Amazon で MemoryDB クラスターにアクセスするためのアクセスパターン VPC - Amazon MemoryDB

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon で MemoryDB クラスターにアクセスするためのアクセスパターン VPC

MemoryDB は、Amazon 内のクラスターにアクセスするための以下のシナリオをサポートしていますVPC。

MemoryDB クラスターと Amazon EC2 インスタンスが同じ Amazon にある場合の MemoryDB クラスターへのアクセス VPC

最も一般的なユースケースは、EC2インスタンスにデプロイされたアプリケーションが同じ のクラスターに接続する必要がある場合ですVPC。

同じ のEC2インスタンスとクラスター間のアクセスを管理する最も簡単な方法はVPC、以下を実行することです。

  1. クラスターVPCのセキュリティグループを作成します。このセキュリティグループを使用して、クラスターへのアクセスを制限できます。例えば、このセキュリティグループのカスタムルールを作成して、クラスターの作成時にクラスターに割り当てたポートと、クラスターTCPへのアクセスに使用する IP アドレスを使用してアクセスを許可できます。

    MemoryDB クラスターのデフォルトのポートは 6379 です。

  2. EC2 インスタンス (ウェブサーバーとアプリケーションサーバー) VPC のセキュリティグループを作成します。このセキュリティグループは、必要に応じて、 VPCのルーティングテーブルを介してインターネットからEC2インスタンスへのアクセスを許可できます。例えば、このセキュリティグループのルールを設定して、ポート 22 経由でEC2インスタンスTCPへのアクセスを許可できます。

  3. EC2 インスタンス用に作成したセキュリティグループからの接続を許可するカスタムルールをクラスターのセキュリティグループに作成します。これは、セキュリティグループのメンバーにクラスターへのアクセスを許可します。

別のVPCセキュリティグループからの接続を許可するルールをセキュリティグループに作成するには
  1. AWS マネジメントコンソールにサインインし、https://console.aws.amazon.com/vpc で Amazon VPCコンソールを開きます。

  2. 左のナビゲーションペインで セキュリティグループを選択します。

  3. クラスターに使用するセキュリティグループを選択または作成します。インバウンドルール で、インバウンドルールの編集 を選択し、ルールの追加 を選択します。このセキュリティグループは、他のセキュリティグループのメンバーへのアクセスを許可します。

  4. タイプ からカスタムTCPルール を選択します。

    1. Port Range ポートには、クラスター作成時に使用したポートを指定します。

      MemoryDB クラスターのデフォルトのポートは 6379 です。

    2. ソース ボックスに、セキュリティグループの ID の入力を開始します。リストから、Amazon EC2インスタンスに使用するセキュリティグループを選択します。

  5. 終了したら、保存 を選択します。

と Amazon EC2 インスタンスが異なる Amazon にある場合の MemoryDB クラスターへのアクセス VPCs

クラスターがアクセスに使用するEC2インスタンスVPCとは異なる にある場合、クラスターにアクセスする方法はいくつかあります。クラスターとEC2インスタンスが異なるVPCsが、同じリージョンにある場合は、VPCピアリングを使用できます。クラスターとEC2インスタンスが異なるリージョンにある場合は、リージョン間のVPN接続を作成できます。

 

MemoryDB クラスターと Amazon EC2 インスタンスが同じリージョンVPCsの異なる Amazon にある場合の MemoryDB クラスターへのアクセス

同じリージョンVPC内の別の Amazon の Amazon EC2インスタンスによってアクセスされるクラスター - VPC ピアリング接続

VPC ピアリング接続は、プライベート IP アドレスを使用してトラフィックをルーティングVPCsできる 2 つの間のネットワーク接続です。どちらのインスタンスも、同じネットワーク内にあるかのように相互に通信VPCできます。独自の Amazon 間VPCs、または 1 つのリージョン内の別の AWS アカウントの Amazon VPC との間でVPCピアリング接続を作成できます。Amazon VPCピアリングの詳細については、VPCドキュメント を参照してください。

ピアリングVPCを介して別の Amazon のクラスターにアクセスするには
  1. 2 つの IP 範囲が重複VPCsしていないことを確認してください。重複していないと、ピアリングできません。

  2. 2 つの をピアリングしますVPCs。詳細については、「Amazon VPC ピアリング接続の作成と承認」を参照してください。

  3. ルーティングテーブルを更新します。詳細については、VPC「ピアリング接続のルートテーブルの更新」を参照してください。

  4. MemoryDB クラスターのセキュリティグループを変更して、ピアリングされた のアプリケーションセキュリティグループからのインバウンド接続を許可しますVPC。詳細については、「参照ピアVPCセキュリティグループ」を参照してください。

ピア接続によりクラスターにアクセスすると、追加のデータ転送コストが発生します。

 

トランジット・ゲートウェイ の使用

トランジットゲートウェイを使用すると、同じ AWS リージョンで VPCs と VPN の接続をアタッチし、それらの間でトラフィックをルーティングできます。トランジットゲートウェイは AWS アカウント間で機能し、 AWS Resource Access Manager を使用してトランジットゲートウェイを他のアカウントと共有できます。トランジットゲートウェイを別の AWS アカウントと共有した後、アカウント所有者はトランジットゲートウェイVPCsにそれらをアタッチできます。どちらのアカウントのユーザーも、アタッチメントをいつでも削除できます。

トランジットゲートウェイでマルチキャストを有効にし、マルチキャストトラフィックをマルチキャストソースからマルチキャストグループメンバーに、ドメインに関連付けるVPC添付ファイル経由で送信できるようにするトランジットゲートウェイのマルチキャストドメインを作成できます。

また、異なる AWS リージョンのトランジットゲートウェイ間にピアリング接続アタッチメントを作成することもできます。これにより、異なるリージョン間でトランジット・ゲートウェイのアタッチメント間でトラフィックをルーティングできます。

詳細については、「トランジットゲートウェイ」を参照してください。

MemoryDB クラスターと Amazon EC2 インスタンスが異なるリージョンVPCsの異なる Amazon にある場合の MemoryDB クラスターへのアクセス

Transit の使用 VPC

VPC ピアリングを使用する代わりに、地理的に分散VPCsした複数のリモートネットワークを接続するためのもう 1 つの一般的な戦略は、グローバルネットワークトランジットセンターとして機能するトランジットを作成するVPCことです。トランジットは、ネットワーク管理VPCを簡素化し、複数のVPCsリモートネットワークを接続するために必要な接続の数を最小限に抑えます。この設計は、コロケーション中継ハブを物理的に設立したり、物理的なネットワーク設備をデプロイしたりするための従来の費用をほとんどかけずに実装できるため、時間と労力を節約し、コストも削減できます。

異なるリージョンVPCs間での接続

Transit Amazon が確立されると、あるリージョンの「スポークVPC」にデプロイされたアプリケーションVPCは、別のリージョンVPCの「スポーク」の MemoryDB クラスターに接続できます。

別の AWS リージョンVPC内の別の のクラスターにアクセスするには
  1. トランジットVPCソリューションをデプロイします。詳細については、「AWSトランジット・ゲートウェイ」を参照してください。

  2. アプリと のVPCルーティングテーブルを更新VPCsして、 VGW (仮想プライベートゲートウェイ) と VPNアプライアンスを介してトラフィックをルーティングします。ボーダーゲートウェイプロトコル (BGP) による動的ルーティングの場合、ルートは自動的に伝播される可能性があります。

  3. MemoryDBクラスターのセキュリティグループを変更して、アプリケーションインスタンスの IP 範囲からのインバウンド接続を許可します。このシナリオでは、アプリケーションサーバーセキュリティグループを参照することはできません。

リージョン間でクラスターにアクセスすると、ネットワークのレイテンシーが生じ、リージョン間のデータ転送コストが追加で発生します。

顧客のデータセンター内で実行されるアプリケーションからの MemoryDB クラスターへのアクセス

もう 1 つの考えられるシナリオは、顧客のデータセンター内のクライアントまたはアプリケーションが の MemoryDB クラスターにアクセスする必要があるハイブリッドアーキテクチャですVPC。このシナリオは、 VPN または Direct Connect を介して顧客とVPCデータセンター間の接続がある場合にもサポートされます。

 

VPN 接続を使用してお客様のデータセンターで実行されているアプリケーションから MemoryDB クラスターにアクセスする

経由でデータセンターから MemoryDB に接続する VPN

VPN 接続を介してオンプレミスアプリケーションVPCから 内のクラスターにアクセスするには
  1. ハードウェア Virtual Private Gateway を に追加してVPN接続を確立しますVPC。詳細については、「 へのハードウェア仮想プライベートゲートウェイの追加VPC」を参照してください。

  2. MemoryDB クラスターがデプロイされているサブネットのVPCルーティングテーブルを更新して、オンプレミスアプリケーションサーバーからのトラフィックを許可します。BGP ルートとの動的ルーティングの場合、自動的に伝播される可能性があります。

  3. MemoryDB クラスターのセキュリティグループを変更して、オンプレミスアプリケーションサーバーからのインバウンド接続を許可します。

VPN 接続経由でクラスターにアクセスすると、ネットワークレイテンシーと追加のデータ転送コストが発生します。

 

顧客のデータセンター内で実行されるアプリケーションからの Direct Connect を使用した MemoryDB クラスターへのアクセス

Direct Connect によるデータセンターから MemoryDB への接続

Direct Connect を使用して、ネットワークで実行されるアプリケーションから MemoryDB クラスターにアクセスするには
  1. Direct Connect 接続を確立します。詳細については、AWS 「Direct Connect の開始方法」を参照してください。

  2. MemoryDB クラスターのセキュリティグループを変更して、オンプレミスアプリケーションサーバーからのインバウンド接続を許可します。

DX 接続経由でクラスターにアクセスすると、ネットワークのレイテンシーが生じ、追加のデータ転送料金が発生する場合があります。