AWS PrivateLink経由でサービスネットワークにアクセスする - Amazon Virtual Private Cloud
概要DNS ホスト名DNS 解決プライベート DNSサブネットとアベイラビリティーゾーンIP アドレスのタイプ

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS PrivateLink経由でサービスネットワークにアクセスする

サービスネットワークには、サービスネットワーク VPC エンドポイント (サービスネットワークエンドポイント) を使用して VPC からプライベートに接続できます。サービスネットワークエンドポイントは、サービスネットワークに関連付けられているリソースやサービスへのプライベートかつセキュアなアクセスを可能にします。この方法を使用することで、単一の VPC エンドポイント経由で複数のリソースやサービスにプライベートにアクセスできます。

サービスネットワークは、リソース設定と VPC Lattice サービスの論理的なコレクションです。サービスネットワークエンドポイントを使用することで、サービスネットワークを VPC に接続し、VPC またはオンプレミスからこれらのリソースやサービスにプライベートにアクセスできます。サービスネットワークエンドポイントでは、1 つのサービスネットワークに接続できます。VPC から複数のサービスネットワークに接続するには、それぞれが異なるサービスネットワークをポイントする複数のサービスネットワークエンドポイントを作成できます。

サービスネットワークは AWS Resource Access Manager () と統合されていますAWS RAM。サービスネットワークは、 AWS RAM経由で別のアカウントと共有できます。サービスネットワークを別の AWS アカウントと共有する場合、そのアカウントはサービスネットワークエンドポイントを作成してサービスネットワークに接続できます。サービスネットワークは、 AWS RAMのリソース共有を使用して共有できます。

AWS RAM コンソールを使用して、追加されたリソース共有、アクセスできる共有サービスネットワーク、リソースを共有した AWS アカウントを表示します。詳細については、「AWS RAM User Guide」の「Resources shared with you」を参照してください。

料金

サービスネットワークに関連付けられたリソース設定の料金が 1 時間単位で請求されます。また、サービスネットワーク VPC エンドポイント経由でリソースにアクセスするときは、処理されるデータの料金が GB 単位で請求されます。サービスネットワーク VPC エンドポイント自体に 1 時間単位の料金は請求されません。詳細については、Amazon VPC Lattice 料金表を参照してください。

内容

概要

サービスネットワークは、独自のサービスネットワークを作成するか、別のアカウントから共有されたサービスネットワークを使用することができます。いずれの場合も、VPC からサービスネットワークに接続するためのサービスネットワークエンドポイントを作成できます。サービスネットワークを作成してリソース設定を関連付ける方法の詳細については、「Amazon VPC Lattice User Guide」を参照してください。

次の図は、VPC 内のサービスネットワークエンドポイントがサービスネットワークにアクセスする方法を示しています。

サービスネットワークエンドポイントがサービスネットワークに接続します。

ネットワーク接続を開始できるのは、サービスネットワーク内のリソースとサービスに対するサービスネットワークエンドポイントが設定された VPC からのみです。リソースとサービスが存在する VPC がエンドポイント VPC へのネットワーク接続を開始することはできません。

DNS ホスト名

では AWS PrivateLink、プライベートエンドポイントを使用してサービスネットワークにトラフィックを送信します。サービスネットワーク VPC エンドポイントを作成すると、リソースとサービスそれぞれにリージョン DNS 名 (デフォルト DNS 名と呼ばれます) が作成されます。これらは、VPC やオンプレミスからリソースとサービスと通信するために使用できます。エンドポイントに関連付けられた IP アドレスは変更できます。サービスネットワークへの接続には、エンドポイント IP ではなく DNS を使用することをお勧めします。

サービスネットワーク内にあるリソースのデフォルト DNS 名には次の構文があります。

endpointId-snraId.rcfgId.randomHash.vpc-lattice-rsc.region.on.aws

サービスネットワーク内にある Lattice サービスのデフォルト DNS 名には次の構文があります。

endpointId-snsaId.randomHash.vpc-lattice-svcs.region.on.aws

を使用している場合は AWS マネジメントコンソール、関連付けタブで DNS 名を確認できます。を使用している場合は AWS CLI、describe-vpc-endpoint-associations コマンドを使用します。

プライベート DNS を有効にできるのは、サービスネットワークに Amazon RDS データベースサービスに対する ARN タイプのリソース設定が存在する場合のみです。プライベート DNS を使用すると、 AWS サービスネットワーク VPC エンドポイントを介したプライベート接続を活用しながら、サービスによってリソースにプロビジョニングされた DNS 名を使用してリソースへのリクエストを続行できます。詳細については、「DNS 解決」を参照してください。

DNS 解決

サービスネットワークエンドポイントを作成すると、サービスネットワークに関連付けられているリソース設定と Lattice サービスそれぞれに DNS 名が作成されます。これらの DNS レコードはパブリックです。したがって、これらの DNS 名はパブリックに解決可能です。ただし、VPC 外からの DNS リクエストは、引き続きサービスネットワークエンドポイントのネットワークインターフェイスのプライベート IP アドレスを返します。サービスネットワークエンドポイントがある VPN にアクセスできるならば、これらの DNS 名を使用して、VPN または Direct Connect 経由でオンプレミスからリソースやサービスにアクセスできます。

プライベート DNS

サービスネットワーク VPC エンドポイントでプライベート DNS を有効にし、VPC で DNS ホスト名と DNS 解決の両方が有効になっている場合、カスタム DNS 名を持つリソース設定に対して非表示 AWSのマネージドプライベートホストゾーンが作成されます。ホストゾーンにはリソースのデフォルト DNS 名のレコードセットが含まれており、デフォルト DNS 名を VPC 内にあるサービスネットワークエンドポイントのネットワークインターフェイスのプライベート IP アドレスに解決します。

Amazon は、「Route 53 Resolver」と呼ばれる VPC 用の DNS サーバーを提供しています。Route 53 Resolver は、プライベートホストゾーンのローカル VPC ドメイン名とレコードを自動的に解決します。ただし、VPC の外部から Route 53 Resolver を使用することはできません。オンプレミスネットワークから VPC エンドポイントにアクセスしたい場合は、デフォルト DNS 名か、Route 53 Resolver エンドポイントと Resolver ルールを使用できます。詳細については、「 AWS Transit GatewayAWS PrivateLink と の統合 Amazon Route 53 Resolver」を参照してください。

サブネットとアベイラビリティーゾーン

アベイラビリティーゾーンごとに 1 つのサブネットを使用して VPC エンドポイントを設定できます。そうすると、サブネット内にある VPC エンドポイントのエンドポイントネットワークインターフェイスが作成されます。VPC エンドポイントの IP アドレスタイプが IPv4 である場合は、そのサブネットから各 Elastic Network Interface に /28 の倍数で IP アドレスが割り当てられます。各サブネットで割り当てられた IP アドレスの数はリソース設定の数に応じて異なり、必要に応じて追加の IP が /28 ブロックで追加されます。本番環境では、高可用性とレジリエンシーを確保するために、VPC エンドポイントごとに少なくとも 2 つのアベイラビリティーゾーンを設定し、連続する IP を利用可能にすることをお勧めします。

IP アドレスのタイプ

サービスネットワークエンドポイントは、IPv4、IPv6、またはデュアルスタックアドレスをサポートできます。IPv6 をサポートするエンドポイントは、AAAA レコードを使用して DNS クエリに応答できます。以下の説明にあるように、サービスネットワークエンドポイントの IP アドレスのタイプには、リソースエンドポイントのサブネットとの互換性がある必要があります。

  • [IPv4] — IPv4 アドレスをエンドポイントのネットワークインターフェイスに割り当てます。このオプションは、選択したすべてのサブネットに IPv4 アドレス範囲がある場合にのみサポートされます。

  • [IPv6] — IPv6 アドレスをエンドポイントのネットワークインターフェイスに割り当てます。このオプションは、選択したすべてのサブネットが IPv6 のみのサブネットである場合にのみサポートされます。

  • [Dualstack] — IPv4 と IPv6 の両方のアドレスをエンドポイントのネットワークインターフェイスに割り当てます。このオプションは、選択したすべてのサブネットに IPv4 と IPv6 両方のアドレス範囲がある場合にのみサポートされます。

サービスネットワーク VPC エンドポイントが IPv4 をサポートしている場合、エンドポイントネットワークインターフェイスのアドレスは IPv4 アドレスになります。サービスネットワーク VPC エンドポイントが IPv6 をサポートしている場合、エンドポイントネットワークインターフェイスのアドレスは IPv6 アドレスになります。エンドポイントのネットワークインターフェイスの IPv6 アドレスに、インターネットからアクセスすることはできません。エンドポイントのネットワークインターフェイスを IPv6 アドレスで記述する場合は、denyAllIgwTraffic が有効になっていることに注意してください。