[新機能] ネットワークがアクセス要件を満たしているか確認するのに便利な VPC Network Access Analyzer がリリースされました! #reinvent
AWS内のネットワークインターフェース間のパス(経路)を分析して出力してくれる Amazon VPC Network Access Analyzer がリリースされました。本機能を利用することで、意図していないネットワーク構成を特定するのに役立ちます。
AWSのブログでも紹介されています。
やってみた
早速使ってみました。
VPC の NETWORK ANALYSIS メニューに Network Access Analyzer があります。Reachability Analyzer に続き、2 つ目の Analyzer となります。
分析には、 AWS IAM Access Analyzer、 Amazon VPC Reachability Analyzer 同様に自動推論テクノロジー が利用されています。
開始方法は「使用を開始する」をクリックするのみです。簡単です。
有効化した後は、Amazon によって始めから作られている 4 パターンの Network Access Scopes が表示されます。
Network Access Scopes 一覧
Name | Description |
---|---|
All-IGW-Ingress(Amazon が作成) | インターネットゲートウェイからすべてのネットワークインターフェイスへの入力パスを特定します。 |
AWS-IGW-Egress(Amazon が作成) | すべてのネットワークインターフェイスからインターネットゲートウェイへの出力パスを特定します。 |
AWS-VPC-Ingress(Amazon が作成) | インターネットゲートウェイ、ピアリング接続、VPC サービスエンドポイント、VPN、トランジットゲートウェイから VPC への入力パスを特定します。 |
AWS-VPC-Egress(Amazon が作成) | すべての VPC からインターネットゲートウェイ、ピアリング接続、VPC エンドポイント、VPN、トランジットゲートウェイへの出力パスを特定します。 |
分析を開始するには、Network Access Scopes から利用したいものを選択して「分析」をクリックするだけです。
私の環境の場合は、1 つの Network Access Scopes あたり数分で分析が完了しました。
All-IGW-Ingress の分析結果
まずは、インターネットゲートウェイからネットワークインターフェースへの入力パスである「All-IGW-Ingress」の分析結果です。
2 つの VPC にそれぞれ存在する EC2 インスタンスに紐付けている ENI までの経路が表示されました。
もし分析結果に意図していない ENI へのアクセス経路が表示されていれば、ネットーワークのアクセス要件を満たしていないことが分かります。
カテゴリ別にフィルタすることもできます。下図では 1 つの IGW (test-igw) でフィルタしています。
結果のパスを選択することで、ルートの詳細を確認できます。
過去の分析結果も確認することができます。
AWS-VPC-Ingress の出力結果
次に、インターネットゲートウェイ、ピアリング接続、VPC エンドポイント、VPN、トランジットゲートウェイからネットワークインターフェースへの入力パスである「AWS-VPC-Ingress」の分析結果です。
「All-IGW-Ingress」と異なり、VPC ピアリングも表示されています。
停止しているインスタンスも含まれています。
VPC ピアリングでフィルタした結果です。VPC ピアリング経由のアクセスが全て表示されます。
Network Access Scopes の作成
今回は、Amazon 提供の Network Access Scopes を利用しましたが、ユーザが Network Access Scopes を作成することもできます。
今回は作成までしませんが、いつか試してみたいと思います。冒頭で紹介したAWSのブログではやり方が紹介されています。
料金
Amazon VPC pricing で料金を確認できます。2021年12月2日時点では、英語のページで確認する必要がありました。
Network Access Analyzer によって評価された ENI 単位で課金され、 東京リージョンの場合は下記の料金となります。
Price per analysis processed by VPC Reachability Analyzer : $0.002
料金例も掲載されています。
Network Access Analyzer - pricing example Let’s say you run 5 network assessments using Network Access Analyzer, and each of those network assessments analyzed 1000 ENIs. You will be charged for each ENI that is analyzed.
5 network assessments x 1000 ENIs X $0.002 per ENI analysis = $10.
This will result in a charge of $10.
まとめ
意図しないネットワーク構成を特定に役立つ Network Access Analyzer の紹介でした。
構築後にネットワーク構成が要件通りか確認する際に役立つ機能でした。今回の検証環境では、VPC 数が少なかったですが、多数の VPC がある環境や Transit Gateway を利用している複雑な環境でさらに役立つサービスだと思います。