AWS PrivateLink を通じて仮想アプライアンスにアクセスする - Amazon Virtual Private Cloud

AWS PrivateLink を通じて仮想アプライアンスにアクセスする

Gateway Load Balancer を使用して、ネットワーク仮想アプライアンスのフリートにトラフィックを分散できます。アプライアンスは、セキュリティ検査、コンプライアンス、ポリシー制御、およびその他のネットワークサービスに使用できます。VPC エンドポイントサービスを作成するときに、Gateway Load Balancer を指定します。他の AWS プリンシパルは、Gateway Load Balancer エンドポイントを作成することにより、エンドポイントサービスにアクセスします。

料金

Gateway Load Balancer エンドポイントが各アベイラビリティーゾーンでプロビジョニングされる 1 時間ごとに課金されます。また、処理されたデータの GB ごとに課金されます。詳細については、AWS PrivateLink 料金を参照してください。

詳細については、「Gateway Load Balancer の開始方法」をご参照ください。

概要

次の図は、アプリケーションサーバーが AWS PrivateLink を通じてセキュリティアプライアンスにアクセスする方法を示しています。アプリケーションサーバーは、サービスコンシューマーの VPC のサブネットで実行されます。同じ VPC の別のサブネットで Gateway Load Balancer エンドポイントを作成します。インターネットゲートウェイを経由してサービスコンシューマー VPC に入るすべてのトラフィックは、まず、検査のために Gateway Load Balancer エンドポイントにルーティングされ、その後、送信先サブネットにルーティングされます。同様に、アプリケーションサーバーから出るすべてのトラフィックは、検査のために Gateway Load Balancer エンドポイントにルーティングされ、その後にインターネットゲートウェイを通じたルーティングによって戻ります。

Gateway Load Balancer エンドポイントを使用してセキュリティアプライアンスにアクセスします。
インターネットからアプリケーションサーバーへのトラフィック (青い矢印):
  1. トラフィックは、インターネットゲートウェイを介してサービスコンシューマー VPC に入ります。

  2. トラフィックは、ルートテーブルの設定に基づいて Gateway Load Balancer エンドポイントに送信されます。

  3. トラフィックは、セキュリティアプライアンスを介して検査のために Gateway Load Balancer に送信されます。

  4. 検査後、トラフィックは Gateway Load Balancer エンドポイントに戻されます。

  5. トラフィックは、ルートテーブルの設定に基づいてアプリケーションサーバーに送信されます。

アプリケーションサーバーからインターネットへのトラフィック (オレンジの矢印):
  1. トラフィックは、ルートテーブルの設定に基づいて Gateway Load Balancer エンドポイントに送信されます。

  2. トラフィックは、セキュリティアプライアンスを介して検査のために Gateway Load Balancer に送信されます。

  3. 検査後、トラフィックは Gateway Load Balancer エンドポイントに戻されます。

  4. トラフィックは、ルートテーブルの設定に基づいてインターネットゲートウェイに送信されます。

  5. トラフィックはインターネットにルーティングされます。

IP アドレスのタイプ

サービスプロバイダーは、自社のセキュリティアプライアンスが IPv4 のみをサポートしている場合でも、IPv4、IPv6、または IPv4 と IPv6 の両方を介してサービスコンシューマーがサービスエンドポイントを使用できるようにすることができます。dualstack サポートを有効にすると、既存のコンシューマーは引き続き IPv4 を使用してサービスにアクセスでき、新しいコンシューマーは IPv6 を使用してサービスにアクセスできます。

Gateway Load Balancer エンドポイントが IPv4 をサポートしている場合、エンドポイントのネットワークインターフェイスは IPv4 アドレスを持ちます。Gateway Load Balancer エンドポイントが IPv6 をサポートしている場合、エンドポイントのネットワークインターフェイスは IPv6 アドレスを持ちます。エンドポイントのネットワークインターフェイスの IPv6 アドレスに、インターネットからアクセスすることはできません。エンドポイントのネットワークインターフェイスを IPv6 アドレスで記述する場合は、denyAllIgwTraffic が有効になっていることに注意してください。

エンドポイントサービス用に IPv6 を有効にするための要件
  • エンドポイントサービスの VPC とサブネットには、IPv6 CIDR ブロックが関連付けられている必要があります。

  • エンドポイントサービスの Gateway Load Balancer は、dualstack IP アドレスタイプを使用する必要があります。セキュリティアプライアンスは IPv6 トラフィックをサポートする必要はありません。

Gateway Load Balancer エンドポイントで IPv6 を有効にするための要件
  • エンドポイントサービスには、IPv6 サポートを含む IP アドレスのタイプが必要です。

  • Gateway Load Balancer エンドポイントの IP アドレスのタイプは、次に説明するように、Gateway Load Balancer エンドポイントのサブネットと互換性がある必要があります。

    • [IPv4] — IPv4 アドレスをエンドポイントのネットワークインターフェイスに割り当てます。このオプションは、選択したすべてのサブネットに IPv4 アドレス範囲がある場合にのみサポートされます。

    • [IPv6] — IPv6 アドレスをエンドポイントのネットワークインターフェイスに割り当てます。このオプションは、選択したすべてのサブネットが IPv6 のみのサブネットである場合にのみサポートされます。

    • [Dualstack] — IPv4 と IPv6 の両方のアドレスをエンドポイントのネットワークインターフェイスに割り当てます。このオプションは、選択したすべてのサブネットに IPv4 と IPv6 の両方のアドレス範囲がある場合にのみサポートされます。

  • サービスコンシューマー VPC のサブネットのルートテーブルは IPv6 トラフィックをルーティングする必要があり、これらのサブネットのネットワーク ACL は IPv6 トラフィックを許可する必要があります。

ルーティング

トラフィックをエンドポイントサービスにルーティングするには、その ID を使用して Gateway Load Balancer エンドポイントをルートテーブルでターゲットとして指定します。上図では、次のようにルートをルートテーブルに追加します。dualstack の設定には IPv6 ルートが含まれています。

インターネットゲートウェイのルートテーブル

このルートテーブルには、アプリケーションサーバー宛てのトラフィックを Gateway Load Balancer エンドポイントに送信するルートが必要です。

デスティネーション ターゲット
VPC IPv4 CIDR ローカル
VPC IPv6 CIDR ローカル
アプリケーションサブネット IPv4 CIDR vpc-endpoint-id
アプリケーションサブネット IPv6 CIDR vpc-endpoint-id
アプリケーションサーバーを備えたサブネットのルートテーブル

このルートテーブルには、アプリケーションサーバーからのすべてのトラフィックを Gateway Load Balancer エンドポイントに送信するルートが必要です。

デスティネーション ターゲット
VPC IPv4 CIDR ローカル
VPC IPv6 CIDR ローカル
0.0.0.0/0 vpc-endpoint-id
::/0 vpc-endpoint-id
Gateway Load Balancer エンドポイントを含むサブネットのルートテーブル

このルートテーブルは、検査から返されるトラフィックを最終的な宛先に送信する必要があります。インターネットから発信されたトラフィックの場合、ローカルルートはそのトラフィックをアプリケーションサーバーに送信します。アプリケーションサーバーを起点とするトラフィックについては、すべてのトラフィックをインターネットゲートウェイに送信するルートを追加します。

デスティネーション ターゲット
VPC IPv4 CIDR ローカル
VPC IPv6 CIDR ローカル
0.0.0.0/0 internet-gateway-id
::/0 internet-gateway-id