Auto Scaling グループに VPC Lattice ターゲットグループをアタッチする準備を行う - アマゾン EC2 Auto Scaling
セキュリティグループ: インバウンドルールとアウトバウンドルール制限

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Auto Scaling グループに VPC Lattice ターゲットグループをアタッチする準備を行う

Auto Scaling グループに VPC Lattice ターゲットグループをアタッチする前に、以下の前提条件を満たす必要があります。

  • VPC Lattice サービスネットワーク、サービス、リスナー、およびターゲットグループの作成を既に行っている必要があります。詳細については、「Amazon Lattice ユーザーガイド」の次のトピックを参照してください。

  • ターゲットグループは AWS アカウント、Auto Scaling グループと同じ、VPC、およびリージョンに存在する必要があります。

  • ターゲットグループは、instance のターゲットタイプを指定する必要があります。Auto Scaling グループを使用する場合、ip のターゲットタイプを指定することはできません。

  • ターゲットグループを Auto Scaling グループにアタッチするには、十分な IAM アクセス許可が付与されている必要があります。次のポリシー例は、ターゲットグループをアタッチおよびデタッチするために必要な最小限のアクセス許可を示しています。

    {
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "autoscaling:AttachTrafficSources",
                "autoscaling:DetachTrafficSources",
                "autoscaling:DescribeTrafficSources",
                "vpc-lattice:RegisterTargets",
                "vpc-lattice:DeregisterTargets"
            ],
            "Resource": "*"
        }
    ]
}

  • Auto Scaling グループの起動テンプレートに VPC Lattice の正しい設定 (互換性のあるセキュリティグループなど) が含まれていない場合は、起動テンプレートを更新する必要があります。起動テンプレートが変更されても、既存のインスタンスは新しい設定に更新されません。既存のインスタンスを更新するには、インスタンスの更新を開始してインスタンスを置き換えることができます。詳細については、「インスタンスの更新を使用して Auto Scaling グループのインスタンスを更新する」を参照してください。

  • Auto Scaling グループで VPC Lattice ヘルスチェックを有効にする前に、アプリケーションベースのヘルスチェックを設定して、アプリケーションが期待どおりに応答していることを確認できます。詳細については、「VPC Lattice ユーザーガイド」の「ターゲットグループのヘルスチェック」を参照してください。

セキュリティグループ: インバウンドルールとアウトバウンドルール

セキュリティグループは、関連付けられた EC2 インスタンスのファイアウォールとして機能し、インバウンドトラフィックとアウトバウンドトラフィックの両方をインスタンスレベルでコントロールします。

注記

ネットワーク設定は非常に複雑であるため、VPC Lattice で使用するセキュリティグループを新たに作成することを強くお勧めします。また、 に連絡する必要がある場合に、 サポート がサポートしやすくなります。次のセクションは、ユーザーがこの推奨事項に従うことを前提とした内容になっています。

Auto Scaling グループで使用できる VPC Lattice のセキュリティグループを作成する方法の詳細については、「VPC Lattice ユーザーガイド」の「セキュリティグループを使用してトラフィックを制御する」を参照してください。トラフィックフローの問題をトラブルシューティングするには、「VPC Lattice ユーザーガイド」で詳細を確認してください。

セキュリティグループの作成方法の詳細については、「Amazon EC2 ユーザーガイド」の「セキュリティグループの作成」を参照し、次の表を使用して選択するオプションを決定してください。

オプション

名前

 覚えやすい名前。

説明

 セキュリティグループの識別に役立つ説明。

VPC

Auto Scaling グループと同じ VPC。

インバウンドルール

セキュリティグループを作成するときには、インバウンドルールはありません。インバウンドルールをセキュリティグループに追加するまで、VPC Lattice サービスネットワーク内のクライアントからインスタンスに送信されるインバウンドトラフィックは許可されません。

VPC Lattice サービスネットワーク内のクライアントが Auto Scaling グループ内のインスタンスに接続できるようにするには、Auto Scaling グループのセキュリティグループを正しく設定する必要があります。この場合、特定の IP アドレスではなく、VPC Lattice の AWS マネージドプレフィックスリストの名前からのトラフィックを許可するインバウンドルールを指定します。VPC Lattice のプレフィックスリストは、VPC Lattice が使用する IP アドレスの範囲を CIDR 表記で表したものです。詳細については、「Amazon VPC ユーザーガイド AWS」の「マネージドプレフィックスリストの使用」を参照してください。

セキュリティグループにルールを追加する方法については、「Amazon VPC ユーザーガイド」の「セキュリティグループルールを設定する」を参照してください。次の表を使用して、選択するオプションを決定します。

オプション

HTTP ルール

Type: HTTP

ソース: com.amazonaws.region.vpc-lattice

HTTPS ルール

タイプ: HTTPS

ソース: com.amazonaws.region.vpc-lattice

セキュリティグループはステートフルです。VPC Lattice サービスネットワーク内のクライアントから Auto Scaling グループ内のインスタンスへのトラフィックを許可し、以前に離れたクライアントに応答を返します。

アウトバウンドルール

デフォルトでは、セキュリティグループにはすべてのアウトバウンドトラフィックを許可するアウトバウンドルールが含まれています。必要に応じて、このデフォルトルールを削除し、特定のセキュリティニーズに対応するアウトバウンドルールを追加できます。

制限

  • 混合インスタンスグループはサポートされていません。混合インスタンスポリシーが適用されている Auto Scaling グループに VPC Lattice ターゲットグループをアタッチしようとすると、エラーメッセージ「現在、混合インスタンスを含む Auto Scaling グループは VPC Lattice サービスと統合できません」が表示されます。これは、負荷分散アルゴリズムにより、利用可能なすべてのリソースに負荷が均等に分散されたことで、インスタンス同士が同じ負荷を処理できるほどに類似していると想定されたためです。