翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
経由で仮想アプライアンスにアクセスする AWS PrivateLink
Gateway Load Balancer を使用して、ネットワーク仮想アプライアンスのフリートにトラフィックを分散できます。アプライアンスは、セキュリティ検査、コンプライアンス、ポリシー制御、およびその他のネットワークサービスに使用できます。Gateway Load Balancer は、VPCエンドポイントサービスを作成するときに指定します。他の AWS プリンシパルは、Gateway Load Balancer エンドポイントを作成することにより、エンドポイントサービスにアクセスします。
料金
Gateway Load Balancer エンドポイントが各アベイラビリティーゾーンにプロビジョニングされる 1 時間ごとに課金されます。また、処理されたデータの GB ごとに課金されます。詳細については、「AWS PrivateLink 料金
詳細については、「Gateway Load Balancer の開始方法」をご参照ください。
概要
次の図は、アプリケーションサーバーが を介してセキュリティアプライアンスにアクセスする方法を示しています AWS PrivateLink。アプリケーションサーバーは、サービスコンシューマー のサブネットで実行されますVPC。Gateway Load Balancer エンドポイントは、同じ の別のサブネットに作成しますVPC。インターネットゲートウェイVPCを介してサービスコンシューマーに入るすべてのトラフィックは、まず検査のために Gateway Load Balancer エンドポイントにルーティングされ、次に宛先サブネットにルーティングされます。同様に、アプリケーションサーバーから出るすべてのトラフィックは、検査のために Gateway Load Balancer エンドポイントにルーティングされ、その後にインターネットゲートウェイを通じたルーティングによって戻ります。
インターネットからアプリケーションサーバーへのトラフィック (青い矢印):
-
トラフィックはインターネットゲートウェイVPCを介してサービスコンシューマーに入ります。
-
トラフィックは、ルートテーブルの設定に基づいて Gateway Load Balancer エンドポイントに送信されます。
-
トラフィックは、セキュリティアプライアンスを介して検査のために Gateway Load Balancer に送信されます。
-
検査後、トラフィックは Gateway Load Balancer エンドポイントに戻されます。
-
トラフィックは、ルートテーブルの設定に基づいてアプリケーションサーバーに送信されます。
アプリケーションサーバーからインターネットへのトラフィック (オレンジの矢印):
-
トラフィックは、ルートテーブルの設定に基づいて Gateway Load Balancer エンドポイントに送信されます。
-
トラフィックは、セキュリティアプライアンスを介して検査のために Gateway Load Balancer に送信されます。
-
検査後、トラフィックは Gateway Load Balancer エンドポイントに戻されます。
-
トラフィックは、ルートテーブルの設定に基づいてインターネットゲートウェイに送信されます。
-
トラフィックはインターネットにルーティングされます。
IP アドレスのタイプ
サービスプロバイダーは、セキュリティアプライアンスが のみをサポートしているIPv6場合でもIPv4、、IPv6、または IPv4と の両方でサービスコンシューマーがサービスエンドポイントを利用できるようにしますIPv4。デュアルスタックのサポートを有効にすると、既存のコンシューマーは引き続き IPv4を使用してサービスにアクセスし、新しいコンシューマーは IPv6 を使用してサービスにアクセスすることを選択できます。
Gateway Load Balancer エンドポイントが をサポートしている場合IPv4、エンドポイントのネットワークインターフェイスには IPv4 アドレスがあります。Gateway Load Balancer エンドポイントが をサポートしている場合IPv6、エンドポイントのネットワークインターフェイスには IPv6 アドレスがあります。エンドポイントネットワークインターフェイスのIPv6アドレスにインターネットからアクセスできません。IPv6 アドレスを使用してエンドポイントネットワークインターフェイスを記述する場合は、 denyAllIgwTraffic
が有効になっていることに注目してください。
エンドポイントサービスIPv6で を有効にするための要件
-
エンドポイントサービスの VPCおよび サブネットには、関連付けられたIPv6CIDRブロックが必要です。
-
エンドポイントサービスの Gateway Load Balancer は、dualstack IP アドレスタイプを使用する必要があります。セキュリティアプライアンスはIPv6トラフィックをサポートする必要はありません。
Gateway Load Balancer エンドポイントIPv6で を有効にするための要件
-
エンドポイントサービスには、IPv6サポートを含む IP アドレスタイプが必要です。
-
Gateway Load Balancer エンドポイントの IP アドレスのタイプは、次に説明するように、Gateway Load Balancer エンドポイントのサブネットと互換性がある必要があります。
-
IPv4 – エンドポイントネットワークインターフェイスにIPv4アドレスを割り当てます。このオプションは、選択したすべてのサブネットにIPv4アドレス範囲がある場合にのみサポートされます。
-
IPv6 – エンドポイントネットワークインターフェイスにIPv6アドレスを割り当てます。このオプションは、選択したすべてのサブネットがサブネットIPv6のみである場合にのみサポートされます。
-
デュアルスタック — エンドポイントネットワークインターフェイスに IPv4と IPv6 アドレスの両方を割り当てます。このオプションは、選択したすべてのサブネットに IPv4と IPv6 アドレス範囲の両方がある場合にのみサポートされます。
-
-
サービスコンシューマーのサブネットのルートテーブルVPCはIPv6トラフィックをルーティングし、ACLsこれらのサブネットのネットワークはIPv6トラフィックを許可する必要があります。
ルーティング
トラフィックをエンドポイントサービスにルーティングするには、その ID を使用して Gateway Load Balancer エンドポイントをルートテーブルでターゲットとして指定します。上図では、次のようにルートをルートテーブルに追加します。IPv6 ルートはデュアルスタック設定に含まれていることに注意してください。
インターネットゲートウェイのルートテーブル
このルートテーブルには、アプリケーションサーバー宛てのトラフィックを Gateway Load Balancer エンドポイントに送信するルートが必要です。
デスティネーション | ターゲット |
---|---|
VPC IPv4 CIDR |
ローカル |
VPC IPv6 CIDR |
ローカル |
Application subnet IPv4 CIDR |
vpc-endpoint-id |
Application subnet IPv6 CIDR |
vpc-endpoint-id |
アプリケーションサーバーを備えたサブネットのルートテーブル
このルートテーブルには、アプリケーションサーバーからのすべてのトラフィックを Gateway Load Balancer エンドポイントに送信するルートが必要です。
デスティネーション | ターゲット |
---|---|
VPC IPv4 CIDR |
ローカル |
VPC IPv6 CIDR |
ローカル |
0.0.0.0/0 | vpc-endpoint-id |
::/0 | vpc-endpoint-id |
Gateway Load Balancer エンドポイントを含むサブネットのルートテーブル
このルートテーブルは、検査から返されるトラフィックを最終的な宛先に送信する必要があります。インターネットから発信されたトラフィックの場合、ローカルルートはそのトラフィックをアプリケーションサーバーに送信します。アプリケーションサーバーを起点とするトラフィックについては、すべてのトラフィックをインターネットゲートウェイに送信するルートを追加します。
デスティネーション | ターゲット |
---|---|
VPC IPv4 CIDR |
ローカル |
VPC IPv6 CIDR |
ローカル |
0.0.0.0/0 | internet-gateway-id |
::/0 | internet-gateway-id |