AWS リージョンへの AWS Outposts 接続 - AWS Outposts
サービスリンク経由の接続更新とサービスリンク冗長インターネット接続

AWS リージョンへの AWS Outposts 接続

AWS Outposts は、サービスリンク接続を介したワイドエリアネットワーク (WAN) 接続をサポートします。

注記

Outposts サーバーを自分の AWS リージョンまたは AWS Outposts ホームリージョンに接続するサービスリンク接続には、プライベート接続を使用できません。

AWS Outposts プロビジョニング時、ユーザーまたは AWS は、Outposts サーバーを選択した AWS リージョンまたはホームリージョンに接続するサービスリンク接続を作成します。サービスリンクは暗号化された VPN 接続セットで、Outpost が選択したホームリージョンと通信する際に必ず使用されます。仮想 LAN (VLAN) を使用してサービスリンク上のトラフィックをセグメント化します。サービスリンク VLAN により、Outpost と AWS リージョン間の通信が可能になり、Outpost や AWS リージョンと Outpost 間の VPC 内トラフィックを管理できるようになります。

Outpost はパブリックリージョン接続を通じて AWS リージョンに戻るサービスリンク VPN を作成することができます。そのためには、Outpost がパブリックインターネットまたは AWS Direct Connect パブリック仮想インターフェイスを介して AWS リージョンのパブリック IP 範囲に接続する必要があります。この接続は、サービスリンク VLAN 内の特定のルート経由でも、0.0.0.0/0 のデフォルトルート経由でも可能です。AWS のパブリックレンジの詳細については、「AWS IP アドレス範囲」を参照してください。

サービスリンクが確立されると、Outpost はサービスを開始し、AWS によって管理されます。サービスリンクは以下のトラフィックに使用されます。

  • 内部コントロールプレーントラフィック、内部リソース監視、ファームウェアとソフトウェアの更新など、サービスリンク経由の Outpost への管理トラフィック。

  • Outpost と関連するすべての VPC 間のトラフィック (顧客データプレーントラフィックを含む)。

サービスリンクの最大送信単位 (MTU) 要件

ネットワーク接続の最大送信単位 (MTU) とは、接続を介して渡すことができる最大許容パケットサイズ (バイト単位) です。ネットワークは、Outpost と親 AWS リージョンのサービスリンクエンドポイントの間で 1500 バイトの MTU をサポートする必要があります。

Outposts のインスタンスからリージョンのインスタンスへ送られるトラフィックの MTU は 1300 です。

サービスリンクの推奨帯域幅

最適なエクスペリエンスと回復力を実現するために、AWS では、AWS リージョンへのサービスリンク接続に少なくとも 500 Mbps の冗長接続と最大 175 ミリ秒の往復遅延の使用を求めています。各 Outposts サーバーの最大使用率は 500 Mbps です。接続速度を上げるには、複数の Outpost サーバーを使用してください。たとえば、AWS Outposts サーバーが 3 台ある場合、最大接続速度は 1.5 Gbps (1,500 Mbps) に増加します。詳細については、「Service link traffic for servers」を参照してください。

AWS Outposts サービスリンクの帯域幅要件は、AMI サイズ、アプリケーションの伸縮性、バースト速度のニーズ、リージョンへの Amazon VPC トラフィックなどのワークロード特性によって異なります。AWS Outposts サーバーは AMI をキャッシュしないことに注意してください。AMI はインスタンスが起動するたびにリージョンからダウンロードされます。

お客様のニーズに必要なサービスリンク帯域幅に関するカスタム推奨事項を取得するには、AWS 営業担当者または APN パートナーにお問い合わせください。

ファイアウォールとサービスリンク

このセクションでは、ファイアウォール設定とサービスリンク接続について説明します。

以下の図では、Amazon VPC を AWS リージョンから Outpost まで拡張する設定になっています。AWS Direct Connect パブリック仮想インターフェイスはサービスリンク接続です。次のトラフィックがサービスリンクと AWS Direct Connect 接続を通過します。

  • サービスリンク経由の Outpost への管理トラフィック

  • Outpost と関連するすべての VPC 間のトラフィック

AWS へのAWS Direct Connect 接続

インターネット接続にステートフルファイアウォールを使用してパブリックインターネットからサービスリンク VLAN への接続を制限している場合、インターネットから開始されるすべてのインバウンド接続をブロックできます。これは、サービスリンク VPN は Outpost からリージョンにのみ開始され、リージョンから Outpost には開始されないためです。

AWS へのインターネットゲートウェイ接続

ファイアウォールを使用してサービスリンク VLAN からの接続を制限すると、すべてのインバウンド接続をブロックできます。次の表に従って、AWS リージョンから Outpost に戻るアウトバウンド接続を許可する必要があります。ファイアウォールがステートフルであれば、許可されている Outpost からのアウトバウンド接続、つまり Outpost から開始された接続は、インバウンドに戻ることも許可される必要があります。

[プロトコル] ソースポート 送信元アドレス 発信先 ポート 送信先アドレス

UDP

1024-65535

サービスリンク IP

53

DHCP 提供の DNS サーバー

UDP

443, 1024-65535

サービスリンク IP

443

AWS Outposts サービスリンクエンドポイント

TCP

1024-65535

サービスリンク IP

443

AWS Outposts 登録エンドポイント
注記

Outposts 内のインスタンスは、サービスリンクを使用して別の Outpost 内のインスタンスと通信することはできません。ローカルゲートウェイまたはローカルネットワークインターフェイスを介したルーティングを活用して Outposts 間の通信を行います。

AWS は、Outposts サーバーとその親 AWS リージョン間の安全なネットワーク接続を維持します。このネットワーク接続はサービスリンクと呼ばれ、Outpost と AWS リージョン間に VPC 内トラフィックを提供し、Outpost の管理に不可欠なものです。 AWSWell-Architected のベストプラクティスでは、異なるアベイラビリティーゾーンに属する 2 つの Outposts にアクティブ/アクティブ設計でアプリケーションをデプロイすることを推奨しています。詳細については、「AWS Outposts の高可用性設計とアーキテクチャに関する考慮事項」を参照してください。

サービスリンクは、運用品質とパフォーマンスを維持するために定期的に更新されます。メンテナンス中、このネットワークで短いレイテンシーやパケット損失が発生すると、リージョン内でホストされるリソースへの VPC 接続に依存するワークロードに影響を与える可能性があります。ただし、ローカルネットワークインターフェイス (LNI) を通過するトラフィックは影響を受けません。AWS Well-Architected のベストプラクティスに従い、単一の Outposts サーバーに影響する障害やメンテナンス作業に対してアプリケーションが耐障害性を持つようにすることにより、アプリケーションへの影響を回避できます。

冗長インターネット接続

Outpost からAWS リージョンへの接続を構築する場合、可用性と回復力を高めるために接続を複数作成することをおすすめします。詳細については、「‭‬AWS Direct Connect の回復性に関する推奨事項‭‬」を参照してください。

パブリックインターネットへの接続が必要な場合は、既存のオンプレミスワークロードと同様に、冗長インターネット接続とさまざまなインターネットプロバイダーを使用できます。