こんにちは、ソリューションアーキテクトの焼尾です。
先日開催致しました AWS Black Belt Online Seminar 「Amazon VPC」の資料を公開いたしました。当日参加者の皆様から頂いたQAの回答と併せてご紹介致します。
今後のAWS Black Belt Online Seminarのスケジュールは こちら です。皆様のご参加をお待ちしております。
【Q&A】
Q1. 請求先が異なるアカウントの VPC 同士をピアリング接続できますでしょうか?
A1. はい。可能です。
Q2. 専用線ではないのですが、auひかり、フレッツNTTのルータからVPC接続できますか?
A2. はい。 専用線を使わないプライベートな VPC への接続方法としては、インターネットによる VPN 接続がございます。VGW への IPSEC トンネルにて VPC へ接続する形となります。VPN接続の際には、お客様側のインターネットIPアドレスが固定であることをご確認ください。
Q3. EGW(egress only gateway) = IPv6用 NAT GW と認識して問題ありませんか?
A3. EGWはNAT(アドレス変換)の動作はしませんが、インターネットからのアクセスについては遮断しますので、VPC内のサブネットをセキュアに構成しながら外部への通信を提供するという観点では、同じ目的でご利用頂けるかと思います。
Q4. Amazon DNSサーバの169.254.169.253のほうも、EC2インスタンスからのみ参照可能なのでしょうか?インターネット経由で参照することは可能でしょうか
A4. はい。169.254.169.253についてもVPC内からのみアクセス可能となります。
Q5. プライベートサブネットから外部へ接続したい場合はどうすればよいですか?
A5. NATゲートウェイをお使いください。本セミナーの公開資料にも記載がございますので、ご参照ください。
Q6. Transit VPC は、各VPC間での相互通信も可能でしょうか?また、リージョンが異なっても問題ないのでしょうか?
A6. はい。各VPC間およびリージョン間通信が可能となります。(Transit VPCとして起動したCiscoCSRが各リージョンからのIPSECを終端およびトラフィックのRoutingを行いますので、VPC Peeringの制限を受けない構成が可能です)
Q7. クロスアカウントの場合は、パブリックNWを通過することになりますか?
A7. クロスアカウントの場合でも、双方のルートテーブルに対してVPCピアリング接続をターゲットに設定して頂くことにより、その通信はインターネット経由はなく、ピアリング接続経由となります。
Q8. AWS LambdaをVPCで使用する場合、パブリックサブネットに置いてもパブリックIPが付与されない仕様なので、IGWがあってもインターネットアクセスできないと思うのですが、これに対する対応方法として NATゲートウェイを立てた時に、なぜ Lambdaはパブリックサブネットでなくプライベートサブネットにアタッチしなければならないのでしょうか?また、Egress-only Gateway(EGW)を使用すれば、NATゲートウェイがなくてもLambdaからインターネットアクセス可能ですか?
A8. LambdaをVPC内で使用する場合は、LambdaからのインターネットアクセスをNATゲートウェイ、もしくはNATインスタンス経由とする必要がございます。通常は下記の通りプライベートサブネットを選択します。
http://docs.aws.amazon.com/ja_jp/lambda/latest/dg/vpc.html#vpc-internet
また、Egress-only GatewayはIPv6利用時に、IPv6の特性上インターネットからのアクセスがグローバルで一意であるため、そのアクセスを防ぎたい時に利用します。ですのでLambdaからインターネット(IPv4にて)にアクセスする場合は、NATゲートウェイをご利用下さい。
http://docs.aws.amazon.com/ja_jp/AmazonVPC/latest/UserGuide/egress-only-internet-gateway.html
Q9. Peering利用時は追加料金など発生しますでしょうか。
A9.VPC Peering自体の課金はありませんが、データ転送(IN/OUT)に関して課金が発生します。
実際の費用については、下記のリンクに記載がございます。
https://aws.amazon.com/jp/ec2/pricing/on-demand/#Data_Transfer
Q10. AWSにグローバルに利用しているユースケースはありますか。
A10. はい。多くのお客様にグローバルに利用していただいております。
下記のURLにお客様事例を多数公開しており、グローバルの事例もありますので、ぜひご参照下さい。
https://aws.amazon.com/jp/solutions/case-studies/all/
Q11. インターネットから接続されないEC2のサーバに設定するデフォルトGWは、NAT-GWのプライベートIPを設定するという認識で良いでしょうか。この場合、ルートテーブルに設定するデフォルトルート(0.0.0.0/0)のゲートウェイ(ターゲット)は、NAT-GWにしておくということでしょうか。NAT-GWのデフォルトルート(0.0.0.0/0)は、インターネットGWになると思いますが、この辺りがどのように設定するイメージになるのかわかりませんでした。
A11. はい。インターネットから接続させないプライベート用サブネットについては、NATゲートウェイを設定して頂ければ、EC2発のインターネット宛通信が可能となります。NATゲートウェイ自体はインターネットへのリーチャビリティーを持っておりますので、NATゲートウェイ自体のルーティング設定不要です。