オンプレミスの Storage Gateway アプライアンスから、AWS へプライベート接続する場合に Gateway 型 VPC エンドポイントで接続可能か教えてください
困っていること
Storage Gateway の S3 ファイルゲートウェイをホストプラットフォームタイプ VMware ESXi で作成予定です。
オンプレミスの Storage Gateway アプライアンスから、サイト間 VPN を利用して AWS へプライベート接続する場合に Gateway 型 VPC エンドポイントで接続可能か教えてください。
また、留意点があれば教えてください。
どう対応すればいいの?
結論から申し上げると、Gateway 型 VPC エンドポイントで接続はできません。
オンプレミスの Storage Gateway アプライアンスから、AWS(Storage Gateway マネジメントサービスや S3 など)にプライベートで接続したい場合は VPC エンドポイントを構成します。
しかしながら、その際の S3 バケットへの接続は Gateway 型ではなく、Interface 型の VPC エンドポイントで構成する必要がございます。
※ 参考資料 (P12)
留意点
ドキュメント記載の通り、以下に留意して設定してください。
- プライベート DNS を無効にする
- TCP ポートの許可
Storage Gateway では VPC エンドポイントを使用する際に、プライベート DNS を無効にする必要がございます。
また、VPC エンドポイントにアタッチするセキュリティグループにおいて、以下のインバウンドルールを許可する必要がございます。
- TCP 443
- TCP 1026
- TCP 1027
- TCP 1028
- TCP 1031
- TCP 2222
6. [プライベート DNS 名を有効にする] が選択されていないことを確認します。
7. [セキュリティグループ] で、VPC に使用するセキュリティグループを選択します。デフォルトのセキュリティグループを使用できます。次の TCP ポートがすべてセキュリティグループで許可されていることを確認します。 ・TCP 443 ・TCP 1026 ・TCP 1027 ・TCP 1028 ・TCP 1031 ・TCP 2222
![[アップデート] 大阪リージョンでAWS Application Migration Service (AWS MGN)のVPC Endpointが利用できるようになっていました](https://images.ctfassets.net/ct0aopd36mqt/wp-thumbnail-6a711741368370a307aef7341de9bc77/ca88b1ef4dace210a0040da138a84970/aws-application-migration-service)
