Transit Gateway を使用して別リージョンの VPC エンドポイント経由での マネージドノード登録は可能ですか
困っていること
Transit Gateway を使用して別リージョンの VPC エンドポイント経由での マネージドノード登録は可能か教えてください。
どう対応すればいいの?
本ブログ執筆時点において、別リージョンの VPC エンドポイント経由でのマネージドノード登録は対応しておりません。
例えば、/etc/amazon/ssm/amazon-ssm-agent.json にてエンドポイントやリージョンの指定ができるものもございますが、こちらを us-east-1 や ap-northeast-1 に設定しても登録が出来ません。
原因としては、VPCエンドポイントが作成されたリージョンのサービスエンドポイントにのみ有効であり、別リージョン経由では証明書が一致せず TLS ハンドシェイクに失敗するためです。
代替案
Transit Gateway (ピアリング) を用いて異なるリージョンにある NAT Gateway を経由してインターネットアクセスし、マネージドノードとして登録することをご検討ください。