AWS PrivateLink の説明
- Networking , Partners
- 2023年7月13日
AWS 接続を実装しているお客様には、PrivateLink を含むさまざまな選択肢が用意されています。では、PrivateLink が最も適しているのは、どのような状況でしょうか?このプライベート接続の使用法と利点について詳しくご説明します。
AWS への接続では、さまざまなオプションを利用できます。主なオプションとしては、トランジット ゲートウェイ、VPC ピアリング、そして、弊社のブログでまだあまり取り上げていない AWS PrivateLink があります。しかし、PrivateLink が最良の選択となるのはどのような状況なのでしょうか?実装例にはどのようなものがあり、どのような利点があるのでしょうか?PrivateLink に関するすべての質問にお答えします。
AWS PrivateLink とは、実際のところ何ですか?
AWS Direct Connect についてはおそらくご存知でしょう。これは、顧客の施設またはデータセンターから AWS へのプライベート ネットワークの接続に使用される方法で、特にクラウド内に構築されている顧客の VPC 環境への接続に使用されます。PrivateLink もこの一般的な選択肢と似ていますが、わずかな違いがあります。Direct Connect とは異なり、PrivateLink は AWS 内のネットワーキング構造として使用され、1 つの VPC (サービス プロバイダーの VPC) に常駐するサービス/アプリケーションを AWS リージョン内の他のコンシューマー VPC にプライベートに接続します。
AWS PrivateLink の利点
その名の通り、PrivateLink は最もプライベートな AWS 接続方法と考えることができます。この特徴が、次のような多くの利点をもたらします。
- **安全なトラフィック:**PrivateLink を使用するネットワーク トラフィックは、パブリック インターネットを通過することがないため、サイバーセキュリティ関連のさまざまな脅威への露出が抑えられます。プライベート IP 接続を使用できるため、プライベート ネットワーク上で直接ホストされているかのようにサービスが機能します。さらに、セキュリティ グループを関連付け、エンドポイント ポリシーをインターフェイス エンドポイントにアタッチして、指定したサービスにアクセスできるユーザーを正確に制御できます。
- **簡素化されたネットワーク管理:**ファイアウォール ルール、パス定義、ルート テーブル、インターネット ゲートウェイ、VPC ピア接続、VPC CIDR 管理の構成を必要とせずに、さまざまなアカウントや Amazon VPC 間でサービスを接続できます。
- **クラウド移行の加速:**データをインターネットから保護することで、従来のオンプレミス アプリケーションを PrivateLink を使用してクラウドでホストされている SaaS オファリングに簡単に移行でき、トラフィックを安全に保つことができます。
- 自動化機能:Databricks などの SaaS をサポートする Terraform プロバイダーを使用することで、インフラストラクチャと構成管理を自動化し、より一層管理しやすく直感的な PrivateLink ワークスペースを展開できます。
AWS PrivateLink は、AWS システム内で動作して クラウド データを保護します。ソース:AWS
AWS PrivateLink の使用を開始する方法
お客様が社内の AWS サービスまたはサードパーティの SaaS オファリングに接続しようとすると、オファリングの結果が推進要因である場合、接続オプションを把握するのが難しい場合があります。例えるなら、最初に土台について考慮することなく家を建てるようなものです。しかし、ありがたいことに、PrivateLink を介して利用できるさまざまなオファリングの検討は簡単に開始できます。
PrivateLink 経由で VPC 環境に統合できる組み込みの AWS ネイティブ サービスはたくさんあります。こちら で、そのようなサービスのリストを確認できます。このリストは、企業が確立する必要のある接続のタイプに PrivateLink が対応するかどうかの判断に役立ちます。AWS コンソールにログインしてから、VPC エンドポイント セクション を介してリージョン別に利用可能なサービスを調べることもできます。例えば、この記事の公開時点では、ap-southeast-2 (シドニー) リージョンだけでも、サービス名で利用できる AWS 組み込みサービスが 115 個あります。Amazon S3 (Simple Storage Service) ゲートウェイ/インターフェイス エンドポイントには、com.amazonaws.ap-southeast-2.s3 などの AWS リソース名 (ARN) を介してアクセスできます。インターフェイス エンドポイントとゲートウェイ ロード バランサー エンドポイントは AWS PrivateLink を利用しており、サービス宛てのトラフィックのエントリポイントとしてエラスティック ネットワーク インターフェイス (ENI) を使用します。
AWS 内の PrivateLink セットアップ画面にアクセスするには、AWS の「VPC」セクションに移動し、「エンドポイントの作成 」を選択します。ここには 3 つのオプションがあります。1 つ目は「AWS サービス」で、VPC が配置されているリージョン内で利用可能なすべてのサービスのリストを表示でき、2 つ目は名前で検索できます。
最後のオプションは、SaaS トラフィックが VPC とプロバイダー間のパブリック インターネットを通過する必要なく、固有のグローバル ディストリビューション、ロード バランシング、その他の AWS サービスを利用しながら、他のソフトウェア ベンダーによって公開された Software as a Service (SaaS) オファリングを利用できるため、興味深いものです。SaaS から VPC への接続をオンプレミスとデータ センターのコロケーション サービスにさらに拡張できるため、企業が Direct Connect も使用している場合、これは優れたオプションとなります。これは、信頼性が低く、セキュリティで保護されていない可能性のあるインターネット接続を完全にバイパスできるだけでなく、プロセスで Direct Connect の出力コスト削減を活用できることを意味します。
PrivateLink を介して利用できる SaaS サービスの例を確認するには、こちらをクリック してください。人気のある例としては、Databricks 、Snowflake 、Dynatrace 、Cisco Secure Cloud Analytics などがあります。また、AWS Technology Partner がサポートするオファリングのリスト にアクセスして、この方法で利用できる最新のオファリングを確認することもできます。Megaport 対応の AWS Direct Connect サービスで機能する、クリックして展開できるソリューションについては、それぞれのリストで「AWS Private Link 対応製品」オファリングをお探しください。
SaaS 製品をお客様の AWS VPC とやり取りさせるべき理由はたくさんあります。あるレベルのアカウント間の相互作用の恩恵を受ける SaaS 製品の例は、多くの場合、ロギングとモニタリング、セキュリティ、コンプライアンス、リソース最適化、データ分析、DevOps ワークフローのカテゴリに分類されます。つまり、SaaS ワークスペースに PrivateLink を使用すると、エンタープライズ ガバナンス ポリシーの主要な要件を満たすのに役立ちます。
AWS PrivateLink と Megaport
信頼できる AWS Technology Partner である Megaport のソフトウェア定義ネットワークは、AWS PrivateLink 接続を合理化して、プロビジョニングを高速化し、セキュリティを強化し、レイテンシを短縮します。これらの組み合わせにより、貴重なデータのセグメントをパブリック インターネット経由で信頼できないパスに送信することで妥協することなく、SaaS ワークロードの可視性を最大限に高める確実なトラフィック パスが提供されます。
Megaport を単一の相互接続ポイントとして使用することで、Megaport Cloud Router (MCR)
を使用して AWS インスタンスを他のクラウド プロバイダーに接続し、Megaport Virtual Edge (MVE)
で SD-WAN 統合パートナーの 1 つとブランチからクラウドへの AWS 接続を実現できます。