ケース別 VPC ピアリングの実装の考慮点

AWS運用自動化サービス「Cloud Automator」

技術2課の多田です.

複数のサブシステムを設計,実装する時に VPC ピアリングを使って相互にネットワーク疎通可能にすることがあると思います.VPC ピアリングを使ったネットワーク設計に関わってきました.VPC ピアリングは VPC 間の連携には欠かせない機能ですが,他の AWS サービスと組み合わせる時に注意すべきことがあると感じたので紹介したいと思います.

参考情報

VPC ピアリングの基本
VPC ピア機能とは

サポートされてない VPC ピア接続設定
サポートされていない VPC ピア接続設定

FAQ
Amazon VPC のよくある質問

20190313 AWS Black Belt Online Seminar Amazon VPC Basic

他の AWS サービスと組み合わせる時の注意点

今回は,業務で遭遇した VPC ピアリングを他の AWS サービスと組み合わせて使うときに感じた注意点をケース別に3点まとめます.

Case1. EFS をピアリング越しでマウントする場合

EFS を VPC ピアリング経由でマウントしたい要件があった場合,EFS のエンドポイントを DNS 名前解決ができなくなります.対策として Route53 のプライベートホストゾーンとリソースレコードセットを使って EFS マウントターゲット IPアドレスを定義する必要があります.

プライベートホストゾーンとして、「fs-xxxx.efs.ap-northeast-1.amazonaws.com」を定義し、A レコードとして EFS の IPアドレスを定義するような形です.

別の VPC で EFS マウントポイントに DNS 名前解決を使用することはできません。EFS ファイルシステムをマウントするには、対応する可用性ゾーンのマウントポイントの IP アドレスを使用します。また、DNS サービスとして Amazon Route 53 を使用できます。Route 53 で、プライベートホストゾーンとリソースレコードセットを作成して、別の VPC から EFS マウントターゲット IP アドレスを解決できます。

参考情報

別のアカウントまたは VPC から EFS ファイルシステムをマウントする

Case2. Route 53 プライベートホストゾーンを 別アカウントのVPC ピアリング経由で利用する場合

Route 53 のプライベートホストゾーンを 別アカウントのVPC ピアリング経由で利用したい場合の設定は AWS マネジメントコンソールから直接行えません.というのもプライベートホストゾーンと関連づける VPC は同一アカウント内であれば Route 53 の管理コンソール上より参照可能なのですが別アカウントの VPC は参照できないため AWS CLIなどで設定が必要になります.

参考情報

プライベートホストゾーンの使用

作成済みの Amazon VPC と、別の AWS アカウントで作成したプライベートホストゾーンを関連付ける

この記事では AWS CLI の設定例を書きます.設定作業は2ステップで完了します.

1. Route 53 プライベートホストゾーンが存在するアカウントで create-vpc-association-authorization を実行する

まず,別アカウントの VPC をプライベートホストゾーンに関連付けるためのリクエストを送信することを送信する許可を プライベートホストゾーンが存在するアカウントの権限でcreate-vpc-association-authorization実行します.

 

2. 別アカウントの VPC ピアリングが存在するアカウントで  associate-vpc-with-hosted-zone を実行する

次に別アカウントの権限で associate-vpc-with-hosted-zoneを実行します.

Case3. VPC ピアリング越しのエンドポイントを DNS 名前解決したい

RDS のエンドポイントなど AWS のマネージドサービスは DNS 名前解決を行なってアクセスする必要があります.その際は, VPC ピアリングのオプションで DNS 名前解決を有効化して対応します.

オプションを有効化したい VPC ピアリングを選択してチェックボックスを有効化して保存すれば DNS 名前解決オプションを有効化できます.簡単ですね!

参考情報

VPC ピアリング接続のオプションの変更

まとめ

業務で直面した VPC ピアリングの他の AWS サービスと組み合わせる時に注意すべきと感じたポイントを3点まとめました.

VPC ピアリングは大規模システムになればなるほど利用機会が増えるサービスのため,気に掛けるポイントは把握しておく必要があります.この記事で紹介しきれてない考慮点があればまたこの記事を更新かけていきたいと思います.

AWS運用自動化サービス「Cloud Automator」