Auto Scaling グループに VPC Lattice ターゲットグループをアタッチする準備を行う - Amazon EC2 Auto Scaling
セキュリティグループ: インバウンドルールとアウトバウンドルール制限

Auto Scaling グループに VPC Lattice ターゲットグループをアタッチする準備を行う

Auto Scaling グループに VPC Lattice ターゲットグループをアタッチする前に、以下の前提条件を満たす必要があります。

  • VPC Lattice サービスネットワーク、サービス、リスナー、およびターゲットグループの作成を既に行っている必要があります。詳細については、「Amazon VPC Lattice ユーザーガイド」の次のトピックを参照してください。

  • ターゲットグループは、Auto Scaling グループと同じ AWS アカウント、VPC、およびリージョンに存在する必要があります。

  • ターゲットグループは、instance のターゲットタイプを指定する必要があります。Auto Scaling グループを使用する場合、ip のターゲットタイプを指定することはできません。

  • ターゲットグループを Auto Scaling グループにアタッチするには、十分な IAM アクセス許可が付与されている必要があります。次のポリシー例は、ターゲットグループをアタッチおよびデタッチするために必要な最小限のアクセス許可を示しています。

    JSON
    {
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "autoscaling:AttachTrafficSources",
                "autoscaling:DetachTrafficSources",
                "autoscaling:DescribeTrafficSources",
                "vpc-lattice:RegisterTargets",
                "vpc-lattice:DeregisterTargets"
            ],
            "Resource": "*"
        }
    ]
}

  • Auto Scaling グループの起動テンプレートに VPC Lattice の正しい設定 (互換性のあるセキュリティグループなど) が含まれていない場合は、起動テンプレートを更新する必要があります。起動テンプレートが変更されても、既存のインスタンスは新しい設定に更新されません。既存のインスタンスを更新するには、インスタンスの更新を開始してインスタンスを置き換えることができます。詳細については、「インスタンスの更新を使用して Auto Scaling グループのインスタンスを更新する」を参照してください。

  • Auto Scaling グループで VPC Lattice ヘルスチェックを有効にする前に、アプリケーションベースのヘルスチェックを設定して、アプリケーションが期待どおりに応答していることを確認できます。詳細については、「Amazon VPC Lattice ユーザーガイド」の「Health checks for your target groups」を参照してください。

セキュリティグループ: インバウンドルールとアウトバウンドルール

セキュリティグループは、関連付けられた EC2 インスタンスのファイアウォールとして機能し、インバウンドトラフィックとアウトバウンドトラフィックの両方をインスタンスレベルでコントロールします。

注記

ネットワーク設定は非常に複雑であるため、VPC Lattice で使用するセキュリティグループを新たに作成することを強くお勧めします。そうすることで、サポート に問い合わせる際にも、サポートを受けやすくなります。次のセクションは、ユーザーがこの推奨事項に従うことを前提とした内容になっています。

Auto Scaling グループで使用できる VPC Lattice のセキュリティグループを作成する方法の詳細については、「Amazon VPC Lattice ユーザーガイド」の「Control traffic using security groups」を参照してください。トラフィックフローの問題をトラブルシューティングするには、「Amazon VPC Lattice ユーザーガイド」で詳細を確認してください。

セキュリティグループの作成方法の詳細については、「Amazon EC2 ユーザーガイド」の「セキュリティグループの作成」を参照し、次の表を使用して選択するオプションを決定してください。

オプション

名前

 覚えやすい名前。

説明

 セキュリティグループの識別に役立つ説明。

VPC

Auto Scaling グループと同じ VPC。

インバウンドルール

セキュリティグループを作成するときには、インバウンドルールはありません。インバウンドルールをセキュリティグループに追加するまで、VPC Lattice サービスネットワーク内のクライアントからインスタンスに送信されるインバウンドトラフィックは許可されません。

VPC Lattice サービスネットワーク内のクライアントが Auto Scaling グループ内のインスタンスに接続できるようにするには、Auto Scaling グループのセキュリティグループを正しく設定する必要があります。この場合、特定の IP アドレスではなく、VPC Lattice の AWS マネージドプレフィックスリストの名前からのトラフィックを許可するインバウンドルールを指定します。VPC Lattice のプレフィックスリストは、VPC Lattice が使用する IP アドレスの範囲を CIDR 表記で表したものです。詳細については、「Amazon VPC ユーザーガイド」の「AWS マネージドプレフィックスリスト」を参照してください。

セキュリティグループにルールを追加する方法の詳細については、「Amazon VPC ユーザーガイド」の「セキュリティグループのルールを設定する」を参照し、次の表を使用して、選択するオプションを決定してください。

オプション

HTTP ルール

Type: HTTP

ソース: com.amazonaws.region.vpc-lattice

HTTPS ルール

タイプ: HTTPS

ソース: com.amazonaws.region.vpc-lattice

セキュリティグループはステートフルです。VPC Lattice サービスネットワーク内のクライアントから Auto Scaling グループ内のインスタンスへのトラフィックを許可し、以前に離れたクライアントに応答を返します。

アウトバウンドルール

デフォルトでは、セキュリティグループにはすべてのアウトバウンドトラフィックを許可するアウトバウンドルールが含まれています。必要に応じて、このデフォルトルールを削除し、特定のセキュリティニーズに対応するアウトバウンドルールを追加できます。

制限

  • 混合インスタンスグループはサポートされています。混合インスタンスポリシーを持つ Auto Scaling グループに VPC Lattice ターゲットグループをアタッチする場合、ロードバランシングアルゴリズムは使用可能なすべてのリソースに負荷を均等に分散し、インスタンスどうしが同じ負荷を処理できるほどに類似していることを想定します。