ以外の場合、サービスコンシューマーは によって提供されるエンドポイント固有のDNS名前を使用できます AWS。サービスコンシューマーがプライベートDNS名を使用する前に、サービスプロバイダーはドメインを所有していることを確認する必要があります。詳細については、「DNS 名前の管理」を参照してください。

  8. [Supported IP address types] (サポートされている IP アドレスのタイプ) で、次のいずれかを実行します。

    • 選択 IPv4 — エンドポイントサービスがIPv4リクエストを受け入れることを有効にします。

    • 選択 IPv6 — エンドポイントサービスがIPv6リクエストを受け入れることを有効にします。

    • Select IPv4 and IPv6 – エンドポイントサービスが IPv4および IPv6リクエストの両方を受け入れることを可能にします。

  9. (オプション) タグを追加するには、[新しいタグを追加] を選択し、そのタグのキーと値を入力します。

  10. [Create] (作成) を選択します。

コマンドラインを使用してエンドポイントサービスを作成するには

サービスコンシューマーがエンドポイントサービスを使用できるようにする

AWS プリンシパルは、インターフェイスエンドポイントを作成することで、VPCエンドポイントサービスにプライベートに接続できます。サービスプロバイダーは、自社のサービスをサービスコンシューマーが使用できるようにするために、次のことを行う必要があります。

  • 各サービスコンシューマーがエンドポイントサービスに接続できるようにする許可を追加します。詳細については、「許可を管理する」を参照してください。

  • サービスの名前とサポートされているアベイラビリティゾーンをサービスコンシューマーに伝え、サービスに接続するためにインターフェイスエンドポイントを作成できるようにします。詳細については、次の手順を参照してください。

  • サービスコンシューマーからのエンドポイント接続リクエストを受け入れます。詳細については、「接続リクエストを承諾または拒否する」を参照してください。

サービスコンシューマーとしてエンドポイントサービスに接続する

サービスコンシューマーは、次の手順を使用して、エンドポイントサービスに接続するためのインターフェイスエンドポイントを作成します。

コンソールを使用してインターフェイスエンドポイントを作成するには
  1. で Amazon VPCコンソールを開きますhttps://console.aws.amazon.com/vpc/

  2. ナビゲーションペインで、[エンドポイント] を選択します。

  3. [エンドポイントの作成] を選択します。

  4. [Service category] (サービスカテゴリ) で、[Other endpoint services] (その他のエンドポイントサービス) を選択します。

  5. [Service name] (サービス名) にサービスの名前 (com.amazonaws.vpce.us-east-1.vpce-svc-0e123abc123198abc など) を入力し、[Verify service] (サービスを検証) を選択します。

  6. VPC でVPC、エンドポイントを作成する を選択します。

  7. [Subnets] (サブネット) で、エンドポイントサービスにアクセスするサブネット (アベイラビリティゾーン) を選択します。

  8. [IP address type] (IP アドレスのタイプ) で、次のオプションから選択します。

    • IPv4 – エンドポイントネットワークインターフェイスにIPv4アドレスを割り当てます。このオプションは、選択したすべてのサブネットにIPv4アドレス範囲があり、エンドポイントサービスがIPv4リクエストを受け入れる場合にのみサポートされます。

    • IPv6 – エンドポイントネットワークインターフェイスにIPv6アドレスを割り当てます。このオプションは、選択したすべてのサブネットがサブネットIPv6のみで、エンドポイントサービスがIPv6リクエストを受け入れる場合にのみサポートされます。

    • デュアルスタック — エンドポイントネットワークインターフェイスに IPv4と IPv6 アドレスの両方を割り当てます。このオプションは、選択したすべてのサブネットに IPv4と IPv6 アドレス範囲の両方があり、エンドポイントサービスが IPv4と の両方のIPv6リクエストを受け入れる場合にのみサポートされます。

  9. DNS レコード IP タイプ では、次のオプションから選択します。

    • IPv4 – プライベート、リージョン、およびゾーンDNS名の A レコードを作成します。IP アドレスタイプは、 IPv4またはデュアルスタック である必要があります。

    • IPv6 – プライベート、リージョン、およびゾーンDNS名のAAAAレコードを作成します。IP アドレスタイプは、 IPv6またはデュアルスタック である必要があります。

    • Dualstack – プライベート、リージョン、およびゾーンDNS名の A レコードと AAAAレコードを作成します。IP アドレスのタイプは [Dualstack] である必要があります。

    • 定義されたサービス – プライベート、リージョン、およびゾーンDNS名用のレコードと、リージョン名とゾーンDNS名用のAAAAレコードを作成します。IP アドレスのタイプは [Dualstack] である必要があります。

  10. [Security group] (セキュリティグループ) で、エンドポイントネットワークインターフェイスに関連付けるセキュリティグループを選択します。

  11. [エンドポイントの作成] を選択します。

コマンドラインを使用してインターフェイスエンドポイントを作成するには