この記事について
本記事は、
2025 Japan AWS Jr. Champion Qiitaリレー夏
48日目の記事となります。
リレーで既に投稿されている記事については以下のリンク集を御覧ください!
はじめに
NW-JAWSにJr.Champions&若手のLT枠があったので申し込みました。
知識はあっても、VPC間接続についてはほぼ手を動かしたことが無かったので、これを機にやってみました!
基礎中の基礎レベルですが、新卒教育にも活用したいネタです。
各パターンの構成図
折角なので複数パターン用意して比較してみることに。
①同アカウント・同VPCのEC2間疎通
同一VPCにあるEC2間の疎通。
②同アカウント・別VPCのEC2間疎通
ピアリングしたVPCにあるEC2間の疎通。
③別アカウント・別VPCのEC2間疎通
別アカウントのピアリングしたVPCにあるEC2間の疎通。
それぞれの構成で、「接続元のEC2からpingコマンドで返答が返ってくるようにする」を目指します。
接続元EC2の作成
別記事にて共有予定。
今回はプライベートサブネットに作成し、セッションマネージャーで接続する形で検証しました。
①同アカウント・同VPCのEC2間疎通
接続先EC2のセキュリティグループ(以下SG)で、インバウンドルールにICMPを追加するだけで疎通します。
| タイプ | ソース |
|---|---|
| すべてのICMP - IPv4 | 接続元EC2のSG |
②同アカウント・別VPCのEC2間疎通
①に加えて、[VPCピアリング] および [ルートテーブルの編集] を実施します。
VPCピアリングの作成
VPC > ピアリング接続 > [ピアリング接続を作成]
| 項目 | パラメータ |
|---|---|
| VPC ID(リクエスタ) | 接続元VPC |
| アカウント | 自分のアカウント |
| リージョン | このリージョン |
| VPC ID(アクセプタ) | 接続先VPC |
作成後、ステータスが保留中になっている。
接続先VPCの持ち主が アクション > [リクエストを承諾]することでVPCピアリングが作成される。
ルートテーブルの編集
接続元EC2のいるサブネットに関連付けされたルートテーブルに、ピアリング接続するVPCのCIDRを追加します。
| 送信先 | ターゲット |
|---|---|
| 接続先のCIDR (xx.xx.xx.xx/xx) | ピアリング接続(pcx-xxxxxxxxxxxxxxxxx) |
③別アカウント・別VPCのEC2間疎通
②と比較して、ピアリング接続の設定が少し変わる程度です。
VPC > ピアリング接続 > [ピアリング接続を作成]
| 項目 | パラメータ |
|---|---|
| VPC ID(リクエスタ) | 接続元VPC |
| アカウント | 別のアカウント |
| アカウントID | 接続先アカウントID |
| リージョン | このリージョン |
| VPC ID(アクセプタ) | 接続先VPC |
作成後、ステータスが保留中になっている。
同様に アクション > [リクエストを承諾]することでVPCピアリングが作成される。
③では接続先アカウント側からピアリングのリクエスト承諾を行う必要がある。
ピアリング接続を行うVPC同士でIPアドレスの範囲が被らないようにしましょう!
振り返り
今回はピアリング接続の練習でした。手を動かしてみるって良いですね!
練習用に複数アカウントを用意したばかりであったので、それを活かすこともできたのがよかったです。
他にもTransit Gateway経由・インターネットゲートウェイ経由・PrivateLink経由などの接続方法があるので、こちらも体験してまとめていきたいです。
また、EC2だけでなく他サービスの連携なども経験していきたいところです。
(なお本記事はかなり突貫で用意したので、追記していくかもしれません)