View a markdown version of this page

経由でサービスネットワークにアクセスする AWS PrivateLink - Amazon Virtual Private Cloud
概要DNS ホスト名DNS 解決プライベート DNSサブネットとアベイラビリティーゾーンIP アドレスのタイプ

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

経由でサービスネットワークにアクセスする AWS PrivateLink

サービスネットワークには、サービスネットワーク VPC エンドポイント (サービスネットワークエンドポイント) を使用して VPC からプライベートに接続できます。サービスネットワークエンドポイントは、サービスネットワークに関連付けられているリソースやサービスへのプライベートかつセキュアなアクセスを可能にします。この方法を使用することで、単一の VPC エンドポイント経由で複数のリソースやサービスにプライベートにアクセスできます。

サービスネットワークは、リソース設定と VPC Lattice サービスの論理的なコレクションです。サービスネットワークエンドポイントを使用することで、サービスネットワークを VPC に接続し、VPC またはオンプレミスからこれらのリソースやサービスにプライベートにアクセスできます。サービスネットワークエンドポイントでは、1 つのサービスネットワークに接続できます。VPC から複数のサービスネットワークに接続する場合は、それぞれが異なるサービスネットワークをポイントする複数のサービスネットワークエンドポイントを作成できます。

サービスネットワークは AWS Resource Access Manager () と統合されていますAWS RAM。サービスネットワークは、 AWS RAM経由で別のアカウントと共有できます。サービスネットワークを別の AWS アカウントと共有する場合、そのアカウントはサービスネットワークエンドポイントを作成してサービスネットワークに接続できます。サービスネットワークは、 AWS RAMのリソース共有を使用して共有できます。

AWS RAM コンソールを使用して、追加されたリソース共有、アクセスできる共有サービスネットワーク、リソースを共有した AWS アカウントを表示します。詳細については、「AWS RAM User Guide」の「Resources shared with you」を参照してください。

料金

サービスネットワークに関連付けられたリソース設定の料金が 1 時間単位で請求されます。また、サービスネットワーク VPC エンドポイント経由でリソースにアクセスするときは、処理されるデータの料金が GB 単位で請求されます。サービスネットワーク VPC エンドポイント自体に 1 時間単位の料金は請求されません。詳細については、Amazon VPC Lattice 料金表を参照してください。

内容

概要

独自のサービスネットワークを作成するか、別のアカウントから共有されたサービスネットワークを使用することができます。いずれの場合も、VPC からサービスネットワークに接続するためのサービスネットワークエンドポイントを作成できます。サービスネットワークを作成してリソース設定を関連付ける方法の詳細については、「Amazon VPC Lattice ユーザーガイド」を参照してください。

次の図は、VPC 内のサービスネットワークエンドポイントがサービスネットワークにアクセスする方法を示しています。

サービスネットワークエンドポイントがサービスネットワークに接続します。

ネットワーク接続を開始できるのは、サービスネットワーク内のリソースとサービスに対するサービスネットワークエンドポイントが設定された VPC からのみです。リソースとサービスが存在する VPC がエンドポイント VPC へのネットワーク接続を開始することはできません。

DNS ホスト名

では AWS PrivateLink、プライベートエンドポイントを使用してサービスネットワークにトラフィックを送信します。サービスネットワーク VPC エンドポイントを作成すると、リソースとサービスそれぞれにリージョン DNS 名 (デフォルト DNS 名と呼ばれます) が作成されます。これらは、VPC やオンプレミスからリソースとサービスと通信するために使用できます。エンドポイントに関連付けられた IP アドレスは変更できます。サービスネットワークへの接続には、エンドポイント IP ではなく DNS を使用することをお勧めします。

サービスネットワーク内にあるリソースのデフォルト DNS 名には次の構文があります。

endpointId-snraId.rcfgId.randomHash.vpc-lattice-rsc.region.on.aws

サービスネットワーク内にある Lattice サービスのデフォルト DNS 名には次の構文があります。

endpointId-snsaId.randomHash.vpc-lattice-svcs.region.on.aws

を使用している場合は AWS マネジメントコンソール、関連付けタブで DNS 名を確認できます。を使用している場合は AWS CLI、describe-vpc-endpoint-associations コマンドを使用します。

プライベート DNS を有効にできるのは、サービスネットワークに Amazon RDS データベースサービスに対する ARN タイプのリソース設定が存在する場合のみです。プライベート DNS を使用すると、 AWS サービスネットワーク VPC エンドポイントを介したプライベート接続を活用しながら、サービスによってリソースにプロビジョニングされた DNS 名を使用してリソースへのリクエストを続行できます。詳細については、「DNS 解決」を参照してください。

DNS 解決

サービスネットワークエンドポイントを作成すると、サービスネットワークに関連付けられているリソース設定と Lattice サービスそれぞれに DNS 名が作成されます。これらの DNS レコードはパブリックです。したがって、これらの DNS 名はパブリックに解決可能です。ただし、VPC 外からの DNS リクエストは、引き続きサービスネットワークエンドポイントのネットワークインターフェイスのプライベート IP アドレスを返します。サービスネットワークエンドポイントがある VPN にアクセスできるならば、これらの DNS 名を使用して、VPN または Direct Connect 経由でオンプレミスからリソースやサービスにアクセスできます。

プライベート DNS

サービスネットワーク VPC エンドポイントでプライベート DNS を有効にし、VPC で DNS ホスト名と DNS 解決の両方が有効になっている場合、カスタム DNS 名を持つリソース設定に対して非表示 AWSのマネージドプライベートホストゾーンが作成されます。ホストゾーンにはリソースのデフォルト DNS 名のレコードセットが含まれており、デフォルト DNS 名を VPC 内にあるサービスネットワークエンドポイントのネットワークインターフェイスのプライベート IP アドレスに解決します。

Amazon は、「Route 53 Resolver」と呼ばれる VPC 用の DNS サーバーを提供しています。Route 53 Resolver は、プライベートホストゾーンのローカル VPC ドメイン名とレコードを自動的に解決します。ただし、VPC の外部から Route 53 Resolver を使用することはできません。オンプレミスネットワークから VPC エンドポイントにアクセスしたい場合は、デフォルト DNS 名か、Route 53 Resolver エンドポイントと Resolver ルールを使用できます。詳細については、「 AWS Transit GatewayAWS PrivateLink と の統合 Amazon Route 53 Resolver」を参照してください。

サブネットとアベイラビリティーゾーン

サービスネットワークエンドポイントは、アベイラビリティーゾーンごとに 1 つのサブネットで設定できます。指定した各サブネットに VPC エンドポイント用の Elastic Network Interface を作成します。サブネットから各 Elastic Network Interface に IP アドレスを次のように割り当てます。

  • VPC Lattice サービス (レイヤー 7) – サービスネットワークに関連付けられたすべての VPC Lattice サービスに対して、アベイラビリティーゾーンごとに /28 ブロック (16 個の連続 IPv4 アドレス) を割り当てます。この /28 ブロックは、サービスネットワークに現在サービスがない場合でも、サービスネットワークエンドポイントの作成時に割り当てられます。/28 ブロックは、連続して使用されていない 16 個の IPv4 アドレスで構成されている必要があり、5 つの予約済みアドレス (最初の 4 つと最後の IP) AWSと重複することはできません。連続した十分な空きアドレススペースがあることを確認します。IPv6 の場合、VPC Lattice サービスのアベイラビリティーゾーンごとに /80 ブロックも割り当てます。

  • VPC Lattice リソース (レイヤー 4/TCP) – アベイラビリティーゾーンごとにリソース設定ごとに 1 つの IPv4 アドレスを割り当てます。VPC Lattice リソースには、連続したアドレス空間は必要ありません。Elastic Network Interface ごとに最大 63 個の IP アドレスを割り当てます。追加のリソース設定がこの制限を超えると、同じサブネットに別の Elastic Network Interface が作成されます。IPv6 の場合、リソース用に作成された最初の Elastic Network Interface に /80 ブロックを割り当てます。IPv6 を使用する場合、追加の Elastic Network Interface は作成されません。サービスネットワークからリソース設定を削除すると、関連付けられた IP アドレスが解放されます。Elastic Network Interface のすべての IPv4 アドレスが解放されると、Elastic Network Interface が削除されます。

本番環境では、高可用性と回復性を確保するために、サービスネットワークエンドポイントごとに少なくとも 2 つのアベイラビリティーゾーンを設定し、各サブネットに十分な使用可能な IPv4 アドレスがあることを確認することをお勧めします。

IP アドレスのタイプ

サービスネットワークエンドポイントは、IPv4、IPv6、またはデュアルスタックアドレスをサポートできます。IPv6 をサポートするエンドポイントは、AAAA レコードを使用して DNS クエリに応答できます。以下の説明にあるように、サービスネットワークエンドポイントの IP アドレスのタイプには、リソースエンドポイントのサブネットとの互換性がある必要があります。

  • [IPv4] — IPv4 アドレスをエンドポイントのネットワークインターフェイスに割り当てます。このオプションは、選択したすべてのサブネットに IPv4 アドレス範囲がある場合にのみサポートされます。

  • [IPv6] — IPv6 アドレスをエンドポイントのネットワークインターフェイスに割り当てます。このオプションは、選択したすべてのサブネットが IPv6 のみのサブネットである場合にのみサポートされます。

  • [Dualstack] — IPv4 と IPv6 の両方のアドレスをエンドポイントのネットワークインターフェイスに割り当てます。このオプションは、選択したすべてのサブネットに IPv4 と IPv6 両方のアドレス範囲がある場合にのみサポートされます。

サービスネットワーク VPC エンドポイントが IPv4 をサポートしている場合、エンドポイントネットワークインターフェイスのアドレスは IPv4 アドレスになります。サービスネットワーク VPC エンドポイントが IPv6 をサポートしている場合、エンドポイントネットワークインターフェイスのアドレスは IPv6 アドレスになります。エンドポイントのネットワークインターフェイスの IPv6 アドレスに、インターネットからアクセスすることはできません。エンドポイントのネットワークインターフェイスを IPv6 アドレスで記述する場合は、denyAllIgwTraffic が有効になっていることに注意してください。