VPC を拡張する - Amazon Virtual Private Cloud

VPC を拡張する

サブネットなどの VPC リソースを世界中の複数の場所でホストできます。これらの場所は、リージョン、アベイラビリティーゾーン、Local Zones、および Wavelength ゾーンで構成されます。リージョンはそれぞれ、地理的に離れた領域です。

  • アベイラビリティーゾーンは、各リージョン内の複数の独立した場所です。

  • Local Zones を使用すると、コンピューティングやストレージなどのリソースをエンドユーザーに近い複数の場所に配置できます。

  • AWS Outposts では、ネイティブの AWS のサービス、インフラストラクチャ、運用モデルをほぼすべてのデータセンター、コロケーションスペース、オンプレミスの施設で利用できます。

  • Wavelength Zones を使用すると、デベロッパーは 5G デバイスやエンドユーザーに非常に低いレイテンシーを提供するアプリケーションを構築できます。Wavelength は、標準の AWS コンピューティングおよびストレージサービスを通信事業者の 5G ネットワークのエッジにデプロイします。

AWS は、最新の高可用性のデータセンターを運用しています。しかし、非常にまれですが、同じ場所にあるインスタンスすべての可用性に影響する障害が発生することもあります。すべてのインスタンスを 1 か所でホストしている場合、そのような障害が起きると、すべてのインスタンスが利用できなくなります。

最適なデプロイを確認するには、AWS Wavelength に関するよくある質問を参照してください。

Local Zones で VPC リソースを拡張する

AWS Local Zones では、リソースをエンドユーザーの近くに配置できるほか、使い慣れた API とツールセットを使用して AWS リージョンのサービス全般にシームレスに接続できます。ローカルゾーンの割り当てを持つ新しいサブネットを作成して、VPC リージョンを拡張できます。ローカルゾーンにサブネットを作成すると、VPC はそのローカルゾーンに拡張されます。

ローカルゾーンを使用するには、3 つのステップで構成されるプロセスに従います。

  • まず、ローカルゾーンにオプトインします。

  • 次に、ローカルゾーン内にサブネットを作成します。

  • 最後に、ローカルゾーンサブネットで選択したリソースを起動し、アプリケーションとエンドユーザーを近づけます。

ネットワーク境界グループは、 がパブリック IP アドレスをアドバタイズAWSするアベイラビリティーゾーンまたは Local Zones の一意のセットです。

IPv6 アドレスを持つ VPC を作成する場合、Amazon が提供するパブリック IP アドレスのセットを VPC に割り当てるだけでなく、アドレスをグループに制限するアドレスのネットワーク境界グループを設定することもできます。ネットワーク境界グループを設定すると、IP アドレスはネットワーク境界グループ間を移動できません。us-west-2 ネットワーク境界グループには、4 つの米国西部 (オレゴン) アベイラビリティーゾーンが含まれます。us-west-2-lax-1 ネットワーク境界グループには、ロサンゼルスの Local Zones が含まれます。

Local Zones には、以下の規則が適用されます。

  • ローカルゾーンのサブネットは、アベイラビリティーゾーンサブネットと同じルーティングルール (ルートテーブル、セキュリティグループ、ネットワーク ACL など) に従います。

  • Local Zones は、Amazon Virtual Private Cloud Console、AWS CLI または API を使用してサブネットに割り当てることができます。

  • ローカルゾーンで使用するパブリック IP アドレスをプロビジョニングする必要があります。アドレスを割り当てるときに、IP アドレスのアドバタイズ元の場所を指定できます。これをネットワークボーダーグループと呼びます。このパラメータを設定して、アドレスをこの場所に制限することができます。IP アドレスをプロビジョニングした後は、ローカルゾーンと親リージョンの間で IP アドレスを移動できません (例えば、us-west-2-lax-1a から us-west-2)。

  • Amazon が提供する IPv6 IP アドレスをリクエストし、それらのアドレスを新しい VPC または既存の VPC のネットワーク境界グループに関連付けることができます。

    注記

    IPv6 のサポートはロサンゼルスの Local Zones のみになります。

  • アウトバウンドインターネットトラフィックは、あるローカルゾーンから そのローカルゾーンを離れます。

Linux での Local Zones 操作方法の詳細については、Linux インスタンス用 Amazon EC2 ユーザーガイドの「Local Zones」を参照してください。Windows での Local Zones 操作方法の詳細については、Windows インスタンス用 Amazon EC2 ユーザーガイドの「Local Zones」を参照してください。どちらのガイドにも利用可能な Local Zones および各 Local Zones で起動できるリソースの一覧が記載されています。

インターネットゲートウェイに関する考慮事項

Local Zones で (親リージョンの) インターネットゲートウェイを使用する場合は、次のことを考慮してください。

  • elastic IP アドレスまたは Amazon の自動割り当てパブリック IP アドレスを使用して、Local Zonesでインターネットゲートウェイを使用できます。関連付ける elastic IP アドレスには、ローカルゾーンのネットワーク境界グループが含まれている必要があります。詳細については、「」を参照してくださいElastic IP アドレス

    リージョンに設定されている elastic IP アドレスを関連付けることはできません。

  • Local Zones で使用される elastic IP アドレスは、リージョン内の elastic IP アドレスと同じクォータを持ちます。詳細については、「」を参照してくださいElastic IP アドレス (IPv4)

  • ローカルゾーンリソースに関連付けられたルートテーブルでは、インターネットゲートウェイを使用できます。詳細については、「」を参照してくださいインターネットゲートウェイへのルーティング

Direct Connect ゲートウェイを使用した Local Zones へのアクセス

オンプレミスのデータセンターがローカルゾーン内のリソースにアクセスできるようにするシナリオを考えてみましょう。ローカルゾーンに関連付けられた VPC の仮想プライベートゲートウェイを使用して、Direct Connect ゲートウェイに接続します。Direct Connect ゲートウェイは、リージョン内の AWS Direct Connect ロケーションに接続します。オンプレミスのデータセンターには、AWS Direct Connect の場所への AWS Direct Connect 接続があります。

この構成には、次のリソースを使用します。

  • ローカルゾーンサブネットに関連付けられた VPC の仮想プライベートゲートウェイ。Amazon Virtual Private Cloud Console のサブネットの詳細ページ、または describe-subnets を使用してサブネットの VPC を表示できます。

    仮想プライベートゲートウェイの作成方法の詳細については、AWS Site-to-Site VPN ユーザーガイドの「ターゲットゲートウェイを作成する」を参照してください。

  • Direct Connect 接続。AWS では、ロサンゼルスの Local Zones に対するレイテンシーパフォーマンスを最適化するために、次のいずれかの場所を使用することをお勧めします。

    • カリフォルニア州ロサンゼルス、エルセグンドにある T5 (AWS では、ロサンゼルスのローカルゾーンへのレイテンシーを最小にするため、このロケーションを推奨します)

    • CoreSite LA1、カリフォルニア州ロサンゼルス

    • Equinix LA3、カリフォルニア州エルセグンド

    接続の注文方法については、AWS Direct Connect ユーザーガイドの「クロスコネクト」を参照してください。

  • Direct Connect ゲートウェイ Direct Connect ゲートウェイの作成方法の詳細については、AWS Direct Connect ユーザーガイドの「Direct Connect ゲートウェイを作成する」を参照してください。

  • VPC を Direct Connect ゲートウェイに接続するための仮想プライベートゲートウェイの関連付け。仮想プライベートゲートウェイの関連付け作成方法については、AWS Direct Connect ユーザーガイドの「仮想プライベートゲートウェイの関連付けと関連付けの解除」を参照してください。

  • AWS Direct Connect ロケーションからオンプレミスのデータセンターへの接続のプライベート仮想インターフェイス。Direct Connect ゲートウェイの作成方法の詳細については、AWS Direct Connect ユーザーガイドの「Direct Connect ゲートウェイへのプライベート仮想インターフェイスの作成」を参照してください。

ローカルゾーンのサブネットをトランジットゲートウェイに接続する

ローカルゾーンでサブネットにトランジットゲートウェイアタッチメントを作成することはできません。次の図は、親アベイラビリティーゾーンから、ローカルゾーンのサブネットをトランジットゲートウェイに接続するようにネットワークを設定する方法を示しています。Local Zones にサブネットを作成し、親アベイラビリティーゾーンにサブネットを作成します。親アベイラビリティーゾーンのサブネットをトランジットゲートウェイに接続し、各 VPC のルートテーブルに、他の VPC の CIDR 宛のトラフィックをトランジットゲートウェイアタッチメントのネットワークインターフェイスにルーティングするルートを作成します。


					ローカルゾーンからトランジットゲートウェイ

このシナリオでは、次のリソースを作成します。

  • 各親アベイラビリティーゾーンのサブネット。詳細については、「VPC にサブネットを作成する」を参照してください。

  • トランジットゲートウェイ。詳細については、「Amazon VPC Transit Gateway」の「Transit Gateway の作成」を参照してください。

  • 親アベイラビリティーゾーンを使用する各 VPC のトランジットゲートウェイアタッチメント。詳細については、「Amazon VPC Transit Gateway」の「VPC へのTransit Gateway の作成」を参照してください。

  • トランジットゲートウェイアタッチメントに関連付けられたトランジットゲートウェイルートテーブル。詳細については、「Amazon VPC Transit Gateway」の「Transit Gateway ルートテーブル」を参照してください。

  • VPC ごとに、VPC ルートテーブルに、他の VPC の CIDR を送信先とし、トランジットゲートウェイアタッチメントのネットワークインターフェイスの ID を対象としたエントリ。トランジットゲートウェイアタッチメントのネットワークインターフェイスを検索するには、ネットワークインターフェイスの説明で、トランジットゲートウェイアタッチメントの ID を検索します。詳細については、「トランジットゲートウェイのルーティング」を参照してください。

VPC 1 のルートテーブルの例を次に示します。

送信先 ターゲット

VPC 1 CIDR

ローカル

VPC 2 CIDR

vpc1-attachment-network-interface-id

VPC 2 のルートテーブルの例を次に示します。

送信先 ターゲット

VPC 2 CIDR

ローカル

VPC 1 CIDR

vpc2-attachment-network-interface-id

トランジットゲートウェイのルートテーブルの例を次に示します。各 VPC の CIDR ブロックがトランジットゲートウェイルートテーブルに伝播されます。

CIDR Attachment ルートタイプ

VPC 1 CIDR

VPC 1 のアタッチメント

伝播済み

VPC 2 CIDR

VPC 2 のアタッチメント

伝播済み

VPC リソースを Wavelength Zones に拡張する

AWS Wavelength では、開発者はモバイルデバイスおよびエンドユーザー向けに、非常にレイテンシーが低いアプリケーションを構築できます。Wavelength は、標準の AWS コンピューティングおよびストレージサービスを通信事業者の 5G ネットワークのエッジにデプロイします。開発者は、Amazon Virtual Private Cloud (VPC) を 1 つ以上の Wavelength ゾーンに拡張し、Amazon Elastic Compute Cloud (EC2) インスタンスなどの AWS リソースを使用して、非常に低いレイテンシーを必要とするアプリケーションを実行し、リージョン内の AWS サービスに接続できます。

Wavelength Zones を使用するには、まずゾーンにオプトインする必要があります。次に、Wavelength ゾーンにサブネットを作成します。Amazon EC2 インスタンス、Amazon EBS ボリューム、Amazon VPC サブネット、および Carrier Gateway を Wavelength Zones に作成できます。Amazon EC2 Auto Scaling、Amazon EKS クラスター、Amazon ECS クラスター、Amazon EC2 Systems Manager、Amazon CloudWatch、AWS CloudTrail、AWS CloudFormation など、EC2、EBS、および VPC と調整または連携しているサービスを使用することもできます。Wavelength のサービスは、Amazon DynamoDB や Amazon RDS などのサービスに簡単にアクセスできるように、信頼性の高い高帯域幅接続を介して AWS リージョンに接続されている VPC の一部です。

Wavelength Zones には、次の規則が適用されます。

  • VPC でサブネットを作成し、それを Wavelength ゾーンに関連付けると、VPC は Wavelength Zone まで拡張されます。

  • デフォルトでは、Wavelength ゾーンにまたがる VPC で作成するすべてのサブネットは、ローカルルートを含むメイン VPC ルートテーブルを継承します。

  • Wavelength ゾーンのサブネットで EC2 インスタンスを起動するときは、そのインスタンスにキャリア IP アドレスを割り当てます。キャリアゲートウェイは、インターフェイスからインターネット、またはモバイルデバイスへのトラフィックに、そのアドレスを使用します。キャリアゲートウェイは NAT を使用してアドレスを変換し、トラフィックを送信先に送信します。通信キャリアネットワークからのトラフィックは、キャリアゲートウェイを経由します。

  • VPC ルートテーブル、または Wavelength ゾーンのサブネットルートテーブルのターゲットを、キャリアゲートウェイに設定できます。キャリアゲートウェイは、特定の場所のキャリアネットワークからのインバウンドトラフィックと、キャリアネットワークおよびインターネットへのアウトバウンドトラフィックを許可します。Wavelength ゾーンでのルーティングオプションの詳細については、AWS Wavelength 開発者ガイドの「ルーティング」を参照してください。

  • Wavelength Zones のサブネットには、IPv4 アドレス、DHCP オプションセット、ネットワーク ACL など、アベイラビリティーゾーンのサブネットと同じネットワークコンポーネントがあります。

  • Wavelength ゾーンでサブネットへのトランジットゲートウェイアタッチメントを作成することはできません。代わりに、親アベイラビリティーゾーンのサブネットを介して添付ファイルを作成し、トランジットゲートウェイを介して目的の送信先にトラフィックをルーティングします。例については、次のセクションを参照ください。

複数の Wavelength ゾーンに関する考慮事項

同じ VPC 内の異なる Wavelength ゾーンにある EC2 インスタンスは、相互に通信することができません。Wavelength ゾーン間の通信が必要な場合、AWS ではWavelength ゾーンごとに 1 つずつ、複数の VPC を使用することをお勧めします。中継ゲートウェイを使用して VPC に接続できます。この設定により、Wavelength ゾーンのインスタンス間で通信が可能になります。

Wavelength ゾーン間のトラフィックは、AWS リージョンを介してルーティングされます。詳細については、「AWS Transit Gateway」を参照してください。

次の図は、2 つの異なる Wavelength ゾーンのインスタンスが通信できるようにネットワークを設定する方法を示しています。2 つの Wavelength ゾーン (Wavelength ゾーン A と Wavelength ゾーン B) があります。通信を有効にするには、次のリソースを作成する必要があります。

  • 各 Wavelength ゾーンについて、その Wavelength ゾーンの親アベイラビリティーゾーンであるアベイラビリティーゾーン内のサブネット。この例では、サブネット 1 とサブネット 2 を作成します。サブネットの作成の詳細については、「VPC にサブネットを作成する」を参照してください。describe-availability-zones を使用して、親ゾーンを検索します。

  • トランジットゲートウェイ。VPC に接続するトランジットゲートウェイ。トランジットゲートウェイの作成方法の詳細については、Amazon VPC Transit Gatewaysの「トランジットゲートウェイの作成」を参照してください。

  • Wavelength ゾーンの親アベイラビリティーゾーン内のトランジットゲートウェイへの VPC ごとの VPC アタッチメント。詳細については、「Amazon VPC トランジットゲートウェイ」の「VPC へのトランジットゲートウェイの作成」を参照してください。

  • トランジットゲートウェイルートテーブル内の各 VPC のエントリ。トランジットゲートウェイルートの作成方法の詳細については、Amazon VPC Transit Gateways ガイドの「トランジットゲートウェイルートテーブル」を参照してください。

  • VPC ごとに、他の VPC CIDR を送信先とし、トランジットゲートウェイ ID をターゲットとする VPC ルートテーブル内のエントリ。詳細については、「」を参照してくださいトランジットゲートウェイのルーティング

    この例では、VPC 1 のルートテーブルには次のエントリがあります。

    送信先 ターゲット

    10.1.0.0/24

    tgw-22222222222222222

    VPC 2 のルートテーブルには、次のエントリがあります。

    送信先 ターゲット

    10.0.0.0/24

    tgw-22222222222222222

					複数の Wavelength ゾーン

AWS Outposts のサブネット

AWS Outposts では、同じ AWS ハードウェアインフラストラクチャ、サービス、API、ツールを提供、オンプレミスやクラウドでアプリケーションを構築して実行することができます。AWS Outposts はオンプレミスのアプリケーションやシステムに対し低レイテンシーのアクセスを必要とするワークロード、データをローカルに保存および処理する必要があるワークロードに最適です。AWS Outposts の詳細については、AWS Outpostsを参照してください。

Amazon VPC は、AWS リージョンのすべてのアベイラビリティーゾーンにまたがります。Outposts を親リージョンに接続すると、アカウント内の既存および新規作成された VPC はすべて、リージョン内のすべてのアベイラビリティーゾーンおよび関連付けられている Outpost ロケーションにまたがります。

AWS Outposts には以下のルールが適用されます。

  • サブネットは、1 つの Outpost の場所に存在する必要があります。

  • ローカルゲートウェイは、VPC とオンプレミスネットワーク間のネットワーク接続を処理します。ローカルゲートウェイの詳細については、AWS Outposts ユーザーガイドの「ローカルゲートウェイ」を参照してください。

  • アカウントが AWS Outposts に関連付けられている場合は、サブネットの作成時に Outpost ARN を指定して、サブネットを Outpost に割り当てます。

  • デフォルトでは、Outpost に関連付けられた VPC で作成するすべてのサブネットは、ローカルゲートウェイルートを含むメイン VPC ルートテーブルを継承します。また、カスタムルートテーブルを VPC 内のサブネットに明示的に関連付けて、オンプレミスネットワークにルーティングする必要があるすべてのトラフィックのネクストホップターゲットとしてローカルゲートウェイを設定することもできます。