VMware Cloud on AWSとネイティブAWSサービスの連携（2） ENI接続の詳細と連携の具体例：連載：詳説VMware Cloud on AWS（9）（2/3 ページ）

[大久光崇，ヴイエムウェア株式会社]

S3エンドポイントへの通信の詳細

　Connected VPCのS3エンドポイントへの通信は、ENIを経由した通信の中でも特別扱いされている。ここではS3以外のエンドポイントにも触れながら、その詳細を説明する。

　エンドポイントには現在複数の実装がある。ゲートウェイタイプとプライベートリンクタイプである。S3エンドポイントはゲートウェイタイプのエンドポイントとなる。

• プライベートリンクタイプのエンドポイント

　サービスに対応するENIがConnected VPCに作成され、このENIのFQDNがパブリックサービスへのプライベートなエンドポイントとなる。FQDNはVPCのCIDRが使われているため、SDDCの仮想マシンからはTier-0ゲートウェイ経由でConnected VPC側にフォワードされる。IPパケットのソースIPアドレスはSDDCのVMのものが使われるため、Connected VPCのCIDR以外のアドレスからのアクセスとなる。このアクセスを許容するかどうかは個々のAWSサービスに依存する。

• ゲートウェイタイプのエンドポイント

　ゲートウェイタイプのエンドポイントは初期のものであり、対応するサービスは限られている。現時点において、「Amazon S3」と「Amazon DynamoDB」のみである。ゲートウェイタイプのエンドポイントへのアクセスはパブリックサービスと同じFQDNを用いるが、エンドポイントを作成するとConnected　VPCのルートテーブルが書き換えられ、FQDNに対するターゲットがインターネットゲートウェイではなくエンドポイントに変更される。

S3エンドポイントへの通信

　SDDC内の仮想マシンからのアクセスを追ってみる。Tier-0ゲートウェイでインタネット側に抜けることはない。VMware Cloud on AWSのUIでS3アクセスを有効とすると、Tier-0ゲートウェイに、そのリージョンに属するS3アクセスのIPアドレスレンジに対する静的ルートが設定される。この静的ルートは、Connected VPCに転送するものとなっている。ゲートウェイタイプのエンドポイントは、VPCのCIDR以外のソースIPを受け付けない。そのため、Tier-0ゲートウェイではS3エンドポイントへのパケットのみソースIPをENIに振られたセカンダリIPアドレスに書き換えている。これによりS3エンドポイントの制約を乗り越えている。

　現在VMware Cloud on AWSでサポートされているゲートウェイタイプのエンドポイントはS3のみである。DynamoDBのエンドポイントには対応していないため、DynamoDBをプライベートな接続で利用するには、Connected VPC側にProxyとなるEC2を配置するなど対応が必要となる。