VPCピアリングを作りながら学んでみた

VPCピアリングを作りながら学んでみた

#Amazon EC2
#Amazon VPC
#AWS
加藤 諒

加藤 諒

facebook logohatena logotwitter logo
Clock Icon2018.06.05

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

おはようございます、加藤です。WWDC 2018でiPhone SE2が来るかと期待していましたが、見事に夢破れました。

VPCピアリングを使用する機会があったので、構築しながら勉強してみました。

概要

できること

異なるVPCを接続

当然ですね、VPCピアリングによって異なるVPCを接続することができます。VPC間で直接接続する為、インスタンスにパブリックIPアドレスが割り当てらている必要はありません。

また、IPv6アドレスでも利用することが可能です。

異なるAWSアカウントのVPCを接続

VPCピアリングはAWSアカウントに依存しません。異なるアカウント間でVPCピアリングを利用することができます。

異なるリージョンのVPCを接続

VPCピアリングはリージョンに依存しません。異なるリージョン間でVPCピアリングを利用することができます。

ただし、IPv6アドレスは非対応です。

複数のVPCとピアリング

VPCピアリングは1:Nの接続をサポートしています。デフォルトの制限値は50で上限緩和リクエストによって最大125まで緩和できます。

ただし、ネットワークパフォーマンスに影響がでる場合があります。また、合わせてルートテーブルの上限緩和が必要になる可能性があります。大規模なピアリングを行う場合は、しっかりと計画しましょう。

できないこと

CIDRブロックが一致・重複するVPC間のピアリング

CIDRブロックが一致または重複する VPC 間で VPC ピアリング接続を作成することはできません。

重複していないCIDR ブロック間の通信にのみが必要であったとしても、いずれかのCIDR ブロックが重複している場合は、VPC ピアリング接続を作成することはできません。

ピアリング先のVPCを経由する通信

オンプレチックな考え方だとできそうと思ってしまいますが、NGです。具体的な例を上げていきます。

ピアリング先のVPCがピアリングしているVPCに直接通信することはできません。

ピアリング先のVPCが接続しているVPN/DXを経由してオンプレミスと直接通信することはできません。

ピアリング先のVPCのインターネットゲートウェイ/NATデバイスを経由してインターネットに直接通信することはできません。

ピアリング先のVPCエンドポイントを経由してAWSリソースに直接通信することはできません。

やってみた

以下の条件でVPCピアリングを試してみました。

  • 同一アカウント
  • 異なるリージョン
    • ap-northeast-1, ap-southeast-1
  • EC2(VPC A) →SSH→ EC2(VPC 2)

VPC,EC2

本筋では無いのでTerraformで構築しました。コードはGithubで公開しています。

雑い & 英語が変かもしれませんが生暖かい目で御覧ください\(^o^)/

Terraformについてはこちらのブログをどうぞ

AWSでTerraformに入門

VPCピアリング

AWSマネジメントコンソールでピアリング接続の画面を開き、「ピアリング接続の作成」をクリックします。

フォームに値を入力します。

項目 説明
ピアリング接続ネームタグ リソースを識別する為のNameタグ 任意の文字列を入力する
VPC(リクエスタ) 接続元のVPCのIDを入力する
アカウント 接続先VPCをAWSアカウントに応じて選択する
リージョン 接続先VPCをリージョンに応じて選択する
VPC(アクセプタ) 接続先のVPCのIDを入力する

これで接続先にVPCピアリングのリクエストが飛びます。

リージョンをシンガポールに切り替えて承認を行います。

ルートテーブル

VPC間は接続されましたが、ルートテーブルを定義しないと通信ができません。

それぞれのVPCのルートテーブルにルートを追加します。

VPC A

送信先 ターゲット
10.1.0.0/16 VPC Aのピアリング接続(pcx-aaaabbbb)

VPC B

送信先 ターゲット
10.0.0.0/16 VPC Aのピアリング接続(pcx-bbbbaaaa)

セキュリティグループ

VPC AのEC2からVPC BのEC2に対してSSHを許可します。

VPCピアリングが接続されていますが、送信元/送信先にセキュリティグループを指定することが可能です。

ただし、別リージョンの場合はできません。つまり、今回はCIDRブロックで指定する必要があります。

VPC B側のセキュリティグループに受信設定を追加します。

タイプ
プロトコル
ポート範囲
ソース
SSH (22)
TCP (6)
22
10.0.0.0/16

動作確認

EC2 AにSSH接続

ssh -l ec2-user [EC2 A Public IPAddr]
curl -s https://checkip.amazonaws.com
[EC2 A Public IPAddr]

EC2 A経由でEC2 BにSSH接続

SSH Configを作成

Host EC2A
Hostname [EC2 A Public IPAddr]
User ec2-user
IdentityFile ~/.ssh/id_rsa

Host EC2B
Hostname [EC2 B Private IPAddr]
User ec2-user
IdentityFile ~/.ssh/id_rsa
ProxyCommand ssh -W %h:%p EC2A

ssh EC2B
curl -s https://checkip.amazonaws.com
[EC2 B Public IPAddr]

EC2それぞれのパブリックIPアドレスが表示されれば成功です❗

 あとがき

できないことについても作って検証したかったですが、そこそこの長さになってしまったので一旦切り上げました。今後、Terraformをアップデートして引き続き勉強&ブログにしようと思います。

VPCピアリングしている際にVPCをまたいで、セキュリティグループの送信元にセキュリティグループを指定できるという知識はあったのですがリージョンをまたぐとできないという事が抜けていました。構築している際に、少しハマってしまいました...

引用元

VPC ピア機能とは - Amazon Virtual Private Cloud

Share this article

facebook logohatena logotwitter logo

関連記事

[小ネタ] Windows AMIの更新通知の購読をAWS CLIから行う

[小ネタ] Windows AMIの更新通知の購読をAWS CLIから行う

User avatar
Takuya Shibata
2024.11.16
ENA ドライバーのアップグレード時に再起動は発生するか教えてください

ENA ドライバーのアップグレード時に再起動は発生するか教えてください

User avatar
片方 裕人
2024.11.14
作ったのは誰?EC2 インスタンス作成時に作成者を自動でタグ付与してみた

作ったのは誰?EC2 インスタンス作成時に作成者を自動でタグ付与してみた

User avatar
Shiina
2024.11.13
既存のリソース上にTerraformでリソースを追加してみた

既存のリソース上にTerraformでリソースを追加してみた

User avatar
よなみね
2024.11.13
Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.