AWSで「インターネットに出てはいけない」要件を解決する方法~PrivateLink対応~

    みなさん、こんにちは。西下です。
    寒い日が続いていますね。読者の皆様もどうぞ体調にご留意下さいませ。

    さて、最近はメガバンクでもクラウド移行を進められている背景もあり、金融系のお客様でもAWS上でのHAクラスターのご要件を多くいただきます。

    当社の高可用性ソリューションを構成するHAクラスターソフトのLifeKeeperは、昔から金融系のお客様に多くご導入いただいているので実積については全く問題ないのですが、AWS環境においてしばしば課題になるのがセキュリティの観点で「インターネットに出てはいけない」というご要件です。

    LifeKeeperの標準機能であるRecovery Kit for EC2™では、AWS CLIを使ってルートテーブルなどのAWSのコンポーネントを制御しています。EC2からAWS CLIを使用してAWSのAPIに指示を出す場合、そのトラフィックはAWSの仕様上インターネットに出てしまいます。

    そのため「LifeKeeperはAWSでインターネットに出てはいけないという要件を満たせますか?」といったお問い合わせをよくいただきます。

    ご安心下さい!LifeKeeperはAWSの「VPCエンドポイント」機能の1つで昨年11月から提供されている「PrivateLink」で対応しているので、ご要件を満たすことが可能です。

    社外Webサイト(AWS):VPC エンドポイント

    上記AWSのWebサイトの説明にあるように、VPCエンドポイントは「VPC」と「VPC外のサービス」との通信を可能にするコンポーネントです。このVPCエンドポイントを使うことで、インターネットに出ずに(NATインスタンスやインターネットゲートウェイを経由せずに)VPC外のサービスと通信できます。

    VPCエンドポイント

    VPCエンドポイントには下記の2つのタイプがあります。

    ・ゲートウェイ型
    ・インターフェイス型

    ゲートウェイ型は2015年5月から提供されており、S3とDynamoDBのみが対応しています。

    インターフェイス型は昨年11月から提供されており、S3とDynamoDBを除いた様々なサービス(Amazon EC2 APIなど)が対応しています*1。
    このインターフェイス型が「PrivateLink」と呼ばれています。

    *1:現時点ではRoute53のサービスはAWS側がPrivateLinkに対応していません。

    PrivateLinkはENIとして提供され、VPC内に直接対象サービスのエンドポイントが作成されます。これにより、インターネットに出ずに、VPCの外のAWSのサービスと通信が可能になります。

     

    PrivateLinkの概念図

    privatelink

    青線:従来のインターネットに出るルート
    赤線:PrivateLinkのルート

    今後増加が見込まれる金融系の案件では、エンドユーザー様から「インターネットに出てはいけない」要件が出ることが増えると考えられます。

    当社のソリューションであればそういったご要件への対応の幅が広がりますので、ぜひご提案下さい。

    関連情報

    AWS環境の対応構成や導入事例は各種資料をご参照ください。

     

    ご参考:当ブログAWS関連記事