みなみの風物詩
type
status
date
slug
summary
tags
category
icon
password
 

理論

AWS PrivateLinkの基本

AWS PrivateLinkは、異なるVPC間で安全かつプライベートに通信を行うためのサービスです。インターネットを介さず、プライベートIPアドレスを使用してサービスを接続できるため、セキュアな通信が可能です。
  • PrivateLinkエンドポイントサービス:サービスを提供する側(ホスト側)が設定するリソースで、他のVPCからアクセス可能にします。
  • PrivateLinkエンドポイント:クライアント側がPrivateLinkエンドポイントサービスに接続するために作成するリソースです。
これにより、異なるリージョン間でプライベートにサービスを利用することができます。

VPCピアリングの基本

VPCピアリングは、異なるVPC間で通信を可能にする設定で、1対1の接続を作ります。これにより、両VPC間で直接的な通信が可能となります。ただし、VPCピアリングは、リージョンを越えた接続にも使用できます。
  • VPCピアリングは、インターネットゲートウェイを経由せずに、プライベートIPでの通信を実現できます。
  • 複数のVPCが接続される場合、トランジットゲートウェイやPrivateLinkと組み合わせることも可能です。

エンドポイントサービスとNLB

  • Network Load Balancer (NLB):プライベートVPC間でのトラフィックを効率的に分散するための負荷分散サービスで、特にTCPトラフィックに適しています。
  • PrivateLinkエンドポイントサービスは、通常、NLBを使って構成されます。これにより、異なるリージョン間でプライベートな接続を実現できます。

他の選択肢

  • AWS RAM (Resource Access Manager):他のアカウントやリージョンとリソースを共有するためのサービスですが、EC2インスタンスを共有する用途には使えません。

最適なアーキテクチャ

  • 既存のインフラ(例えば、eu-west-2のNLB)を利用して、新しいリージョン(us-east-1)の顧客にアクセスを提供する場合、PrivateLinkエンドポイントサービスを利用して、既存のリソースを効率よく再利用するのが最適です。これにより、新しいEC2インスタンスを追加せずに、サービスを拡張できます。

まとめ

  • PrivateLink:異なるVPC間でセキュアかつプライベートに通信を行うために使用される。
  • VPCピアリング:異なるリージョン間での直接通信を可能にするが、PrivateLinkとの併用が推奨される。
  • NLB + PrivateLinkエンドポイントサービス:異なるリージョンでのリソースを安全かつプライベートに接続するために活用される。

実践

一問道場

あるSaaS(ソフトウェア・アズ・ア・サービス)企業が、AWSを使用してサービスをホストしており、このサービスはAWS PrivateLinkを使用して提供されています。このサービスは、Network Load Balancer(NLB)の背後で動作する3つのAmazon EC2インスタンスで構成されています。インスタンスは、複数のアベイラビリティゾーンにあるプライベートサブネット内に配置されています。すべての顧客はeu-west-2リージョンにいます。
しかし、この企業は新しい顧客をus-east-1リージョンで獲得しました。企業は新しいVPCと新しいサブネットをus-east-1リージョンに作成し、2つのリージョン間でVPCピアリングを確立しました。企業は新しい顧客にSaaSサービスへのアクセスを提供したいと考えていますが、us-east-1リージョンに新しいEC2リソースを即座に展開したくありません。
この要件を満たすソリューションはどれですか?
A. us-east-1にPrivateLinkエンドポイントサービスを設定し、eu-west-2にある既存のNLBを使用します。特定のAWSアカウントにSaaSサービスへの接続を許可します。
B. us-east-1にNLBを作成し、eu-west-2にあるSaaSサービスをホストしているインスタンスのIPアドレスを使用したIPターゲットグループを作成します。us-east-1にあるNLBを使用するPrivateLinkエンドポイントサービスを設定します。特定のAWSアカウントにSaaSサービスへの接続を許可します。
C. eu-west-2にあるEC2インスタンスの前にApplication Load Balancer(ALB)を作成し、us-east-1にNLBを作成します。us-east-1にあるNLBをALBターゲットグループに関連付け、eu-west-2にあるALBを使用します。us-east-1にあるNLBを使用するPrivateLinkエンドポイントサービスを設定します。特定のAWSアカウントにSaaSサービスへの接続を許可します。
D. AWS Resource Access Manager(AWS RAM)を使用して、eu-west-2にあるEC2インスタンスを共有します。us-east-1でNLBとインスタンスタスクターゲットグループを作成し、共有されたEC2インスタンスをターゲットに含めます。us-east-1にあるNLBを使用するPrivateLinkエンドポイントサービスを設定します。特定のAWSアカウントにSaaSサービスへの接続を許可します。

解説

この問題では、AWS PrivateLinkを使用して、新しい顧客(アメリカ東部のus-east-1リージョン)に、既存のサービス(現在、ヨーロッパ西部のeu-west-2リージョンでホストされているSaaSサービス)へのアクセスを提供する方法を問われています。また、新しいEC2インスタンスをus-east-1リージョンにデプロイしないという条件もあります。

問題の要点

  • サービス構成:サービスは、複数のAvailability Zone(AZ)にまたがるプライベートサブネットのEC2インスタンス(NLBの背後)にホストされています。
  • 顧客の要求:新しい顧客(us-east-1リージョン)に、既存のサービスへのアクセスを提供したい。
  • 条件
    • 新しいEC2インスタンスをus-east-1に追加したくない。
    • PrivateLinkを利用する必要がある。

解説

AWS PrivateLinkは、AWSサービス(またはカスタマーサービス)を他のVPCに対して安全かつプライベートに提供するためのサービスです。プライベートIPを介して、VPC間でリソースをアクセスすることができ、インターネットを介さずに接続を実現します。
問題で示されている要件を達成するために最も効果的な方法は、既存のNLB(Network Load Balancer)を使用し、us-east-1リージョンの顧客にアクセスを提供する方法です。具体的には、次のステップで解決できます:

各選択肢の分析

A. us-east-1でPrivateLinkエンドポイントサービスを構成して、既存のNLB(eu-west-2)を使用する

  • 解説
    • 既存のNLB(eu-west-2リージョンにある)をus-east-1の新しい顧客に提供するために、PrivateLinkエンドポイントサービスを作成します。これにより、us-east-1の顧客はeu-west-2にあるNLBにアクセスできます。
    • 新しいEC2インスタンスは不要で、既存のリソースを最大限活用できます。
    • 非常に効率的で、操作負担も少なく、要件を満たします。

B. us-east-1で新しいNLBを作成し、eu-west-2のEC2インスタンスIPをターゲットとして指定する

  • 解説
    • 新しいNLBをus-east-1リージョンで作成し、そのターゲットとしてeu-west-2のインスタンスIPを指定する方法です。
    • これも実現可能ですが、NLBを作成し、ターゲットを指定するという手間が増え、最適な選択肢とは言えません。
    • 追加の設定と管理が必要です。

C. eu-west-2にALB(Application Load Balancer)を作成し、us-east-1にNLBを作成し、ALBターゲットグループに関連付ける

  • 解説
    • ALB(eu-west-2に配置)とNLB(us-east-1に配置)を組み合わせる方法ですが、複雑で管理が大変です。2つの負荷分散機能を組み合わせる必要があり、設定も複雑になります。
    • この方法は、リソースの管理や設定が面倒になる可能性があり、最適とは言えません。

D. AWS RAMを使ってeu-west-2のEC2インスタンスを共有し、us-east-1にNLBを作成してインスタンスをターゲットにする

  • 解説
    • AWS RAM(リソースアクセスマネージャー)は、特定のAWSリソース(例えばVPCサブネットやAurora DBなど)を他のアカウントやリージョンと共有するためのサービスです。しかし、EC2インスタンスの共有には使えません。したがって、この方法は不適切です。

最適な解答はAです:

  • us-east-1リージョンでPrivateLinkエンドポイントサービスを作成し、既存のeu-west-2リージョンのNLBを利用することで、新しいEC2インスタンスをデプロイすることなく、最小限の管理負担で顧客にサービスを提供できます。
この解決策は、要件を効率的に満たし、運用の簡素化を図ることができるため、最適な選択肢です。
相关文章
クラウド技術の共有 | AWS Site-to-Site
Lazy loaded image
EKSでのWordPressデプロイ:KCNA-JP試験対策 (Kubernetes実践編)
Lazy loaded image
初心者向け!コンテナ化WordPressサイト構築ガイド(超詳細版)
Lazy loaded image
EFSを活用!AWS EC2でDockerを使ったWordPressサイト構築
Lazy loaded image
529-AWS SAP AWS 「理論・実践・一問道場」VPCエンドポイント
Lazy loaded image
528-AWS SAP AWS 「理論・実践・一問道場」Migration Evaluator
Lazy loaded image
362-AWS SAP AWS 「理論・実践・一問道場」S3 Storage Lens360-AWS SAP AWS 「理論・実践・一問道場」AWS Service Catalog
Loading...
みなみ
みなみ
一个普通的干饭人🍚
最新发布
02-生成AIパスポート試験対策:第2章「生成AI」
02-生成AIパスポート試験対策:第2章「生成AI」
2025-2-1
01-生成AIパスポート試験対策:第1章「人口知能」
01-生成AIパスポート試験対策:第1章「人口知能」
2025-2-1
究極のAWS認定 AI 実践者 AIF-C01 - 学習メモ
究極のAWS認定 AI 実践者 AIF-C01 - 学習メモ
2025-1-27
不要再傻傻的直接买NISA啦
不要再傻傻的直接买NISA啦
2025-1-27
Kubernetes、仮想マシンとコンテナの概念を超簡単に解説!
Kubernetes、仮想マシンとコンテナの概念を超簡単に解説!
2025-1-24
529-AWS SAP AWS 「理論・実践・一問道場」VPCエンドポイント
529-AWS SAP AWS 「理論・実践・一問道場」VPCエンドポイント
2025-1-22
公告
🎉欢迎访问我的博客🎉
- 感谢您的支持 --
本站点于2024/09/01建立
👏主要分享IT相关主题👏
系统管理:
Redhat…
容器和编排:
Kubernetes、Openshift…
云计算:
AWS、IBM…
AI入门
以及技术笔记和考证经验
定期更新,欢迎互动。
感谢访问!
快速浏览相关标签
标签 | みなみの風物詩
自分らしく未来へ
标签 | みなみの風物詩
https://notion-next-theta-gray.vercel.app/tag
标签 | みなみの風物詩
 
目录
0%