そういえば、TLS 終端している NLB で PrivateLink できるんでしたっけ？

概要

(2019-01-28の公式)「新機能 – Network Load Balancer の TLS 終端」
https://aws.amazon.com/jp/blogs/news/new-tls-termination-for-network-load-balancers/

もう一年近く前の 2019-01-28 に NLB が TLS を終端できるようになったわけですが、今更ながらこれは PrivateLink もいけるんでしたっけ、、、だめだ、記憶にない。はて。

出来きたかどうか記憶もないし、もにょもにょするので、ちょっとだけ試しておきました。

構成

特に何のひねりもないです。
ただ、TLS 終端した NLB を PrivateLink するだけです。

手順

NLB の TLS 終端については、以下の記事を
https://aws.amazon.com/jp/blogs/news/new-tls-termination-for-network-load-balancers

PrivateLink については、以下のドキュメントを
https://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/endpoint-service.html

結果

問題なく可能のようですね。

クライアントからのアクセスの結果

[ec2-user@ip-10-2-11-230 ~]$ curl -vk https://10.2.11.151
* Rebuilt URL to: https://10.2.11.151/
*   Trying 10.2.11.151...
* TCP_NODELAY set
* Connected to 10.2.11.151 (10.2.11.151) port 443 (#0)
* ALPN, offering h2
* ALPN, offering http/1.1
* Cipher selection: ALL:!EXPORT:!EXPORT40:!EXPORT56:!aNULL:!LOW:!RC4:@STRENGTH
* successfully set certificate verify locations:
*   CAfile: /etc/pki/tls/certs/ca-bundle.crt
  CApath: none
* TLSv1.2 (OUT), TLS header, Certificate Status (22):
* TLSv1.2 (OUT), TLS handshake, Client hello (1):
* TLSv1.2 (IN), TLS handshake, Server hello (2):
* TLSv1.2 (IN), TLS handshake, Certificate (11):
* TLSv1.2 (IN), TLS handshake, Server key exchange (12):
* TLSv1.2 (IN), TLS handshake, Server finished (14):
* TLSv1.2 (OUT), TLS handshake, Client key exchange (16):
* TLSv1.2 (OUT), TLS change cipher, Change cipher spec (1):
* TLSv1.2 (OUT), TLS handshake, Finished (20):
* TLSv1.2 (IN), TLS change cipher, Change cipher spec (1):
* TLSv1.2 (IN), TLS handshake, Finished (20):
* SSL connection using TLSv1.2 / ECDHE-RSA-AES128-GCM-SHA256
* ALPN, server did not agree to a protocol
* Server certificate:
*  subject: CN=*.xxxxxxxxx
*  start date: Dec 27 00:00:00 2019 GMT
*  expire date: Jan 27 12:00:00 2021 GMT
*  issuer: C=US; O=Amazon; OU=Server CA 1B; CN=Amazon
*  SSL certificate verify ok.
> GET / HTTP/1.1
> Host: 10.2.11.151
> User-Agent: curl/7.61.1
> Accept: */*
>
< HTTP/1.1 200 OK
< Date: Fri, 27 Dec 2019 15:44:14 GMT
< Server: Apache/2.4.41 ()
< Upgrade: h2,h2c
< Connection: Upgrade
< Last-Modified: Fri, 27 Dec 2019 14:06:29 GMT
< ETag: "6-59ab000129b24"
< Accept-Ranges: bytes
< Content-Length: 6
< Content-Type: text/html; charset=UTF-8
<

hoge

Webサーバーのログ
PrivateLink経由なので、Source IP が NLB になってます。

10.1.11.4 - - [27/Dec/2019:15:44:14 +0000] "GET / HTTP/1.1" 200 6 "-" "curl/7.61.1"

以上です