Transit Gateway を使用して別リージョンの VPC エンドポイント経由での マネージドノード登録は可能ですか

Transit Gateway を使用して別リージョンの VPC エンドポイント経由での マネージドノード登録は可能ですか

Clock Icon2025.07.08

困っていること

Transit Gateway を使用して別リージョンの VPC エンドポイント経由での マネージドノード登録は可能か教えてください。

どう対応すればいいの?

本ブログ執筆時点において、別リージョンの VPC エンドポイント経由でのマネージドノード登録は対応しておりません。
例えば、/etc/amazon/ssm/amazon-ssm-agent.json にてエンドポイントやリージョンの指定ができるものもございますが、こちらを us-east-1 や ap-northeast-1 に設定しても登録が出来ません。

https://docs.aws.amazon.com/ja_jp/systems-manager/latest/userguide/ssm-agent-technical-details.html#fips-compliant-configurations

原因としては、VPCエンドポイントが作成されたリージョンのサービスエンドポイントにのみ有効であり、別リージョン経由では証明書が一致せず TLS ハンドシェイクに失敗するためです。

代替案

Transit Gateway (ピアリング) を用いて異なるリージョンにある NAT Gateway を経由してインターネットアクセスし、マネージドノードとして登録することをご検討ください。

https://dev.classmethod.jp/articles/transit-gateway-peering-cross-region-ssm-nat-gateway/

参考資料

Share this article

facebook logohatena logotwitter logo

© Classmethod, Inc. All rights reserved.