マルチアカウントアーキテクチャのネットワーク接続 - AWS 規範ガイダンス
VPC の接続アプリケーションの接続ベストプラクティス

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

マルチアカウントアーキテクチャのネットワーク接続

VPC の接続

多くの企業で、Amazon Virtual Private Cloud (Amazon VPC) の VPC ピアリングを使用して、開発用 VPC と本番稼働用 VPC に接続しています。VPC ピアリング接続を使用すると、プライベート IP アドレスを使用して 2 つの VPC 間でトラフィックをルーティングできます。接続VPCs は、異なる AWS アカウント と異なる に配置できます AWS リージョン。詳細については、「VPC ピア機能とは」(Amazon VPCドキュメント) を参照してください。企業が成長し、VPC の数が増えるにつれて、すべての VPC 間のピアリング接続を維持することがメンテナンスの負担になることがあります。VPC あたりの VPC ピアリング接続の最大数によって制限がある場合もあります。詳細については、「VPC ピアリング接続クォータ」(Amazon VPC ドキュメント) を参照してください。

複数の にまたがって非本番データをホストする複数の開発環境、テスト環境、ステージング環境がある場合は AWS アカウント、それらのすべての VPCsながら、本番稼働環境へのアクセスを禁止することができます。AWS Transit Gateway を使用して複数のアカウントにまたがる VPC を複数接続できます。ルートテーブルを分離することで、集中型ルーターとして機能するトランジットゲートウェイを介して開発用 VPC が本番稼働用 VPC と通信するのを防ぐことができます。詳細については、「集中型ルーター」(Transit Gateway ドキュメント) を参照してください。

Transit Gateway は、 AWS アカウント や AWS リージョンが異なるものも含め、他のトランジットゲートウェイとのピアリングもサポートしています Transit Gateway はフルマネージド型の可用性の高いサービスであるため、リージョンごとにプロビジョニングする必要があるトランジットゲートウェイは 1 つだけです。

詳細とネットワークアーキテクチャの詳細については、「スケーラブルで安全なマルチ VPC AWS ネットワークインフラストラクチャの構築」(AWS ホワイトペーパー) を参照してください。

アプリケーションの接続

同じ環境 (本番環境など) 内の異なる AWS アカウント のアプリケーション間で通信を確立する必要がある場合は、次のいずれかのオプションを使用できます。

  • VPC ピアリングAWS Transit Gateway は、複数の IP アドレスやポートに幅広くアクセスする場合に、ネットワークレベルで接続を提供できます。

  • AWS PrivateLink は、VPC のプライベートサブネットにエンドポイントを作成し、これらのエンドポイントは Amazon Route 53 Resolver に DNS エントリとして登録されます。DNS を使用することにより、アプリケーションは、VPC に NAT ゲートウェイやインターネットゲートウェイを必要とせずに、エンドポイントを解決して登録済みのサービスに接続できます。

  • Amazon VPC Lattice は、複数のアカウントと VPC にまたがるアプリケーションなどのサービスを関連付け、サービスネットワークにまとめます。サービスネットワークに関連付けられた VPC 内のクライアントは、同じアカウントに属しているかどうかに関係なく、サービスネットワークに関連する他のすべてのサービスにリクエストを送信できます。VPC Lattice は AWS Resource Access Manager (AWS RAM) と統合されているため、他の アカウントと共有したり、 を介してリソースを共有したりできます AWS Organizations。VPC は、1 つのサービスネットワークにのみ関連付けることができます。このソリューションでは VPC ピアリングや AWS Transit Gateway を使用してアカウント間の通信を行う必要がありません。

ネットワーク接続のベストプラクティス

  • 集中型ネットワーク AWS アカウント に使用する を作成します。このアカウントに network-prod という名前を付け、 AWS Transit Gateway と Amazon VPC IP Address Manager (IPAM) に使用します。このアカウントを Infrastructure_Prod の組織単位に追加します。

  • AWS Resource Access Manager (AWS RAM) を使用して、トランジットゲートウェイ、VPC Lattice サービスネットワーク、IPAM プールを組織の他のメンバーと共有します。これにより、組織 AWS アカウント 内のすべての がこれらのサービスとやり取りできるようになります。

  • IPAM プールを使用して IPv4 と IPv6 のアドレス割り当てを一元管理することで、エンドユーザーが AWS Service Catalog を使用して VPC を自分でプロビジョニングできるようになります。これにより、VPC のサイズを適切に設定し、IP アドレス空間の重複を防ぐことができます。

  • インターネットへのトラフィックにはエグレスの一元化アプローチを使用し、インターネットから環境に入るトラフィックにはイングレスの分散化アプローチを使用します。詳細については、エグレスの一元化およびイングレスの分散化を参照してください。