172-AWS SAP AWS 「理論・実践・一問道場」

type

status

date

slug

summary

理論

1. VPC間接続とCIDR範囲の重複

CIDR範囲が重複しているVPC同士の接続: CIDR範囲が重複するVPC間で直接的なIP通信を行うことはできません。VPCピアリングやVPN接続などの手法を使用しても、CIDRが重複しているとルーティングが衝突します。この問題を回避するためには、重複しないCIDRを使用するか、VPCピアリングの代わりに他の方法（例：AWS PrivateLink）を使用する必要があります。

2. AWS PrivateLink

AWS PrivateLink: このサービスは、異なるVPC間でプライベートIPアドレスを使って、安全にサービスを共有するためのものです。PrivateLinkは、セキュリティ、スケーラビリティ、運用管理の効率性を高めるために最適化されており、VPC間の接続における最適解です。重複するCIDR範囲の問題を回避できるため、異なるAWSアカウント間で簡単にサービスを共有することができます。

3. Network Load Balancer (NLB) と API Gateway

*NLB (Network Load Balancer)**は、非常に高いスループットと低遅延でトラフィックを処理できる負荷分散サービスです。API Gatewayと組み合わせて使用する場合、エンドポイントを公開して、異なるアカウントやVPCからのアクセスを管理できます。ただし、このアプローチでは、IAM認証やAPI Gatewayの設定が必要となり、AWS PrivateLinkに比べて少し複雑な運用が求められます。

4. 運用オーバーヘッドと簡素化

最小限の運用オーバーヘッド: 運用オーバーヘッドを最小化するためには、インフラの管理が簡単で、各VPCやアカウントにまたがるアクセスの設定が一元化できる方法を選択することが重要です。AWS PrivateLinkは、アクセス管理を効率化し、リソースの複雑さを減らすことができるため、運用の簡素化に貢献します。

5. セキュリティとプライベートアクセス

セキュアなアクセス: インターネット経由でアクセスするのではなく、プライベートIPアドレスを使用してアクセスすることで、セキュリティリスクを低減します。PrivateLinkは、VPC間でインターネットを介さず、セキュアな接続を提供するため、プライベートアクセスの要件に適しています。

実践

略

一問道場

問題 #172

トピック

ある企業には、各事業部が別々のAWSアカウントを持っており、それぞれの事業部が複数のVPCを管理しています。それぞれのVPCのCIDR範囲は重複しています。企業のマーケティングチームは新しい内部アプリケーションを作成し、他のすべての事業部からアプリケーションへのアクセスを希望しています。ソリューションはプライベートIPアドレスのみを使用する必要があります。

最小限の運用オーバーヘッドでこれらの要件を満たすソリューションはどれですか？

A. 各事業部にVPCに一意なセカンダリCIDR範囲を追加するよう指示します。VPCをピアリングし、セカンダリ範囲内にプライベートNATゲートウェイを使用してマーケティングチームへのトラフィックをルーティングします。

B. マーケティングアカウントのVPCに仮想アプライアンスとしてAmazon EC2インスタンスを作成します。マーケティングチームと各事業部のVPC間でAWS Site-to-Site VPN接続を作成し、必要に応じてNATを実行します。

C. AWS PrivateLinkエンドポイントサービスを作成し、マーケティングアプリケーションを共有します。特定のAWSアカウントに接続権限を付与し、他のアカウントでインターフェイスVPCエンドポイントを作成して、プライベートIPアドレスを使用してアプリケーションにアクセスします。

D. マーケティングアプリケーションの前にNetwork Load Balancer(NLB)を作成し、プライベートサブネット内に配置します。API Gateway APIを作成し、Amazon API Gatewayプライベートインテグレーションを使用してAPIをNLBに接続します。APIにIAM認証を有効にし、他の事業部のアカウントにアクセス権を付与します。

解説

この問題では、異なるAWSアカウントに所属する複数のビジネスユニットが管理するVPC（仮想プライベートクラウド）間で、マーケティングチームの内部アプリケーションにプライベートIPアドレスを使ってアクセスする方法を問われています。CIDR（Classless Inter-Domain Routing）範囲が重複しているため、VPCピアリングやVPN接続を使うだけでは問題があります。解決策は、異なるアカウントやVPC間でのアクセスを効率的かつセキュアに行える方法を選ぶことです。

解決策の選択肢：

A. VPCピアリングとNATゲートウェイの使用

各ビジネスユニットのVPCに一意のセカンダリCIDR範囲を追加して、VPCをピアリングし、NATゲートウェイを使用してマーケティングチームのアプリケーションにアクセスする方法です。この方法は、CIDR範囲の重複に対応するための手段を提供しますが、VPC間の接続の管理や運用オーバーヘッドが増加します。また、VPC間での複雑なルーティング設定が必要です。

B. EC2インスタンスを使用してVPN接続を行う方法

マーケティングチームのVPCに仮想アプライアンスを作成し、各ビジネスユニットのVPCに対してSite-to-Site VPN接続を確立する方法です。NATも必要となる可能性があり、複雑な設定が必要です。また、運用がやや手間がかかります。

C. AWS PrivateLinkを使用する方法（正解）

AWS PrivateLinkを使用して、マーケティングチームのアプリケーションを共有する方法です。特定のAWSアカウントにアクセス権を付与し、他のアカウントでインターフェイスVPCエンドポイントを作成してプライベートIPアドレスを使ってアクセスします。PrivateLinkは、VPC間でインターネットを使わずに安全に接続するため、CIDR範囲の重複を気にせずにシンプルかつ効率的にサービスを共有できます。これにより、運用オーバーヘッドが最小限に抑えられます。

D. NLBとAPI Gatewayを使用する方法

Network Load Balancer（NLB）を前面に配置し、API Gatewayを使ってアプリケーションを公開する方法です。API Gatewayのプライベート統合を使用してNLBに接続し、IAM認証を有効にしてアクセス管理を行います。この方法もプライベートアクセスを提供しますが、API GatewayやIAM認証の設定が必要なため、PrivateLinkに比べて運用が少し複雑になります。