はじめに
こんにちは。 WorkSpaces Pools を利用した環境構築において、SASE(Secure Access Service Edge)や SSE の導入によりセキュリティを強化するケースがございます。
たとえば Netskope などの製品を導入し、「すべての通信をクラウド上のプロキシ(ゲートウェイ)へ引き込んで検査する」といった構成をとる場合、WorkSpaces Pools 特有の仕様による「ハマりどころ」が存在します。
この設定をそのまま適用すると、「WorkSpaces に接続できない」「セッションが頻繁に切れる」といったストリーミングのトラブルが発生する可能性があるため、その原因と必須となるバイパス設定についてご紹介します。
発生する問題
WorkSpaces Pools インスタンス上で Netskope 等のクライアントを動作させ、すべてのトラフィックを特定のプロキシへ転送する設定(Full Tunnel 等)を適用すると、WorkSpaces サービス自体が正常に動作しなくなる場合があります。
具体的な影響
- ストリーミングの不具合: 画面転送の遅延、音声の途切れ、または接続自体が不可になる。
- ステータスの異常: AWS マネジメントコンソール上で WorkSpace の状態が
Unhealthy(異常)になる。
原因:169.254.0.0/16 への通信遮断
WorkSpaces Pools では、インスタンスの健全性チェックやセッション維持、メタデータの取得のために、リンクローカルアドレス(169.254.0.0/16)への通信を必要としています。
プロキシの強制転送設定が有効な場合、これら「AWS 内部で完結すべき管理トラフィック」まで外部のプロキシサーバーへ転送しようとしてしまい、通信がタイムアウトしたり、プロキシ側で拒否されたりすることが原因です。
影響を受ける主な通信
- EC2 メタデータサービス: 169.254.169.254(ポート 80/HTTP)
- インスタンス情報の取得に必須です。
- WorkSpaces Pools 管理トラフィック: 169.254.0.0/16 範囲
- セッションの維持やエージェントとサービス間の通信に使用されます。
解決策:特定の範囲をプロキシから除外(バイパス)する
この問題を解決するには、Netskope(Steering Configuration 等)やその他のプロキシ設定において、以下の範囲を「プロキシ転送の対象外(Bypass/Exception)」として設定する必要があります。
| 除外対象(Destination) | 理由 |
|---|---|
| 169.254.0.0/16 | WorkSpaces Pools の管理・ストリーミング制御に必須 |
公式ドキュメントの記載 AWS 公式ドキュメント(WorkSpaces Pools のポート要件)においても、「IP アドレス範囲 169.254.0.0/16 は、WorkSpaces Pools サービスの管理トラフィックで使用するために予約されており、この範囲を除外しないとストリーミングの問題が発生する可能性がある」と明記されています。
まとめ
WorkSpaces Pools を安定して動作させるためには、管理トラフィックの経路確保が重要です。
特に、セキュリティ製品によりすべての通信をプロキシ経由で転送(強制適用)するような構成を検討される際は、必ず 169.254.0.0/16 のバイパス設定をセットで行うようにしてください。
リンクローカルアドレスの疎通不全は、再現性の低い不安定な挙動を招く要因となります。プロキシによるトラフィック制御を行う際は、この 169.254.0.0/16 の除外設定が正しく反映されているかを、運用開始前の確認事項として定義しておくのが安全です。
田中 章大 (記事一覧)
