- VPCのピアリング機能をまとめる。
概要
できること
- 自分が保持する異なるVPC間での接続
- 別のAWSアカウントのVPCとの接続
- 別のAWSリージョンのVPCとの接続
- 複数VPCとの接続
制限事項
-
CIDR ブロックが一致または重複するVPC 間での接続
- VPC に複数の IPv4,v6 CIDRブロックがある場合、いずれかのCIDR ブロックが重複している場合は、接続を作成できない。
-
ピアリング先のVPCを経由する通信
- VPC A と VPC B の間、および、VPC A と VPC C の間 に VPC ピアリング接続が設定されており、VPC B と VPC C の間には VPC ピアリング接続がない場合 ⇒ VPC A を経由して VPC B から VPC C にパケットを直接ルーティングすることはできない。
- VPC B と VPC C の間でパケットを直接ルーティングするために、両者の間に別の VPC ピアリング接続を作成する必要がある。
- 以下の場合も対応できない。
- ピアリング先のVPCが接続しているVPNを経由したオンプレミスとの直接通信。
- ピアリング先のVPCのインターネットゲートウェイ/NATを経由したインターネットへの直接通信。
- VPC A と VPC B の間、および、VPC A と VPC C の間 に VPC ピアリング接続が設定されており、VPC B と VPC C の間には VPC ピアリング接続がない場合 ⇒ VPC A を経由して VPC B から VPC C にパケットを直接ルーティングすることはできない。
接続設定方法
-
最初に別の VPC とのピアリング接続リクエストを作成する。
- アカウント内の別の VPC や、別の AWS アカウントの VPC との VPC ピアリング接続をリクエストできる。
- リージョン間 VPC ピアリング接続 (複数の異なるリージョンに VPC が存在する) では、リクエスタ VPC のリージョンからリクエストを行う必要がある。
-
リクエストをアクティブ化するために、アクセプタ VPC の所有者がリクエストを承認する。
- リージョン間 VPC ピアリング接続では、アクセプタ VPC のリージョンでリクエストを承諾する必要がある。
ユースケース
複数の VPC をピアリング接続してリソースにフルアクセスする
- 例:会社でA事業部用の VPC と、B事業部用の別の VPC を利用している。両事業部は互いのすべてのリソースにアクセスする必要がある場合。
1 つの VPC にピアリング接続して一元管理されているリソースにアクセスする
- 例:会社の IT 部門がファイル共有用の VPC を保持している場合。そのVPC に他部門のVPCからアクセスしたい場合。他部門のVPCはIT部門用のVPCとピアリング接続を行う。