翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
によるサービスの作成 AWS PrivateLink
エンドポイントサービスと呼ばれる AWS PrivateLink、 を利用した独自のサービスを作成できます。お客様はサービスプロバイダーであり、お客様のサービスへの接続を作成する AWS プリンシパルはサービスコンシューマーです。
エンドポイントサービスには、Network Load Balancer または Gateway Load Balancer のいずれかが必要です。ロードバランサーは、サービスコンシューマーからリクエストを受け取ってサービスにルーティングします。この場合、Network Load Balancer を使用してエンドポイントサービスを作成します。Gateway Load Balancer を使用してエンドポイントサービスを作成する方法の詳細については、「仮想アプライアンスにアクセスする」を参照してください。
考慮事項
-
エンドポイントサービスは、そのサービスを作成したリージョンで使用できます。コンシューマーは、クロスリージョンアクセスを有効にした場合、またはピアリングまたはトランジットゲートウェイを使用している場合、他のリージョンからサービスにアクセスできます。 VPC
-
サービスコンシューマーがエンドポイントサービスに関する情報を取得すると、サービスプロバイダーと共通するアベイラビリティゾーンのみが表示されます。サービスプロバイダーとサービスコンシューマーが異なるアカウントにある場合、
us-east-1a
などのアベイラビリティゾーン名は、各 AWS アカウントの異なる物理アベイラビリティゾーンにマッピングされる可能性があります。AZ を使用してIDs、サービスのアベイラビリティーゾーンを一貫して識別できます。詳細については、「Amazon EC2ユーザーガイド」の「AZIDs」を参照してください。 -
サービスコンシューマーがインターフェイスエンドポイントを介してトラフィックをサービスに送信する場合、アプリケーションに提供されるソース IP アドレスは、サービスコンシューマーの IP アドレスではなく、ロードバランサーノードのプライベート IP アドレスです。ロードバランサーでプロキシプロトコルを有効にすると、プロキシプロトコルヘッダーからサービスコンシューマーのアドレスとインターフェイスエンドポイントIDsの を取得できます。詳細については、Network Load Balancer ユーザーガイドの「Proxy Protocol」を参照してください。
-
Network Load Balancer は単一のエンドポイントサービスに関連付けることができますが、エンドポイントサービスは複数の Network Load Balancer に関連付けることができます。
-
エンドポイントサービスが複数の Network Load Balancer に関連付けられている場合、各エンドポイントネットワークインターフェイスは 1 つのロードバランサーに関連付けられます。エンドポイントネットワークインターフェイスからの最初の接続が開始されると、エンドポイントネットワークインターフェイスと同じアベイラビリティーゾーンにあるいずれかの Network Load Balancer がランダムに選択されます。このエンドポイントネットワークインターフェイスからの以降のすべての接続リクエストは、この選択されたロードバランサーを使用します。どのロードバランサーが選択されてもコンシューマーがエンドポイントサービスを正常に使用できるように、エンドポイントサービスのすべてのロードバランサーに同じリスナーとターゲットグループ設定を使用することをお勧めします。
-
AWS PrivateLink リソースにはクォータがあります。詳細については、「AWS PrivateLink クォータ」を参照してください。
前提条件
-
サービスが使用可能になる各アベイラビリティーゾーンに少なくとも 1 つのサブネットを持つエンドポイントサービスVPC用の を作成します。
-
サービスコンシューマーがVPCエンドポイントサービスのIPv6インターフェイスエンドポイントを作成できるようにするには、 VPC および サブネットにIPv6CIDRブロックが関連付けられている必要があります。
-
で Network Load Balancer を作成しますVPC。サービスコンシューマー向けにサービスを使用可能にするアベイラビリティゾーンごとに 1 つのサブネットを選択します。低レイテンシーとフォールトトレランスのために、リージョン内の少なくとも 2 つのアベイラビリティーゾーンでサービスを使用可能にすることをお勧めします。
-
Network Load Balancer にセキュリティグループがある場合は、クライアントの IP アドレスからのインバウンドトラフィックを許可する必要があります。または、経由するトラフィックのインバウンドセキュリティグループルールの評価を無効にすることもできます AWS PrivateLink。詳細については、「User Guide for Network Load Balancers」の「Security groups」を参照してください。
-
エンドポイントサービスがIPv6リクエストを受け入れることができるようにするには、Network Load Balancer でデュアルスタック IP アドレスタイプを使用する必要があります。ターゲットはIPv6トラフィックをサポートする必要はありません。詳細については、「Network Load Balancer のユーザーガイド」の「IP アドレスのタイプ」を参照してください。
プロキシプロトコルバージョン 2 ヘッダーからソース IP アドレスを処理する場合は、IPv6アドレスを処理できることを確認します。
-
サービスを使用可能にする各アベイラビリティゾーンでインスタンスを起動し、ロードバランサーのターゲットグループに登録します。有効なすべてのアベイラビリティーゾーンでインスタンスを起動しない場合は、クロスゾーン負荷分散を有効にして、ゾーンDNSホスト名を使用してサービスにアクセスするサービスコンシューマーをサポートできます。クロスゾーン負荷分散を有効にすると、リージョン内データ転送料金が適用されます。詳細については、「User Guide for Network Load Balancers」の「Cross-zone load balancing」を参照してください。
エンドポイントサービスを作成する
Network Load Balancer を使用してエンドポイントサービスを作成するには、次の手順を使用します。
コンソールを使用してエンドポイントサービスを作成するには
で Amazon VPCコンソールを開きますhttps://console.aws.amazon.com/vpc/
。 -
ナビゲーションペインで、[Endpoint Services] (エンドポイントサービス) を選択します。
-
[Create endpoint service]] (エンドポイントサービスの作成) を選択します。
-
[Load balancer type] (ロードバランサーのタイプ) で、[Network] を選択します。
-
[使用可能なロードバランサー] で、エンドポイントサービスに関連付ける Network Load Balancer を選択します。選択したロードバランサーで有効になっているアベイラビリティーゾーンを確認するには、「選択したロードバランサーの詳細、含まれるアベイラビリティーゾーン」を参照してください。エンドポイントサービスは、これらのアベイラビリティーゾーンで利用できます。
-
(オプション) エンドポイントサービスをホストされているリージョン以外のリージョンから利用できるようにするには、サービスリージョンからリージョンを選択します。詳細については、「クロスリージョンアクセス」を参照してください。
-
エンドポイントサービスへの接続リクエストが手動で承諾されなければならないようにするために、[Require acceptance for endpoint] (エンドポイントの承諾を要求) で、[Acceptance required] (承諾が必要) を選択します。それ以外の場合、これらのリクエストは自動的に受け入れられます。
-
プライベートDNS名を有効にする で、プライベートDNS名をサービスに関連付ける を選択して、サービスコンシューマーがサービスにアクセスするために使用できるプライベートDNS名を関連付け、プライベートDNS名を入力します。それ以外の場合、サービスコンシューマーは が提供するエンドポイント固有のDNS名前を使用できます AWS。サービスコンシューマーがプライベートDNS名を使用する前に、サービスプロバイダーはドメインを所有していることを確認する必要があります。詳細については、「DNS 名前の管理」を参照してください。
-
[Supported IP address types] (サポートされている IP アドレスのタイプ) で、次のいずれかを実行します。
-
選択 IPv4 — エンドポイントサービスがIPv4リクエストを受け入れるようにします。
-
選択 IPv6 — エンドポイントサービスがIPv6リクエストを受け入れるようにします。
-
Select IPv4 and IPv6 – エンドポイントサービスが IPv4 および IPv6リクエストの両方を受け入れるようにします。
-
-
(オプション) タグを追加するには、[新しいタグを追加] を選択し、そのタグのキーと値を入力します。
-
[Create] (作成) を選択します。
コマンドラインを使用してエンドポイントサービスを作成するには
-
New-EC2VpcEndpointServiceConfiguration (Windows 用のツール PowerShell)
サービスコンシューマーがエンドポイントサービスを使用できるようにする
AWS プリンシパルは、インターフェイスエンドポイントを作成することで、VPCエンドポイントサービスにプライベートに接続できます。サービスプロバイダーは、自社のサービスをサービスコンシューマーが使用できるようにするために、次のことを行う必要があります。
-
各サービスコンシューマーがエンドポイントサービスに接続できるようにする許可を追加します。詳細については、「許可を管理する」を参照してください。
-
サービスの名前とサポートされているアベイラビリティゾーンをサービスコンシューマーに伝え、サービスに接続するためにインターフェイスエンドポイントを作成できるようにします。詳細については、「サービスコンシューマーとしてエンドポイントサービスに接続する」を参照してください。
-
サービスコンシューマーからのエンドポイント接続リクエストを受け入れます。詳細については、「接続リクエストを承諾または拒否する」を参照してください。
サービスコンシューマーとしてエンドポイントサービスに接続する
サービスコンシューマーは、次の手順を使用して、エンドポイントサービスに接続するためのインターフェイスエンドポイントを作成します。
コンソールを使用してインターフェイスエンドポイントを作成するには
で Amazon VPCコンソールを開きますhttps://console.aws.amazon.com/vpc/
。 -
ナビゲーションペインで、[エンドポイント] を選択します。
-
[エンドポイントの作成] を選択します。
-
Type で、 NLBsと を使用するエンドポイントサービスGWLBsを選択します。
-
サービス名にサービスの名前 (例:
com.amazonaws.vpce.us-east-1.vpce-svc-0e123abc123198abc
) を入力し、サービスの検証を選択します。 -
(オプション) エンドポイントリージョン以外のリージョンで利用可能なエンドポイントサービスに接続するには、サービスリージョン、クロスリージョンエンドポイントの有効化、リージョンを選択します。詳細については、「クロスリージョンアクセス」を参照してください。
-
でVPC、エンドポイントサービスにアクセスする VPC を選択します。
-
サブネット で、エンドポイントネットワークインターフェイスを作成するサブネットを選択します。
-
[IP address type] (IP アドレスのタイプ) で、次のオプションから選択します。
-
IPv4 – エンドポイントネットワークインターフェイスにIPv4アドレスを割り当てます。このオプションは、選択したすべてのサブネットにIPv4アドレス範囲があり、エンドポイントサービスがIPv4リクエストを受け入れる場合にのみサポートされます。
-
IPv6 – エンドポイントネットワークインターフェイスにIPv6アドレスを割り当てます。このオプションは、選択したすべてのサブネットがサブネットIPv6のみで、エンドポイントサービスがIPv6リクエストを受け入れる場合にのみサポートされます。
-
デュアルスタック — エンドポイントネットワークインターフェイスに IPv4と IPv6 アドレスの両方を割り当てます。このオプションは、選択したすべてのサブネットに IPv4と の両方のIPv6アドレス範囲があり、エンドポイントサービスが IPv4と の両方のIPv6リクエストを受け入れる場合にのみサポートされます。
-
-
DNS レコード IP タイプでは、次のオプションから選択します。
-
IPv4 – プライベート、リージョン、およびゾーンDNS名のレコードを作成します。IP アドレスタイプは IPv4またはデュアルスタックである必要があります。
-
IPv6 – プライベート、リージョン、およびゾーンDNS名のAAAAレコードを作成します。IP アドレスタイプは IPv6またはデュアルスタックである必要があります。
-
デュアルスタック – プライベート、リージョン、およびゾーンDNS名の A レコードと AAAAレコードを作成します。IP アドレスのタイプは [Dualstack] である必要があります。
-
サービス定義 — プライベート、リージョン、およびゾーンDNS名用のレコードと、リージョン名とゾーンDNS名用のAAAAレコードを作成します。IP アドレスのタイプは [Dualstack] である必要があります。
-
-
[Security group] (セキュリティグループ) で、エンドポイントネットワークインターフェイスに関連付けるセキュリティグループを選択します。
-
[エンドポイントの作成] を選択します。
コマンドラインを使用してインターフェイスエンドポイントを作成するには
-
create-vpc-endpoint
(AWS CLI) -
New-EC2VpcEndpoint (Windows 用のツール PowerShell)