クライアント IP アドレスを保存する ENI とセキュリティグループのベストプラクティス - AWS Global Accelerator

クライアント IP アドレスを保存する ENI とセキュリティグループのベストプラクティス

AWS Global Accelerator でクライアント IP アドレスの保存を使用する場合は、このセクションの Elastic Network Interface (ENI) とセキュリティグループの情報とベストプラクティスに注意してください。

クライアント IP アドレスの保存をサポートするために、Global Accelerator は、エンドポイントが存在するサブネットごとに 1 つずつ、AWS アカウントに Elastic Network Interface を作成します。Elastic Network Interface は、仮想ネットワークカードを表す VPC 内の論理ネットワーキングコンポーネントです。Global Accelerator は、これらのエラスティックネットワークインターフェイスを使用して、アクセラレーターの後ろに設定されたエンドポイントにトラフィックをルーティングします。この方法でトラフィックをルーティングするためにサポートされているエンドポイントは、Application Load Balancer (内部およびインターネット向け)、セキュリティグループを持つ Network Load Balancer、Amazon EC2 インスタンスです。

注記

Global Accelerator に内部 Application Load Balancer や EC2 インスタンスのエンドポイントを追加する場合、プライベートサブネット内でターゲットとすることで、インターネットトラフィックが 仮想プライベートクラウド (VPC) 内のエンドポイントに直接流れるようにします。詳細については、「AWS Global Accelerator での安全な VPC 接続」を参照してください。

Global Accelerator がエラスティックネットワークインターフェイスを使用する方法

クライアント IP アドレスの保存が有効になっている Application Load Balancer または Network Load Balancer のエンドポイントを使用する場合、ロードバランサーが存在するサブネットの数によって、Global Accelerator がアカウント内に作成する Elastic Network Interface の数が決定されます。Global Accelerator は、Application Load Balancer または Network Load Balancer の 1 つ以上の Elastic Network Interface を持つサブネットごとに 1 つの Elastic Network Interface を作成し、アカウント内のアクセラレーターが先頭に立っています。

次の例は、この仕組みを示しています。

  • 例 1: Application Load Balancer にサブネット A とサブネット B に Elastic Network Interface があり、ロードバランサーをアクセラレータエンドポイントとして追加すると、Global Accelerator は各サブネットに 1 つずつ、2 つのエラスティックネットワークインターフェイスを作成します。

  • 例 2: 例えば、subnetA とsubnetB に Elastic Network Interface を持つ ALB1 を Accelerator1 に追加し、サブネット A とサブネット B に Elastic Network Interface を使用する ALB2 を Accelerator2 に追加すると、Global Accelerator は 2 つの Elastic Network Interface のみを作成します。1 つは subnetA に、もう 1 つは subnetB に作成します。

  • 例 3: subnetA と subnetB に Elastic Network Interface を持つ ALB1 を Accelerator1 に追加し、subnetA と subnetC に Elastic Network Interface を持つ ALB2 を Accelerator2 に追加すると、Global Accelerator は 3 つの Elastic Network Interface を作成します。1 つは subnetA、もう 1 つは subnetB、もう 1 つは subnetC です。subnetA の Elastic Network Interface は、Accelerator1 と Accelerator2 の両方のトラフィックを配信します。

例 3 に示すように、同じサブネット内のエンドポイントが複数のアクセラレーターの後ろに配置される場合、エラスティックネットワークインターフェイスはアクセラレーター間で再利用されます。

Global Accelerator が作成する論理的な Elastic Network Interface は、単一のホスト、スループットのボトルネック、または単一の障害点を表すものではありません。アベイラビリティーゾーンまたはサブネット内の単一の Elastic Network Interface として表示される他の AWS サービスと同様に、ネットワークアドレス変換 (NAT) ゲートウェイや Network Load Balancer などのサービスと同様に、Global Accelerator は水平方向にスケールされた高可用性サービスとして実装されます。

アクセラレーターのエンドポイントが使用するサブネットの数を評価し、Global Accelerator が作成する Elastic Network Interface の数を決定します。アクセラレーターを作成する前に、必要なエラスティックネットワークインターフェイスの IP アドレススペース容量が十分であることを確認してください。つまり、関連するサブネットごとに少なくとも 1 つの空き IP アドレスです。十分な空き IP アドレス領域がない場合は、Application Load Balancer または Network Load Balancer および関連する Global Accelerator の Elastic Network Interface に十分な空き IP アドレス領域を持つサブネットを作成または使用する必要があります。

Global Accelerator が、アカウントのアクセラレーターのエンドポイントで Elastic Network Interface が使用されていないと判断した場合、Global Accelerator はインターフェイスを削除します。

Global Accelerator によって作成されたセキュリティグループ

Global Accelerator およびセキュリティグループを使用する際は、以下の情報とベストプラクティスを確認してください。

  • Global Accelerator によって作成されたセキュリティグループは、維持する他のセキュリティグループのソースグループとして使用できますが、Global Accelerator は VPC で指定したターゲットにのみトラフィックを転送します。

  • Global Accelerator によって作成されたセキュリティグループルールを変更すると、エンドポイントが異常になる可能性があります。その場合は、「AWS サポート」にお問い合わせください。

  • Global Accelerator は、VPC ごとに特定のセキュリティグループを作成します。特定の VPC 内のエンドポイント用に作成された Elastic Network Interface はすべて、Elastic Network Interface がどのサブネットに関連付けられているかに関係なく、同じセキュリティグループを使用します。

重要

Global Accelerator は、Elastic Network Interface に関連付けられているセキュリティグループを作成します。システムはこれを行うことを妨げませんが、これらのグループのセキュリティグループ設定を編集しないでください。