# AWS IoT Core for LoRaWAN とインターフェース VPC エンドポイント (AWS PrivateLink)
<a name="vpc-interface-endpoints"></a>

AWS IoT Core for LoRaWAN への接続には、パブリックインターネット経由で接続するのではなく、Virtual Private Cloud (VPC) 内の[インターフェイス VPC エンドポイント (AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/privatelink/vpce-interface.html) 経由で直接接続することができます。VPC インターフェイスエンドポイントを使用すると、AWS ネットワーク内で VPC と AWS IoT Core for LoRaWAN 間の通信が完全かつ安全に実施されます。

AWS IoT Core for LoRaWAN は、AWS PrivateLink を活用する Amazon Virtual Private Cloud インターフェイスエンドポイントをサポートします。各 VPC エンドポイントは、VPC サブネット内の 1 つ以上の [Elastic Network Interface](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) とプライベート IP アドレスで表されます。詳細については、「Amazon VPC ユーザーガイド」の「[インターフェイス VPC エンドポイント (AWS PrivateLink)](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html)」を参照してください。

VPC とエンドポイントの詳細については、「[Amazon VPC とは何か](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html#what-is-privatelink)」を参照してください。

AWS PrivateLink の詳細については、「[AWS PrivateLink および VPC エンドポイント](https://docs.aws.amazon.com/vpc/latest/privatelink/endpoint-services-overview.html)」を参照してください。

## AWS IoT Wireless VPC エンドポイントに関する考慮事項
<a name="vpc-endpoint-considerations"></a>

AWS IoT Wireless 用のインターフェイス VPC エンドポイントを設定する前に、*Amazon VPC ユーザーガイド*の「[インターフェイスエンドポイントのプロパティと制限](https://docs.aws.amazon.com/vpc/latest/userguide/vpce-interface.html#vpce-interface-limitations)」を確認してください。

AWS IoT Wireless は、VPC からのすべての API アクションの呼び出しをサポートしています。AWS IoT Wireless では、VPC エンドポイントポリシーがサポートされません。デフォルトで、エンドポイント経由での AWS IoT Wireless への完全なアクセスが許可されます。詳細については、「*Amazon VPC ユーザーガイド*」の「[VPC エンドポイントでサービスへのアクセスを制御する](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-endpoints-access.html)」を参照してください。

## AWS IoT Core for LoRaWAN privatelink アーキテクチャ
<a name="vpc-endpoint-architecture"></a>

以下の図は、AWS IoT Core for LoRaWAN の privatelink アーキテクチャを示しています。このアーキテクチャは、自身の VPC、AWS IoT Core for LoRaWAN VPC、およびオンプレミス環境の間で AWS PrivateLink インターフェイスエンドポイントを共有するために Transit Gateway と Route 53 リゾルバーを使用します。より詳しいアーキテクチャ図は、VPC インターフェイスエンドポイントへの接続をセットアップするときに提供されます。

![\[AWS PrivateLink を使用して AWS IoT Core for LoRaWAN エンドポイントに接続する方法を示す画像。\]](http://docs.aws.amazon.com/ja_jp/iot-wireless/latest/developerguide/images/iot-lorawan-privatelink-architecture.png)


## AWS IoT Core for LoRaWAN のエンドポイント
<a name="vpc-lorawan-endpoints"></a>

AWS IoT Core for LoRaWAN には、3 つのパブリックエンドポイントがあります。各パブリックエンドポイントには、対応する VPC インターフェイスエンドポイントがあります。パブリックエンドポイントは、コントロールプレーンとデータプレーンエンドポイントに分類できます。これらのエンドポイントについては、「[AWS IoT Core for LoRaWAN API エンドポイント](https://docs.aws.amazon.com/general/latest/gr/iot-core.html#iot-wireless_region)」を参照してください。
+ 

**Control Plane API エンドポイント**  
 コントロールプレーン API エンドポイントを使用して AWS IoT Wireless API とやり取りすることができます。これらのエンドポイントは、AWS PrivateLink を使用することによって、Amazon VPC 内でホストされているクライアントからアクセスできます。
+ 

**Data Plane API エンドポイント**  
データプレーン API エンドポイントは、AWS IoT Core for LoRaWAN の LoRaWAN Network Server (LNS) エンドポイントおよび Configuration and Update Server (CUPS) エンドポイントとやり取りするために使用できる LNS エンドポイント と CUPS エンドポイントです。これらのエンドポイントは、Site-to-Site VPN または AWS Direct Connect を使用することによって、オンプレミスの LoRa ゲートウェイからアクセスできます。これらのエンドポイントは、ゲートウェイを AWS IoT Core for LoRaWAN にオンボードしているときに取得できます。詳細については、「[ゲートウェイを AWS IoT Core for LoRaWAN に追加する](lorawan-onboard-gateway-add.md)」を参照してください。

**Topics**
+ [AWS IoT Wireless VPC エンドポイントに関する考慮事項](#vpc-endpoint-considerations)
+ [AWS IoT Core for LoRaWAN privatelink アーキテクチャ](#vpc-endpoint-architecture)
+ [AWS IoT Core for LoRaWAN のエンドポイント](#vpc-lorawan-endpoints)
+ [AWS IoT Core for LoRaWAN コントロールプレーン API エンドポイントをオンボードする](lorawan-onboard-control-endpoint.md)
+ [AWS IoT Core for LoRaWAN データプレーン API エンドポイントをオンボードする](onboard-lns-cups-endpoints.md)

# AWS IoT Core for LoRaWAN コントロールプレーン API エンドポイントをオンボードする
<a name="lorawan-onboard-control-endpoint"></a>

AWS IoT Core for LoRaWAN コントロールプレーン API エンドポイントを使用して AWS IoT Wireless API とやり取りすることができます。例えば、このエンドポイントを使用して [SendDataToWirelessDevice](https://docs.aws.amazon.com/iot-wireless/2020-11-22/apireference/API_SendDataToWirelessDevice.html) API を実行し、AWS IoT から LoRaWAN デバイスにデータを送信できます。詳細については、「[AWS IoT Core for LoRaWAN の Control Plane API エンドポイント](https://docs.aws.amazon.com/general/latest/gr/iot-core.html#iot-core.html#iot-wireless-control-plane-endpoints)」を参照してください。

AWS PrivateLink を活用するコントロールプレーンエンドポイントにアクセスするには、Amazon VPC 内でホストされているクライアントが使用できます。これらのエンドポイントを使用して、パブリックインターネット経由で接続するのではなく、Virtual Private Cloud (VPC) 内のインターフェイスエンドポイント経由で AWS IoT Wireless API に接続します。

**Topics**
+ [Amazon VPC とサブネットを作成する](#create-vpc)
+ [サブネット内でAmazon EC2 インスタンスを起動します。](#launch-ec2-instance)
+ [Amazon VPC インターフェイスエンドポイントを作成します](#create-vpc-endpoint)
+ [SMTP インターフェイスエンドポイントへの接続をテストします](#connect-vpc-endpoint)

## Amazon VPC とサブネットを作成する
<a name="create-vpc"></a>

インターフェイスエンドポイントに接続する前に、VPC とサブネットを作成する必要があります。次に、サブネットで EC2 インスタンスを起動します。これは、インターフェイスエンドポイントに接続するために使用できます。

VPC を作成するには：

1. Amazon VPC コンソールの [[VPC](https://console.aws.amazon.com/vpc/home#/vpcs)] ページに移動して、[**Create VPC**] (VPC を作成) をクリックします。

1. [**Create VPC**] (VPC を作成) ページで以下を実行します。
   + [**VPC Name tag - optional**] (名前タグ – オプション) に名前を入力します (例、**VPC-A** ）。
   + [IPv4 CIDR block] (IPv4 CIDR ブロック) に VPC の IPv4 アドレス範囲を入力します (例、**10.100.0.0/16** )。

1. 他のフィールドはデフォルト値のままにしておき、[**Create VPC**] (VPC を作成) を選びます。

サブネットを作成するには：

1. Amazon VPC コンソールの [[Subnets](https://console.aws.amazon.com/vpc/home#/subnets)] (サブネット) ページに移動し、[**Create subnet**] (サブネットを作成) をクリックします。

1. [**Create subnet group**] (サブネットグループを作成) ページで：
   + [**VPC ID**] には、先ほど作成した VPC を選択します (例、`VPC-A` )。
   + [**Subnet name**] (サブネット名) に名前を入力します (例、**Private subnet** )。
   + サブネットの [**Availability Zone**] (アベイラビリティーゾーン) を選択します。
   + [**IPv4 CIDR block**] (IPv4 CIDR ブロック) にサブネットの IP アドレスブロックを CIDR 形式で入力します (例、**10.100.0.0/24** )。

1. [**Create subnet**] (サブネットを作成) をクリックしてサブネットを作成し、VPC に追加します。

詳細については、[[Work with VPC and subnets](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-vpcs.html)](VPC とサブネットの使用)を参照してください。

## サブネット内でAmazon EC2 インスタンスを起動します。
<a name="launch-ec2-instance"></a>

EC2 インスタンスを起動するには：

1. [Amazon EC2](https://console.aws.amazon.com/ec2/home#/) コンソールに移動して、[**Launch Instance**] (インスタンスを起動) をクリックします。

1. AMI には [**Amazon Linux 2 AMI (HVM), SSD Volume Type**] を選択して、次に [**t2 micro**] インスタンスタイプを選択します。インスタンスの詳細を設定するために、[**Next**] (次のステップ) を選択します。

1. [**Configure Instance Details**] (インスタンスの詳細の設定) ページで：
   + [**Network**] (ネットワーク) には、先ほど作成した VPC を選択します (例、`VPC-A` )。
   + **Subnet**] (サブネット) には、先ほど作成したサブネットを選択します (例、**Private subnet**)。
   + **[IAM role]** (IAM ロール) にはロール **AWSIoTWirelessFullAccess** を選択して、AWS IoT Core for LoRaWAN に完全なアクセスポリシーを付与します。詳細については、「[`AWSIoTWirelessFullAccess` ポリシーの概要](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSIoTWirelessFullAccess$serviceLevelSummary)」を参照してください。
   + [**Assume Private IP**] (プライベート IP の継承) には、**10.100.0.42** などの IP アドレスを使用します。

1. [**Next: Add Storage**] (次のステップ: ストレージの追加)] を選んでから、[**Next: Add Tags**] (次のステップ: タグの追加）を選びます。オプションで、EC2 インスタンスに関連付ける任意のタグを追加できます。[**Next: Configure Security Group**] (次に：セキュリティグループを設定) を選択します。

1. [**Configure Security Group**] (セキュリティグループの設定) ページで、以下を許可するセキュリティグループを設定します。
   + `10.200.0.0/16` に設定した [Source] (ソース) に対して [**All TCP**] (すべての TCP) を開放します
   + `10.200.0.0/16` に設定した [Source] (ソース) に対して [**All ICMP - IPV4**] (すべての ICMP-IPV4) を開放します

1. [**Review and Launch**] (確認と作成) をクリックしてインスタンスの詳細を確認し、EC2 インスタンスを起動します。

詳細については、「[Amazon EC2 Linux インスタンスの開始方法](https://docs.aws.amazon.com/AWSEC2/latest/userguide/EC2_GetStarted.html)」を参照してください。

## Amazon VPC インターフェイスエンドポイントを作成します
<a name="create-vpc-endpoint"></a>

VPC 用の VPC エンドポイントが作成できます。作成後は、EC2 API がこのエンドポイントにアクセスすることができます。エンドポイントを作成するには：

1. [VPC](https://console.aws.amazon.com/vpc/home#/endpoints) の [**Endopoints**] (エンドポイント) コンソールに移動して、[**Create Endpoint**] (エンドポイントの作成) をクリックします。

1. [**Create Endpoint**] (エンドポイントの作成) ページで、以下の情報を指定します。
   + **[Service category]** (サービスカテゴリ) には **[AWS のサービスs]** を選択します。
   + [**Service Name**] (サービス名) については、キーワード **iotwireless** を入力して検索します。表示された `iotwireless` サービスのリストで、お使いのリージョンのコントロールプレーン API エンドポイントを選択します。エンドポイントは `com.amazonaws.region.iotwireless.api` の形式です。
   + [**VPC**] と [**Subnets**] (サブネット) には、エンドポイントを作成する VPC と、エンドポイントネットワークを作成するアベイラビリティーゾーン (AZ) を選択します。
**注記**  
`iotwireless` サービスは、一部のアベイラビリティーゾーンをサポートしていない場合があります。
   + [**Enable DNS name**] (DNS 名を有効にする) には、[**Enable for this endpoint**] (このエンドポイントで有効にする) を選択します。

     このオプションを選択すると、後で接続をテストするために使用する API がプライベートリンクのエンドポイントを通過するように、DNS が自動的に解決され、Amazon Route 53 Public Data Planeにルートが設定されます。
   + [**Security group**] (セキュリティグループ) には、エンドポイントネットワークインターフェイスに関連付けるセキュリティグループを選択します。
   + オプションで、タグを追加または削除できます。タグとは名前と値のペアで、エンドポイントに関連付けるために使用します。

1. **[Create Endpoint]** (エンドポイントの作成) をクリックして、VPC エンドポイントを作成します。

## SMTP インターフェイスエンドポイントへの接続をテストします
<a name="connect-vpc-endpoint"></a>

SSH を使用して Amazon EC2 インスタンスにアクセスしたから、AWS CLIを使用してプライベートリンクインターフェイスエンドポイントに接続する事ができます。

インターフェイスエンドポイントに接続する前に、「[Linux での AWS CLI バージョン 2 のインストール、更新、アンインストール](https://docs.aws.amazon.com/cli/latest/userguide/install-cliv2-linux.html)」で説明されている手順に従って、最新の AWS CLI バージョンをダウンロードしてください。

以下の例は、CLI を使用してインターフェイスエンドポイントへの接続をテストする方法を示しています。

```
aws iotwireless create-service-profile \ 
    --endpoint-url https://api.iotwireless.region.amazonaws.com  \ 
    --name='test-privatelink'
```

以下の例は、コマンドを実行する例を示しています。

```
Response:
{
 "Arn": "arn:aws:iotwireless:region:acct_number:ServiceProfile/1a2345ba-4c5d-67b0-ab67-e0c8342f2857",
 "Id": "1a2345ba-4c5d-67b0-ab67-e0c8342f2857"
}
```

同様に、次のコマンドを実行して、サービスプロファイル情報を取得したり、すべてのサービスプロファイルを一覧表示したりできます。

```
aws iotwireless get-service-profile \ 
    --endpoint-url https://api.iotwireless.region.amazonaws.com  
    --id="1a2345ba-4c5d-67b0-ab67-e0c8342f2857"
```

以下は、list-device-profiles コマンドの例です。

```
aws iotwireless list-device-profiles \ 
    --endpoint-url https://api.iotwireless.region.amazonaws.com
```

# AWS IoT Core for LoRaWAN データプレーン API エンドポイントをオンボードする
<a name="onboard-lns-cups-endpoints"></a>

AWS IoT Core for LoRaWAN データプレーンのエンドポイントは、次のエンドポイントで構成されます。これらのエンドポイントは、ゲートウェイを AWS IoT Core for LoRaWAN に追加するときに取得します。詳細については、「[ゲートウェイを AWS IoT Core for LoRaWAN に追加する](lorawan-onboard-gateway-add.md)」を参照してください。
+ 

**LoRaWAN Network Server (LNS)エンドポイント**  
LNS エンドポイントは`account-specific-prefix.lns.lorawan.region.amazonaws.com`形式です。このエンドポイントを使用して、LoRaアップリンクおよびダウンリンクメッセージを交換するための接続を確立できます。
+ 

**設定および更新サーバー(CUPS)エンドポイント**  
CUPS エンドポイントは`account-specific-prefix.cups.lorawan.region.amazonaws.com`形式です。このエンドポイントは、認証情報管理、リモート設定、ゲートウェイのファームウェア更新に使用できます。

詳細については、「[CUPS および LNS プロトコルの使用](lorawan-manage-gateways.md#lorawan-cups-lns-protocols)」を参照してください。

AWS アカウント とリージョンの Data Plane API エンドポイントを検索するには、ここに記載されている [https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iotwireless/get-service-endpoint.html](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/iotwireless/get-service-endpoint.html) CLI コマンド、または [https://docs.aws.amazon.com/iotwireless/latest/apireference/API_GetServiceEndpoint.html](https://docs.aws.amazon.com/iotwireless/latest/apireference/API_GetServiceEndpoint.html) REST API を使用します。詳細については、「[AWS IoT Core for LoRaWAN の Data Plane API エンドポイント](https://docs.aws.amazon.com/general/latest/gr/iot-core.html#iot-core.html#iot-wireless-data-plane-endpoints)」を参照してください。

オンプレミスの LoRaWAN ゲートウェイを接続して、AWS IoT Core for LoRaWAN エンドポイントと通信できます。この接続を確立するには、まず VPN 接続を使用して、オンプレミスのゲートウェイを VPC 内の AWS アカウントに接続します。その後、AWS IoT Core for LoRaWAN VPC 内で、privatelink を活用するデータプレーンインターフェイスエンドポイントと通信できるようになります。

**Topics**
+ [VPC インターフェイスエンドポイントとプライベートホストゾーンを作成します](create-vpc-lns-cups.md)
+ [VPNを使用して、LoRaゲートウェイをAWS アカウントに接続します](lorawan-vpc-vpn-connection.md)

# VPC インターフェイスエンドポイントとプライベートホストゾーンを作成します
<a name="create-vpc-lns-cups"></a>

AWS IoT Core for LoRaWAN には、Configuration and Update Server (CUPS) エンドポイントと LoRaWAN Network Server (LNS) エンドポイントという 2 つのデータプレーンエンドポイントがあります。両方のエンドポイントへのプライベートリンク接続を確立するセットアッププロセスは同じであるため、例として、LNS エンドポイントを使用できます。

データプレーンエンドポイントの場合、LoRa ゲートウェイはまず Amazon VPC 内の AWS アカウント に接続し、次に AWS IoT Core for LoRaWAN VPC 内の VPC エンドポイントに接続します。

エンドポイントに接続する場合、DNS 名は 1 つの VPC 内で解決できますが、複数の VPC 間で解決することはできません。エンドポイントの作成時にプライベート DNS を無効にするには、[**Enable DNS name**] (DNS 名を有効にする) 設定を無効にします。Route 53 が VPC の DNS クエリに応答する方法に関する情報を提供するには、プライベートホストゾーンを使用できます。VPC をオンプレミス環境と共有するには、Route 53 リゾルバーを使用してハイブリッド DNS を円滑に稼働させることができます。

**Topics**
+ [Amazon VPC とサブネットを作成します](#lns-create-vpc)
+ [Amazon VPC インターフェイスエンドポイントを作成します](#lns-create-vpc-endpoint)
+ [プライベートホストゾーンを設定します](#create-phz-lns)
+ [Route 53 インバウンドリゾルバを設定します](#configure-route53-resolver)
+ [次のステップ](#lns-cups-next-steps)

## Amazon VPC とサブネットを作成します
<a name="lns-create-vpc"></a>

コントロールプレーンエンドポイントのオンボーディング時に作成した Amazon VPC とサブネットを再利用できます。詳細については、[Amazon VPC とサブネットを作成する](lorawan-onboard-control-endpoint.md#create-vpc) を参照してください。

## Amazon VPC インターフェイスエンドポイントを作成します
<a name="lns-create-vpc-endpoint"></a>

VPC 用に VPC エンドポイントを作成できます。これは、コントロールプレーンエンドポイント用にエンドポイントを作成する方法と似ています。

1. [VPC](https://console.aws.amazon.com/vpc/home#/endpoints) の [**Endopoints**] (エンドポイント) コンソールに移動して、[**Create Endpoint**] (エンドポイントの作成) をクリックします。

1. [**Create Endpoint**] (エンドポイントの作成) ページで、以下の情報を指定します。
   + **[Service category]** (サービスカテゴリ) には **[AWS のサービスs]** を選択します。
   + **Service Name**] (サービス名) については、キーワード **lns**. を入力して検索します。表示された `lns` サービスのリストで、お使いのリージョンの LNS データプレーン API エンドポイントを選択します。エンドポイントは `com.amazonaws.region.lorawan.lns` の形式です。
**注記**  
CUPS エンドポイントでこの手順を実行している場合は、`cups`を検索します。エンドポイントは `com.amazonaws.region.lorawan.cups` の形式です。
   + [**VPC**] と [**Subnets**] (サブネット) には、エンドポイントを作成する VPC と、エンドポイントネットワークを作成するアベイラビリティーゾーン (AZ) を選択します。
**注記**  
`iotwireless`サービスは、一部のアベイラビリティーゾーンをサポートしていない場合があります。
   + [**Enable DNS name**] (DNS 名を有効にする) で、[**Enable for this endpoint**] (このエンドポイントで有効にする) が選択されていないことを確認してください。

     このオプションを選択しない事で、VPC エンドポイントのプライベート DNS を無効にして、代わりにプライベートホストゾーンを使用する事ができます。
   + [**Security group**] (セキュリティグループ) には、エンドポイントネットワークインターフェイスに関連付けるセキュリティグループを選択します。
   + オプションで、タグを追加または削除できます。タグとは名前と値のペアで、エンドポイントに関連付けるために使用します。

1. **[Create Endpoint]** (エンドポイントの作成) をクリックして、VPC エンドポイントを作成します。

## プライベートホストゾーンを設定します
<a name="create-phz-lns"></a>

プライベートリンクエンドポイントを作成した後、**詳細**タブに、DNS 名のリストが表示されます。これらの DNS 名のいずれかを使用して、プライベートホストゾーンを設定できます。DNS名は `vpce-xxxx.lns.lorawan.region.vpce.amazonaws.com` 形式になります。

**プライベートホストゾーンを作成します**  
プライベートホストゾーンを作成するには

1. [Route 53](https://console.aws.amazon.com/route53/v2/hostedzones#/) の [**Hosted zones**] (ホストゾーン) コンソールに移動して、[**Create hosted zone**] (ホストゾーンの作成) をクリックします。

1. [**Create hosted zone**] (ホストゾーンの作成) ページで、以下の情報を指定します。
   + [**Domain name**] (ドメイン名) には、LNS エンドポイントの完全なサービス名である **lns.lorawan.region.amazonaws.com** を入力します。
**注記**  
CUPS エンドポイントでこの手順を実行している場合は、**cups.lorawan.region.amazonaws.com**を入力します。
   + [**Type**] (タイプ) には、[**Private Hosted Zone**] (プライベートホストゾーン) を選択します。
   + 必要に応じて、タグを追加または削除してホストゾーンに関連付けることができます。

1. プライベートホストゾーンを作成するには、**ホストゾーンの作成**を選んでください。

詳細については、「[プライベートホストゾーンの作成](https://docs.aws.amazon.com/Route53/latest/DeveloperGuide/hosted-zone-private-creating.html)」を参照してください。

プライベートホストゾーンを作成したら、そのドメインにトラフィックをルーティングする方法を DNS に指示するレコードを作成できます。

**レコードを作成する**  
プライベートホストゾーンを作成したら、そのドメインにトラフィックをルーティングする方法を DNS に指示するレコードを作成できます。レコードを作成するには：

1. 表示されるホストゾーンのリストで、前に作成したプライベートホストゾーンを選び、**レコードを作成する**を選びます。

1. ウィザードを使用してレコードを作成します。コンソールに [**Quick create**] (クイック作成) 方式が表示された場合は、[**Switch to wizard**] (ウィザードに切り替える) をクリックします。

1. [**Routing policy**] (ルーティングポリシー) に [**Simple Routing**] (シンプルルーティング) を選択し、[**Next**] (次へ) を選びます。

1. [**Configure records**] (レコードを設定)ページで、[**Define simple record**] (シンプルなレコードを定義) を選択します。

1. [**Define simple record**] (シンプルなレコードを定義) ページで
   + [**Record name**] (レコード名) には AWS アカウント番号のエイリアスを入力します。この値は、ゲートウェイのオンボーディング時に取得、または [https://docs.aws.amazon.com/iotwireless/latest/apireference/API_GetServiceEndpoint.html](https://docs.aws.amazon.com/iotwireless/latest/apireference/API_GetServiceEndpoint.html) REST API を使用して取得します。
   + [**Record type**] (レコードタイプ) では、値を `A - Routes traffic to an IPv4 address and some AWS resources` のままにしておきます。
   + [**Value/Route traffic to (値/トラフィックのルーティング先)**] には、[**Alias to VPC endpoint ( VPCエンドポイントへのエイリアス)**] を選択します。次に、お使いの [**Region**] (地域）を選択し、表示されたエンドポイントのリストから、「[Amazon VPC インターフェイスエンドポイントを作成します](#lns-create-vpc-endpoint)」の説明に従って先ほど作成したエンドポイントを選択します。

1. [**Define simple record**] (シンプルなレコードを定義) をクリックしてレコードを作成します。

## Route 53 インバウンドリゾルバを設定します
<a name="configure-route53-resolver"></a>

VPC エンドポイントをオンプレミス環境と共有するには、Route 53 リゾルバーを使用してハイブリッド DNS を円滑に稼働させる事ができます。インバウンドリゾルバーは、オンプレミスネットワークからデータプレーンエンドポイントへのトラフィックを、パブリックインターネットを経由せずにルーティングすることを可能にします。サービスのプライベート IP アドレスの値を返すには、VPC エンドポイントと同じ VPC 内に Route 53 リゾルバーを作成します。

インバウンドリゾルバーを作成する場合、VPC と以前にアベイラビリティーゾーン (AZ) で作成したサブネットのみを指定する必要があります。Route 53 リゾルバはこの情報を使用して、各サブネットにトラフィックをルーティングするための IP アドレスを自動的に割り当てます。

インバウンドリゾルバーを作成するには：

1. [Route 53](https://console.aws.amazon.com/route53/v2/inbound-endpoints#/) の [**Inbound endpoints**] (インバウンドエンドポイント) コンソールに移動して、[**Create inbound endpoint**] (インバウンドエンドポイントの作成) をクリックします。
**注記**  
エンドポイントとプライベートホストゾーンの作成時に使用したものと同じ AWS リージョンを使用していることを確認してください。

1. [**Create inbound endpoint**] (インバウンドエンドポイントの作成) ページで、以下の情報を指定します。
   + [**Endpoint name**] (エンドポイント名) に名前を入力します (例、**VPC\$1A\$1Test** )。
   + [**VPC in the region**] (該当リージョンの VPC) には、VPC エンドポイントの作成時に使用したものと同じ VPC を選択します。
   + [**Security group for this endpoint**] (このエンドポイントのセキュリティグループ) を設定して、オンプレミスネットワークからの受信トラフィックを許可します。
   + IP アドレスのために、[**Use an IP address that is selected automatically.**] (自動的に選択された IP アドレスを使用します。)を選びます。

1. [**Submit**] (送信) をクリックして、インバウンドリゾルバーを作成します。

この例では、トラフィックをルーティングするためのインバウンド Route 53 リゾルバーに IP アドレス `10.100.0.145` と `10.100.192.10` が割り当てられたとしましょう。

## 次のステップ
<a name="lns-cups-next-steps"></a>

DNS エントリのトラフィックをルーティングするプライベートホストゾーンとインバウンドリゾルバーを作成しました。Site-to-Site VPN エンドポイントまたはClient VPN エンドポイントのいずれかが使用できるようになりました。詳細については、「[VPNを使用して、LoRaゲートウェイをAWS アカウントに接続します](lorawan-vpc-vpn-connection.md)」を参照してください。

# VPNを使用して、LoRaゲートウェイをAWS アカウントに接続します
<a name="lorawan-vpc-vpn-connection"></a>

オンプレミスのゲートウェイを AWS アカウントに接続するには、Site-to-Site VPN 接続またはクライアント VPN エンドポイントのどちらかを使用できます。

オンプレミスゲートウェイに接続する前に、VPC エンドポイントを作成し、ゲートウェイからのトラフィックがパブリックインターネットを経由しないように、プライベートホストゾーンとインバウンドリゾルバーを設定しておく必要があります。詳細については、「[VPC インターフェイスエンドポイントとプライベートホストゾーンを作成します](create-vpc-lns-cups.md)」を参照してください。

## Site-to-Site VPN エンドポイント
<a name="vpc-site-vpn"></a>

ゲートウェイハードウェアがない、または別の AWS アカウントを使用して VPN 接続をテストしたい場合は、Site-to-Site VPN 接続を使用できます。Site-to-Site VPN を使用して、同じ AWS アカウントから、または異なる AWS リージョンで使用している別の AWS アカウントから VPC エンドポイントに接続できます。

**注記**  
ゲートウェイハードウェアがあり、VPN 接続を設定したい場合は、代わりにClient VPN を使用することをお勧めします。手順については、[クライアント VPN エンドポイント](#vpc-client-vpn) を参照してください。

Site-to-Site VPN を設定するには

1. サイト内で、接続のセットアップ元になる別の VPC を作成します。`VPC-A`には、先程作成した VPC を再利用できます。別の VPC を作成するには (例、`VPC-B`)、以前に作成した VPC の CIDR ブロックと重複しない CIDR ブロックを使用します。

   VPC のセットアップについては、[AWS setup Site-to-Site VPN connection](samples/Setup_Site_to_Site_VPN.zip) で説明されている手順に従ってください。
**注記**  
このドキュメントで説明されているSite-to-Site VPN VPN 方式では、VPN 接続に OpenSwan を使用しており、これは１つのVPNトンネルしかサポートしません。VPN 用に別の商用ソフトウェアを使用している場合は、サイト間の 2 つのトンネルを設定できる場合があります。

1. VPN 接続をセットアップしたら、AWS アカウントからのインバウンドリゾルバーの IP アドレスを追加して、`/etc/resolv.conf` ファイルを更新します。この IP アドレスは、ネームサーバーに使用します。この情報の入手方法については、「[Route 53 インバウンドリゾルバを設定します](create-vpc-lns-cups.md#configure-route53-resolver)」を参照してください。この例には、Route 53 リゾルバーを作成したときに割り当てられた IP アドレス `10.100.0.145` を使用できます。

   ```
   options timeout:2 attempts:5
   ; generated by /usr/sbin/dhclient-script
   search region.compute.internal
   nameserver 10.100.0.145
   ```

1. `nslookup` コマンドを使用して、VPN 接続がパブリックインターネットを経由する代わりに AWS PrivateLink エンドポイントを使用しているかどうかをテストできるようになりました。以下の例は、コマンドを実行する例を示しています。

   ```
   nslookup account-specific-prefix.lns.lorawan.region.amazonaws.com
   ```

   以下は、コマンド実行後の出力例です。これには、AWS PrivateLink LNS エンドポイントに対して接続が確立されたことを示すプライベート IP アドレスが表示されています。

   ```
   Server: 10.100.0.145
   Address: 10.100.0.145
   
   Non-authoritative answer:
   Name: https://xxxxx.lns.lorawan.region.amazonaws.com
   Address: 10.100.0.204
   ```

Site-to-Site VPN 接続の使用については、「[Site-to-Site VPN の仕組み](https://docs.aws.amazon.com/vpn/latest/s2svpn/how_it_works.html)」を参照してください。

## クライアント VPN エンドポイント
<a name="vpc-client-vpn"></a>

AWS Client VPN は、AWS リソースとオンプレミスネットワーク内のリソースに安全にアクセスするための、クライアントベースのマネージド VPN サービスです。次に、クライアント VPN サービスのアーキテクチャを示します。

![\[AWS Client VPN を使用してオンプレミスの LoRa ゲートウェイに接続する方法を示す画像。\]](http://docs.aws.amazon.com/ja_jp/iot-wireless/latest/developerguide/images/lorawan-privatelink-client-vpn.png)


Client VPN エンドポイントへの VPN 接続を確立するには

1. 「[AWS Client VPN の開始方法](https://docs.aws.amazon.com/vpn/latest/clientvpn-admin/cvpn-getting-started.html)」で説明されている手順に従って、クライアント VPN エンドポイントを作成します。

1. オンプレミスネットワーク (例、Wi-Fi ルーター) に、そのルーターのアクセス URL (例、`192.168.1.1`) を使用してログインし、そしてルート名とパスワードを見つけます。

1. ゲートウェイのドキュメントにある指示に従って LoRaWAN ゲートウェイをセットアップしてから、ゲートウェイを AWS IoT Core for LoRaWAN に追加します。ゲートウェイを追加する方法については、「[ゲートウェイを AWS IoT Core for LoRaWAN にオンボードする](lorawan-onboard-gateways.md)」を参照してください。

1. ゲートウェイのファームウェアが、最新の物であるかどうかを確認します。ファームウェアが古くなっている場合は、オンプレミスネットワークで提供されている指示に従って、ゲートウェイのファームウェアを更新できます。詳細については、「[AWS IoT Core for LoRaWAN で CUPS サービスを使用してゲートウェイファームウェアを更新する](lorawan-update-firmware.md)」を参照してください。

1. OpenVPN が有効になったかどうかを確認します。有効になっている場合は、次の手順に進み、オンプレミスネットワーク内で OpenVPN クライアントを設定します。有効になっていない場合は、「[Guide to install OpenVPN for OpenWrt](https://www.ovpn.com/en/guides/openwrt)」 (OpenWrt 用に OpenVPN をインストールするガイド) の手順に従ってください。
**注記**  
この例では、OpenVPN を使用します。クライアント VPN 接続のセットアップには、Site-to-Site VPN または AWS Direct Connect などの他の VPN クライアントを使用できます。

1. クライアント設定からの情報と、[Luci を使用した OpenVPN クライアント](https://openwrt.org/docs/guide-user/services/vpn/openvpn/client-luci)の使用方法に基づいて、OpenVPN クライアントを設定します。

1. オンプレミスネットワークに SSH 接続し、AWS アカウント内のインバウンドリゾルバーの IP アドレス (`10.100.0.145`) を追加して `/etc/resolv.conf` ファイルを更新します。

1. ゲートウェイトラフィックがAWS PrivateLinkを使用してエンドポイントに接続する場合は、ゲートウェイの最初の DNS エントリをインバウンドリゾルバーの IP アドレスに置き換えます。

Site-to-Site VPN 接続の使用については、「[クライアント VPN の開始方法](https://docs.aws.amazon.com/vpn/latest/clientvpn-user/user-getting-started.html)」を参照してください。

## LNS および CUPS VPC エンドポイントに接続する
<a name="vpc-vpn-connect"></a>

以下に、LNS および CUPS VPC エンドポイントへの接続をテストする方法を示します。

**CUPS エンドポイントのテスト**  
LoRa ゲートウェイから CUPS エンドポイントへの AWS PrivateLink 接続をテストするには、以下のコマンドを実行します。

```
curl -k -v -X POST https://xxxx.cups.region.iotwireless.iot:443/update-info 
     --cacert cups.trust --cert cups.crt --key cups.key --header "Content-Type: application/json" 
     --data '{ 
              "router": "xxxxxxxxxxxxx", 
              "cupsUri": "https://xxxx.cups.lorawan.region.amazonaws.com:443",
              "cupsCredCrc":1234, "tcCredCrc":552384314
             }' 
      —output cups.out
```

**LNS エンドポイントのテスト**  
LNSエンドポイントをテストするには、まずワイヤレスゲートウェイで動作するLoRaWANデバイスをプロビジョニングします。その後、デバイスを追加し、*join*プロシージャーを使用して、アップリンクメッセージの送信を開始できます。