361-AWS SAP AWS 「理論・実践・一問道場」PrivateLink

type

status

date

slug

summary

理論

AWS PrivateLinkの基本

AWS PrivateLinkは、異なるVPC間で安全かつプライベートに通信を行うためのサービスです。インターネットを介さず、プライベートIPアドレスを使用してサービスを接続できるため、セキュアな通信が可能です。

PrivateLinkエンドポイントサービス：サービスを提供する側（ホスト側）が設定するリソースで、他のVPCからアクセス可能にします。

PrivateLinkエンドポイント：クライアント側がPrivateLinkエンドポイントサービスに接続するために作成するリソースです。

これにより、異なるリージョン間でプライベートにサービスを利用することができます。

VPCピアリングの基本

VPCピアリングは、異なるVPC間で通信を可能にする設定で、1対1の接続を作ります。これにより、両VPC間で直接的な通信が可能となります。ただし、VPCピアリングは、リージョンを越えた接続にも使用できます。

VPCピアリングは、インターネットゲートウェイを経由せずに、プライベートIPでの通信を実現できます。

複数のVPCが接続される場合、トランジットゲートウェイやPrivateLinkと組み合わせることも可能です。

エンドポイントサービスとNLB

Network Load Balancer (NLB)：プライベートVPC間でのトラフィックを効率的に分散するための負荷分散サービスで、特にTCPトラフィックに適しています。

PrivateLinkエンドポイントサービスは、通常、NLBを使って構成されます。これにより、異なるリージョン間でプライベートな接続を実現できます。

他の選択肢

AWS RAM (Resource Access Manager)：他のアカウントやリージョンとリソースを共有するためのサービスですが、EC2インスタンスを共有する用途には使えません。

最適なアーキテクチャ

既存のインフラ（例えば、eu-west-2のNLB）を利用して、新しいリージョン（us-east-1）の顧客にアクセスを提供する場合、PrivateLinkエンドポイントサービスを利用して、既存のリソースを効率よく再利用するのが最適です。これにより、新しいEC2インスタンスを追加せずに、サービスを拡張できます。

まとめ

PrivateLink：異なるVPC間でセキュアかつプライベートに通信を行うために使用される。

VPCピアリング：異なるリージョン間での直接通信を可能にするが、PrivateLinkとの併用が推奨される。

NLB + PrivateLinkエンドポイントサービス：異なるリージョンでのリソースを安全かつプライベートに接続するために活用される。

実践

略

一問道場

あるSaaS（ソフトウェア・アズ・ア・サービス）企業が、AWSを使用してサービスをホストしており、このサービスはAWS PrivateLinkを使用して提供されています。このサービスは、Network Load Balancer（NLB）の背後で動作する3つのAmazon EC2インスタンスで構成されています。インスタンスは、複数のアベイラビリティゾーンにあるプライベートサブネット内に配置されています。すべての顧客はeu-west-2リージョンにいます。

しかし、この企業は新しい顧客をus-east-1リージョンで獲得しました。企業は新しいVPCと新しいサブネットをus-east-1リージョンに作成し、2つのリージョン間でVPCピアリングを確立しました。企業は新しい顧客にSaaSサービスへのアクセスを提供したいと考えていますが、us-east-1リージョンに新しいEC2リソースを即座に展開したくありません。

この要件を満たすソリューションはどれですか？

A. us-east-1にPrivateLinkエンドポイントサービスを設定し、eu-west-2にある既存のNLBを使用します。特定のAWSアカウントにSaaSサービスへの接続を許可します。

B. us-east-1にNLBを作成し、eu-west-2にあるSaaSサービスをホストしているインスタンスのIPアドレスを使用したIPターゲットグループを作成します。us-east-1にあるNLBを使用するPrivateLinkエンドポイントサービスを設定します。特定のAWSアカウントにSaaSサービスへの接続を許可します。

C. eu-west-2にあるEC2インスタンスの前にApplication Load Balancer（ALB）を作成し、us-east-1にNLBを作成します。us-east-1にあるNLBをALBターゲットグループに関連付け、eu-west-2にあるALBを使用します。us-east-1にあるNLBを使用するPrivateLinkエンドポイントサービスを設定します。特定のAWSアカウントにSaaSサービスへの接続を許可します。

D. AWS Resource Access Manager（AWS RAM）を使用して、eu-west-2にあるEC2インスタンスを共有します。us-east-1でNLBとインスタンスタスクターゲットグループを作成し、共有されたEC2インスタンスをターゲットに含めます。us-east-1にあるNLBを使用するPrivateLinkエンドポイントサービスを設定します。特定のAWSアカウントにSaaSサービスへの接続を許可します。

解説

この問題では、AWS PrivateLinkを使用して、新しい顧客（アメリカ東部のus-east-1リージョン）に、既存のサービス（現在、ヨーロッパ西部のeu-west-2リージョンでホストされているSaaSサービス）へのアクセスを提供する方法を問われています。また、新しいEC2インスタンスをus-east-1リージョンにデプロイしないという条件もあります。

問題の要点

サービス構成：サービスは、複数のAvailability Zone（AZ）にまたがるプライベートサブネットのEC2インスタンス（NLBの背後）にホストされています。

顧客の要求：新しい顧客（us-east-1リージョン）に、既存のサービスへのアクセスを提供したい。

条件：

新しいEC2インスタンスをus-east-1に追加したくない。
PrivateLinkを利用する必要がある。

解説

AWS PrivateLinkは、AWSサービス（またはカスタマーサービス）を他のVPCに対して安全かつプライベートに提供するためのサービスです。プライベートIPを介して、VPC間でリソースをアクセスすることができ、インターネットを介さずに接続を実現します。

問題で示されている要件を達成するために最も効果的な方法は、既存のNLB（Network Load Balancer）を使用し、us-east-1リージョンの顧客にアクセスを提供する方法です。具体的には、次のステップで解決できます：

各選択肢の分析

A. us-east-1でPrivateLinkエンドポイントサービスを構成して、既存のNLB（eu-west-2）を使用する

解説：

既存のNLB（eu-west-2リージョンにある）をus-east-1の新しい顧客に提供するために、PrivateLinkエンドポイントサービスを作成します。これにより、us-east-1の顧客はeu-west-2にあるNLBにアクセスできます。
新しいEC2インスタンスは不要で、既存のリソースを最大限活用できます。
非常に効率的で、操作負担も少なく、要件を満たします。