経由で VPC リソースにアクセスする AWS PrivateLink - Amazon Virtual Private Cloud
概要DNS ホスト名DNS 解決プライベート DNSサブネットとアベイラビリティーゾーンIP アドレスのタイプ

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

経由で VPC リソースにアクセスする AWS PrivateLink

リソース VPC エンドポイント (リソースエンドポイント) を使用して、別の VPC 内の VPC リソースにプライベートにアクセスできます。リソースエンドポイントを使用すると、データベース、Amazon EC2 インスタンス、アプリケーションエンドポイント、ドメイン名ターゲット、または別の VPC またはオンプレミス環境のプライベートサブネットにある IP アドレスなどの VPC リソースにプライベートかつ安全にアクセスできます。リソースエンドポイントがない場合、VPC にインターネットゲートウェイを追加するか、 AWS PrivateLink インターフェイスエンドポイントと Network Load Balancer を使用してリソースにアクセスする必要があります。リソースエンドポイントはロードバランサーを必要としないため、VPC リソースに直接アクセスできます。VPC リソースは、リソース設定によって表されます。リソース設定は、リソースゲートウェイに関連付けられます。

料金

リソースエンドポイントを使用してリソースにアクセスすると、リソース VPC エンドポイントがプロビジョニングされる 1 時間ごとに課金されます。また、 リソースへのアクセス時に処理されるデータの GB ごとに課金されます。詳細については、AWS PrivateLink 料金表を参照してください。リソース設定とリソースゲートウェイを使用してリソースへのアクセスを有効にすると、リソースゲートウェイによって処理された GB データごとに課金されます。詳細については、Amazon VPC Lattice 料金表を参照してください。

内容

概要

アカウントのリソース、または別のアカウントから共有されているリソースにアクセスできます。リソースにアクセスするには、リソース VPC エンドポイントを作成します。このエンドポイントは、ネットワークインターフェイスを使用して VPC 内のサブネットとリソース間の接続を確立します。リソース宛てのトラフィックは、DNS を使用してリソースエンドポイントのネットワークインターフェイスのプライベート IP アドレスに解決されます。次に、VPC エンドポイントとリソースゲートウェイを介したリソース間の接続を使用して、トラフィックがリソースに送信されます。

次の図は、別のアカウントによって所有され、共有されているリソースにアクセスするコンシューマーアカウントのリソースエンドポイントを示しています AWS RAM。

コンシューマー VPC のリソースエンドポイントは、別の VPC のリソースにアクセスします。

考慮事項

  • TCP トラフィックがサポートされています。UDP トラフィックはサポートされていません。

  • ネットワーク接続は、リソースを持つ VPC からではなく、リソースエンドポイントを含む VPC から開始する必要があります。リソースの VPC は、エンドポイント VPC へのネットワーク接続を開始できません。

  • サポートされている ARN ベースのリソースは Amazon RDS リソースのみです。

  • VPC エンドポイントとリソースゲートウェイの少なくとも 1 つのアベイラビリティーゾーンが重複している必要があります。

DNS ホスト名

では AWS PrivateLink、プライベートエンドポイントを使用して リソースにトラフィックを送信します。リソース VPC エンドポイントを作成すると、VPC およびオンプレミスからリソースと通信するために使用できるリージョン DNS 名 (デフォルト DNS 名と呼ばれます) が作成されます。リソース VPC エンドポイントのデフォルトの DNS 名には、次の構文があります。

endpoint_id.rcfgId.randomHash.vpc-lattice-rsc.region.on.aws

ARNs を使用する一部のリソース設定のリソース VPC エンドポイントを作成すると、プライベート DNS を有効にできます。プライベート DNS を使用すると、リソース VPC エンドポイントを介したプライベート接続を活用しながら、 AWS サービスによってリソースにプロビジョニングされた DNS 名を使用してリソースへのリクエストを続行できます。詳細については、「DNS 解決」を参照してください。

次の describe-vpc-endpoint-associations コマンドは、リソースエンドポイントの DNS エントリを表示します。

aws ec2 describe-vpc-endpoint-associations --vpc-endpoint-id vpce-123456789abcdefgh --query 'VpcEndpointAssociations[*].*'

以下は、プライベート DNS 名が有効になっている Amazon RDS データベースのリソースエンドポイントの出力例です。最初の DNS 名はデフォルトの DNS 名です。2 番目の DNS 名は、パブリックエンドポイントへのリクエストをエンドポイントネットワークインターフェイスのプライベート IP アドレスに解決する隠しプライベートホストゾーンからのものです。

[
    [
        "vpce-rsc-asc-abcd1234abcd",
        "vpce-123456789abcdefgh",
        "Accessible",
        {
            "DnsName": "vpce-1234567890abcdefg-snra-1234567890abcdefg.rcfg-abcdefgh123456789.4232ccc.vpc-lattice-rsc.us-east-1.on.aws",
            "HostedZoneId": "ABCDEFGH123456789000"
        },
        {
            "DnsName": "database-5-test.cluster-ro-example.us-east-1.rds.amazonaws.com",
            "HostedZoneId": "A1B2CD3E4F5G6H8I91234"
        },
        "arn:aws:vpc-lattice:us-east-1:111122223333:resourceconfiguration/rcfg-1234567890abcdefg",
        "arn:aws:vpc-lattice:us-east-1:111122223333:resourceconfiguration/rcfg-1234567890xyz"
    ]
]

DNS 解決

リソース VPC エンドポイント用に作成した DNS レコードはパブリックです。したがって、これらの DNS 名はパブリックに解決可能です。ただし、VPC の外部からの DNS リクエストは、リソースエンドポイントのネットワークインターフェイスのプライベート IP アドレスを返します。これらの DNS 名を使用して、リソースエンドポイントがある VPC に VPN または Direct Connect 経由でアクセスできる限り、オンプレミスからリソースにアクセスできます。

プライベート DNS

ARNsを有効にし、VPC で DNS ホスト名と DNS 解決の両方が有効になっている場合、カスタム DNS 名を使用してリソース設定に対して非表示 AWSのマネージドプライベートホストゾーンが作成されます。ホストゾーンには、VPC 内のリソースエンドポイントのネットワークインターフェイスのプライベート IP アドレスに解決するリソースのデフォルト DNS 名のレコードセットが含まれています。

Amazon は、「Route 53 Resolver」と呼ばれる VPC 用の DNS サーバーを提供しています。Route 53 Resolver は、プライベートホストゾーンのローカル VPC ドメイン名とレコードを自動的に解決します。ただし、VPC の外部から Route 53 Resolver を使用することはできません。オンプレミスネットワークから VPC エンドポイントにアクセスする場合は、カスタム DNS 名を使用するか、Route 53 Resolver エンドポイントと Resolver ルールを使用できます。詳細については、「 AWS Transit GatewayAWS PrivateLink と の統合 Amazon Route 53 Resolver」を参照してください。

サブネットとアベイラビリティーゾーン

アベイラビリティーゾーンごとに 1 つのサブネットを使用して VPC エンドポイントを設定できます。サブネット内の VPC エンドポイント用にエンドポイントネットワークインターフェイスを作成します。VPC エンドポイントの IP アドレスタイプに基づいて、サブネットから各エンドポイントネットワークインターフェイスに IP アドレスを割り当てます。本稼働環境では、高可用性と回復性を確保するために、VPC エンドポイントごとに少なくとも 2 つのアベイラビリティーゾーンを設定することをお勧めします。

IP アドレスのタイプ

リソースエンドポイントは、IPv4, IPv6、またはデュアルスタックアドレスをサポートできます。IPv6 をサポートするエンドポイントは、AAAA レコードを使用して DNS クエリに応答できます。リソースエンドポイントの IP アドレスタイプは、以下で説明するように、リソースエンドポイントのサブネットと互換性がある必要があります。

  • [IPv4] — IPv4 アドレスをエンドポイントのネットワークインターフェイスに割り当てます。このオプションは、選択したすべてのサブネットに IPv4 アドレス範囲がある場合にのみサポートされます。

  • [IPv6] — IPv6 アドレスをエンドポイントのネットワークインターフェイスに割り当てます。このオプションは、選択したすべてのサブネットが IPv6 のみのサブネットである場合にのみサポートされます。

  • [Dualstack] — IPv4 と IPv6 の両方のアドレスをエンドポイントのネットワークインターフェイスに割り当てます。このオプションは、選択したすべてのサブネットに IPv4 と IPv6 の両方のアドレス範囲がある場合にのみサポートされます。

リソース VPC エンドポイントが IPv4 をサポートしている場合、エンドポイントネットワークインターフェイスには IPv4 アドレスがあります。リソース VPC エンドポイントが IPv6 をサポートしている場合、エンドポイントネットワークインターフェイスには IPv6 アドレスがあります。エンドポイントのネットワークインターフェイスの IPv6 アドレスに、インターネットからアクセスすることはできません。エンドポイントのネットワークインターフェイスを IPv6 アドレスで記述する場合は、denyAllIgwTraffic が有効になっていることに注意してください。