Gateway Load Balancer エンドポイントを使用して検査システムにアクセスする

ゲートウェイ ロードバランサー エンドポイントを作成して、 AWS PrivateLinkを利用するエンドポイントサービスに接続できます。

VPC から指定した各サブネット内にエンドポイントのネットワークインターフェイスを作成し、サブネットアドレス範囲からプライベート IP アドレスを割り当てます。エンドポイントネットワークインターフェイスは、リクエスタが管理するネットワークインターフェイスです。 で表示できますが AWS アカウント、自分で管理することはできません。

時間単位の使用料金とデータ処理料金が課金されます。詳細については、Gateway Load Balancer エンドポイントの料金を参照してください。

考慮事項

• サービスコンシューマー VPC で選択できるアベイラビリティゾーンは 1 つだけです。このサブネットを後で変更することはできません。別のサブネットで Gateway Load Balancer エンドポイントを使用するには、新しい Gateway Load Balancer エンドポイントを作成する必要があります。

• サービスごとに 1 つのアベイラビリティゾーンについて単一の Gateway Load Balancer エンドポイントを作成できます。Gateway Load Balancer がサポートするアベイラビリティゾーンを選択する必要があります。サービスプロバイダーとサービスコンシューマーが異なるアカウントにある場合、us-east-1a などのアベイラビリティゾーン名は、各 AWS アカウントの異なる物理アベイラビリティゾーンにマッピングされる可能性があります。AZ ID を使用して、サービスのアベイラビリティゾーンを一貫して識別できます。詳細については、Amazon EC2 ユーザーガイドIDs」を参照してください。

• エンドポイントサービスを使用する前に、サービスプロバイダーは接続リクエストを受け入れる必要があります。サービスは、VPC エンドポイントを介して VPC 内のリソースへのリクエストを開始できません。エンドポイントは、VPC 内のリソースによって開始されたトラフィックに対してのみレスポンスを返します。

• 各 Gateway Load Balancer エンドポイントは、アベイラビリティゾーンあたり最大 10 Gbps の帯域幅をサポートし、最大 100 Gbps まで自動的にスケールアップします。

• エンドポイントサービスが複数の Gateway Load Balancer に関連付けられている場合、Gateway Load Balancer エンドポイントは、アベイラビリティゾーンごとに 1 つのロードバランサーのみとの接続を確立します。

• 同じアベイラビリティゾーン内にトラフィックを維持するには、トラフィックの送信先となる各アベイラビリティゾーンに Gateway Load Balancer エンドポイントを作成することをお勧めします。

• ターゲットが Network Load Balancer と同じ VPC にあっても、トラフィックがゲートウェイロードバランサーエンドポイントを介してルーティングされる場合、Network Load Balancer のクライアント IP の保存はサポートされません。

• AWS PrivateLink リソースにはクォータがあります。詳細については、「AWS PrivateLink クォータ」を参照してください。

前提条件

• サービスにアクセスするアベイラビリティゾーンに少なくとも 2 つのサブネットを持つサービスコンシューマー VPC を作成します。1 つのサブネットはアプリケーションサーバー用で、もう 1 つは Gateway Load Balancer エンドポイント用です。

• エンドポイントサービスでサポートされているアベイラビリティゾーンを確認するには、コンソールまたは describe-vpc-endpoint-services コマンドを使用してエンドポイントサービスを記述します。

• リソースがネットワーク ACL を持つサブネットにある場合は、ネットワーク ACL がエンドポイントのネットワークインターフェイスと VPC 内のリソース間のトラフィックを許可していることを確認します。

エンドポイントの作成

次の手順を使用して、検査システムのエンドポイントサービスに接続する Gateway Load Balancer エンドポイントを作成します。

コンソールを使用して Gateway Load Balancer エンドポイントを作成するには

1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

2. ナビゲーションペインで、[Endpoints] (エンドポイント) を選択します。

3. [エンドポイントの作成] を選択します。

4. [Service category] (サービスカテゴリ) で、[Other endpoint services] (その他のエンドポイントサービス) を選択します。

5. [Service name] (サービス名) にサービスの名前を入力し、[Verify service] (サービスを検証) を選択します。

6. [VPC] で、エンドポイントを作成する先の VPC を選択します。

7. [Subnets] (サブネット) で、エンドポイントを作成するサブネットを選択します。

8. [IP address type] (IP アドレスのタイプ) で、次のオプションから選択します。

   • [IPv4] — IPv4 アドレスをエンドポイントのネットワークインターフェイスに割り当てます。このオプションは、選択したすべてのサブネットに IPv4 アドレス範囲がある場合にのみサポートされます。

   • [IPv6] — IPv6 アドレスをエンドポイントのネットワークインターフェイスに割り当てます。このオプションは、選択したすべてのサブネットが IPv6 のみのサブネットである場合にのみサポートされます。

   • [Dualstack] — IPv4 と IPv6 の両方のアドレスをエンドポイントのネットワークインターフェイスに割り当てます。このオプションは、選択したすべてのサブネットに IPv4 と IPv6 の両方のアドレス範囲がある場合にのみサポートされます。

9. (オプション) タグを追加するには、[新しいタグを追加] を選択し、そのタグのキーと値を入力します。

10. [エンドポイントの作成] を選択します。初期ステータスは、pending acceptance です。

コマンドラインを使用して Gateway Load Balancer エンドポイントを作成するには

• create-vpc-endpoint (AWS CLI)

• New-EC2VpcEndpoint (Tools for Windows PowerShell）

ルーティングを設定する

次の手順を使用して、サービスコンシューマー VPC のルートテーブルを設定します。これにより、セキュリティアプライアンスは、アプリケーションサーバー宛てのインバウンドトラフィックに対してセキュリティ検査を実行できます。詳細については、「ルーティング」を参照してください。

コンソールを使用してルーティングを設定するには

1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

2. ナビゲーションペインで、[Route Tables] を選択します。

3. インターネットゲートウェイのルートテーブルを選択し、以下を実行します。

   1. [アクション]、[ポリシーの編集] の順に選択します。

   2. IPv4 をサポートしている場合は、[Add route] (ルートを追加) を選択します。[Destination] (送信先) に、アプリケーションサーバーのサブネットの IPv4 CIDR ブロックを入力します。[Target] (ターゲット) で、VPC エンドポイントを選択します。

   3. IPv6 をサポートしている場合は、[Add route] (ルートを追加) を選択します。[Destination] (送信先) に、アプリケーションサーバーのサブネットの IPv6 CIDR ブロックを入力します。[Target] (ターゲット) で、VPC エンドポイントを選択します。

   4. [変更の保存] をクリックします。

4. アプリケーションサーバーを含むサブネットのルートテーブルを選択し、以下を実行します。

   1. [アクション]、[ポリシーの編集] の順に選択します。

   2. IPv4 をサポートしている場合は、[Add route] (ルートを追加) を選択します。[送信先] に「0.0.0.0/0」と入力します。[Target] (ターゲット) で、VPC エンドポイントを選択します。

   3. IPv6 をサポートしている場合は、[Add route] (ルートを追加) を選択します。[送信先] に「::/0」と入力します。[Target] (ターゲット) で、VPC エンドポイントを選択します。

   4. [変更の保存] をクリックします。

5. Gateway Load Balancer エンドポイントを持つサブネットのルートテーブルを選択し、以下を実行します。

   1. [アクション]、[ポリシーの編集] の順に選択します。

   2. IPv4 をサポートしている場合は、[Add route] (ルートを追加) を選択します。[送信先] に「0.0.0.0/0」と入力します。[Target] (ターゲット) で、インターネットゲートウェイを選択します。

   3. IPv6 をサポートしている場合は、[Add route] (ルートを追加) を選択します。[送信先] に「::/0」と入力します。[Target] (ターゲット) で、インターネットゲートウェイを選択します。

   4. [変更の保存] をクリックします。

コマンドラインを使用してルーティングを設定するには

• create-route（AWS CLI）

• New-EC2Route (Tools for Windows PowerShell）

タグの管理

Gateway Load Balancer エンドポイントにタグを付けて、識別しやすくしたり、組織のニーズに応じて分類したりできます。

コンソールを使用してタグを管理するには

1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

2. ナビゲーションペインで、[Endpoints] (エンドポイント) を選択します。

3. インターフェイスエンドポイントを選択します。

4. [Actions] (アクション)、[Manage tags] (タグの管理) を選択します。

5. 追加するタグごとに、[Add new tag] (新しいタグを追加) を選択し、タグキーとタグ値を入力します。

6. タグを削除するには、タグのキーと値の右側にある [Remove] (削除) を選択します。

7. [保存] を選択します。

コマンドラインを使用してタグを管理するには

• create-tags および delete-tags (AWS CLI)

• New-EC2Tag および Remove-EC2Tag (Tools for Windows PowerShell）

Gateway Load Balancer エンドポイントを削除する

不要になったエンドポイントは、削除することができます。Gateway Load Balancer エンドポイントを削除すると、エンドポイントのネットワークインターフェイスも削除されます。エンドポイントをポイントするルートテーブルにルートがある場合、Gateway Load Balancer エンドポイントは削除できません。

Gateway Load Balancer エンドポイントを削除するには

1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

2. ナビゲーションペインで、[Endpoints] を選択し、エンドポイントを選択します。

3. [Actions]、[Delete Endpoint] の順に選択します。

4. 確認画面で、[Yes, Delete] を選択します。

Gateway Load Balancer エンドポイントを削除するには

• delete-vpc-endpoints (AWS CLI)

• Remove-EC2VpcEndpoint (AWS Tools for Windows PowerShell)