VMware Cloud on AWSとネイティブAWSサービスの連携(2) ENI接続の詳細と連携の具体例:連載:詳説VMware Cloud on AWS(9)(2/3 ページ)
前回から、VMware Cloud on AWSとネイティブAWSサービスとの連携を解説している。後半となる今回は、Elastic Network Interface(ENI)によるConnected VPCとの接続、そしてVMware Cloud on AWSとネイティブAWSサービスの連携に関する具体例を紹介する。
S3エンドポイントへの通信の詳細
Connected VPCのS3エンドポイントへの通信は、ENIを経由した通信の中でも特別扱いされている。ここではS3以外のエンドポイントにも触れながら、その詳細を説明する。
エンドポイントには現在複数の実装がある。ゲートウェイタイプとプライベートリンクタイプである。S3エンドポイントはゲートウェイタイプのエンドポイントとなる。
- プライベートリンクタイプのエンドポイント
サービスに対応するENIがConnected VPCに作成され、このENIのFQDNがパブリックサービスへのプライベートなエンドポイントとなる。FQDNはVPCのCIDRが使われているため、SDDCの仮想マシンからはTier-0ゲートウェイ経由でConnected VPC側にフォワードされる。IPパケットのソースIPアドレスはSDDCのVMのものが使われるため、Connected VPCのCIDR以外のアドレスからのアクセスとなる。このアクセスを許容するかどうかは個々のAWSサービスに依存する。
- ゲートウェイタイプのエンドポイント
ゲートウェイタイプのエンドポイントは初期のものであり、対応するサービスは限られている。現時点において、「Amazon S3」と「Amazon DynamoDB」のみである。ゲートウェイタイプのエンドポイントへのアクセスはパブリックサービスと同じFQDNを用いるが、エンドポイントを作成するとConnected VPCのルートテーブルが書き換えられ、FQDNに対するターゲットがインターネットゲートウェイではなくエンドポイントに変更される。
SDDC内の仮想マシンからのアクセスを追ってみる。Tier-0ゲートウェイでインタネット側に抜けることはない。VMware Cloud on AWSのUIでS3アクセスを有効とすると、Tier-0ゲートウェイに、そのリージョンに属するS3アクセスのIPアドレスレンジに対する静的ルートが設定される。この静的ルートは、Connected VPCに転送するものとなっている。ゲートウェイタイプのエンドポイントは、VPCのCIDR以外のソースIPを受け付けない。そのため、Tier-0ゲートウェイではS3エンドポイントへのパケットのみソースIPをENIに振られたセカンダリIPアドレスに書き換えている。これによりS3エンドポイントの制約を乗り越えている。
現在VMware Cloud on AWSでサポートされているゲートウェイタイプのエンドポイントはS3のみである。DynamoDBのエンドポイントには対応していないため、DynamoDBをプライベートな接続で利用するには、Connected VPC側にProxyとなるEC2を配置するなど対応が必要となる。
Copyright © ITmedia, Inc. All Rights Reserved.