※執筆内容はエンジニアとして個人的な感想であり、所属する組織を代表するものではありません。
1. はじめに
- PrivateLinkの仕組み
※引用:https://docs.aws.amazon.com/ja_jp/vpc/latest/privatelink/what-is-privatelink.html
VPCエンドポイントを作成して異なるVPCのリソースに対してアクセスが出来ます。
VPCエンドポイントと対抗先とではプライベート接続が可能で、互いにグローバルIPを持たない構成が可能なためセキュアな環境構築を可能にします。
2. AWS PrivateLinkの何がうれしい
PrivateLinkの良さはクライアント側(VPCエンドポイント側)が楽に!セキュアに!接続が出来る事かなと思ってます。
VPCエンドポイントサービス名をクライアント側で登録するだけで、プライベート接続ができるだけでなく、VPC Peeringのように互いのVPCのCIDRすら意識しなくて良いわけですから、めちゃくちゃ楽です。この「ワンタッチ感」がたまらなく好きで、便利。
特にSaaSと繋ぐ時とか。
参考:https://aws.amazon.com/jp/privatelink/partners/
3. 海外リージョンへの対応の背景
- 以前の制限とその影響
これまでVPCエンドポイントサービスとVPCエンドポイントは同じリージョン内である必要があるという仕様のため、クロスリージョン接続を可能にするためにはほかにリソースを作成する必要がありました。
AWS Transit Gateway Inter-Region Peeringを使うとできるようです。
コスト面が気にあるのと、やはり複雑性が増すので取っつきにくい感じはあったのかなと思います。
- ニーズ
海外支社や取引先などで海外のオンプレサーバーとセキュアに接続したいといったケース。
VPCとオンプレ間はAWS Direct Connect等を利用して閉域接続を構築出来、VPC同士はPrivateLinkでワンタッチに接続できるならば非常に便利だなと思います。
あとはSaaS側のリージョンが自分たちの使っているリージョンと異なるケース。
PrivateLink対応してるけどリージョンが限られてますっていうのはだいたいこういうケースなんだろうなと思ってますが、今後は無くなりそうですね。
4. 地域別サポートの現状
- 対応している海外リージョンのリスト
US East (N. Virginia), US West (Oregon), Europe (Ireland), Asia Pacific (Singapore), South America (São Paulo), Asia Pacific (Tokyo) and Asia Pacific (Sydney) Regions
5. 設定手順
- PrivateLinkの設定方法
両方での追加の設定が必要です。
VPCエンドポイントサービス側では複数のリージョンが作成できるようになりました。
「VPCエンドポイント側ではクロスリージョンエンドポイントを有効にする」という設定が可能になっており、これを有効化しないと仮にVPCエンドポイントサービス側がクロスリージョンの設定を有効化していたとしても、そもそもVPCエンドポイントが作成できませんでした。(サービス名が見つからない)
6. 今後の展望
当社もAWS上にHULFT Squareというサービスをホストしており、PrivateLinkに対応した機能があります。
見た感じ製品側の改修も必要そうなので、執筆時点(11/28)ではさすがに昨日の今日過ぎて対応してないと思いますが待ち遠しく思ってます。