Amazon VPCでEgress OnlyインターネットゲートウェイとIGWを併用する

Amazon VPCでEgress OnlyインターネットゲートウェイとIGWを併用する

#Amazon VPC
#AWS
大瀧隆太

大瀧隆太

facebook logohatena logotwitter logo
Clock Icon2017.09.05

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

ども、大瀧です。

VPCでIPv4/IPv6デュアルスタックを構成する場合、インターネットとの通信には双方向通信のインターネットゲートウェイ(以下IGW)と送信専用のEgress Onlyインターネットゲートウェイ(EIGW)を利用することができます。両方使うことってできるのかなぁと思い試したら動いたので、その様子をレポートします。

IGWとEIGWを併用する目的

  • Elastic IPやPublic IPv4アドレスをアサインしてインターネットからIPv4で接続したい
  • IPv6はインターネットへのEgress(送信)のみでIngress(受信)は不要

「IPv6の要件に無理があるのでは」と指摘されそうですが、最近のOSはデュアルスタック構成になっているとIPv6接続を優先することが多く、APTやNTPなど思わぬネットワーク接続がIPv6経由になることがあります。それぞれ設定でIPv6を無効にすることもできますが、全てのインターネット接続要件を洗い出すのは現実的ではありません。一方でEC2に割り当てられるIPv6アドレスはグローバルスコープのため、IGWを利用する場合セキュリティグループや他のファイヤーウォールによる保護が必要です。

VPCの設定

構成図に描くと以下のような感じです。

eigw-igw01

IGWとEIGWの両方を作成、同一VPCにアタッチします。

eigw-igw02

eigw-igw03

ルーティングテーブルでは、IPv4のデフォルトルート(0.0.0.0/0)をIGW、IPv6のデフォルトルート(::/0)をEIGWに向ければOKです。

eigw-igw04

動作確認

では、動作確認してみます。

$ ssh ubuntu@XX.XX.XX.XX
Welcome to Ubuntu 16.04.2 LTS (GNU/Linux 4.4.0-1032-aws x86_64)

 * Documentation:  https://help.ubuntu.com
 * Management:     https://landscape.canonical.com
 * Support:        https://ubuntu.com/advantage

  Get cloud support with Ubuntu Advantage Cloud Guest:
    http://www.ubuntu.com/business/services/cloud

25 packages can be updated.
0 updates are security updates.


Last login: Tue Sep  5 06:51:04 2017 from YY.YY.YY.YY
$ sudo grep systemd-timesyncd /var/log/syslog
  :
Sep  4 15:45:08 localhost systemd-timesyncd[547]: Synchronized to time server [2001:67c:1560:8003::c8]:123 (ntp.ubuntu.com).
Sep  4 15:55:19 localhost systemd-timesyncd[508]: Synchronized to time server [2001:67c:1560:8003::c8]:123 (ntp.ubuntu.com).
Sep  4 16:00:39 localhost systemd-timesyncd[656]: Synchronized to time server [2001:67c:1560:8003::c7]:123 (ntp.ubuntu.com).
Sep  4 16:10:26 localhost systemd-timesyncd[580]: Synchronized to time server [2001:67c:1560:8003::c8]:123 (ntp.ubuntu.com).
Sep  4 21:31:41 localhost systemd-timesyncd[549]: Synchronized to time server [2001:67c:1560:8003::c7]:123 (ntp.ubuntu.com).
Sep  4 21:44:53 localhost systemd-timesyncd[666]: Synchronized to time server [2001:67c:1560:8003::c7]:123 (ntp.ubuntu.com).
Sep  4 22:25:27 localhost systemd-timesyncd[697]: Synchronized to time server [2001:67c:1560:8003::c7]:123 (ntp.ubuntu.com).
Sep  5 00:44:24 localhost systemd-timesyncd[511]: Synchronized to time server [2001:67c:1560:8003::c7]:123 (ntp.ubuntu.com).
  :
$

Public IPv4アドレスにSSHで接続し、システムログからIPv6でNTPサーバーと時刻同期している様子が確認できました。

まとめ

IPv4とIPv6でインターネット接続要件が異なる場合の構成例として、インターネットゲートウェイとEgress Onlyインターネットゲートウェイの併用構成をご紹介しました。デュアルスタック構成は頭で考えるより触って慣れる方が理解が早いと思うので、皆さんも検証環境などでVPCのIPv6を有効にして試してみてください!

参考URL

Share this article

facebook logohatena logotwitter logo

関連記事

パブリックアクセスブロック(BPA)でインターネットアクセスを遮断してみた

パブリックアクセスブロック(BPA)でインターネットアクセスを遮断してみた

User avatar
suzuki.ryo
2024.11.22
CloudFront 新機能!VPCオリジンでプライベートなALBをセキュアに公開してみた

CloudFront 新機能!VPCオリジンでプライベートなALBをセキュアに公開してみた

User avatar
suzuki.ryo
2024.11.21
S3バケットへのアクセスをオンプレミスサーバーのプライベートIPアドレスで制限する方法2選

S3バケットへのアクセスをオンプレミスサーバーのプライベートIPアドレスで制限する方法2選

User avatar
平井裕二
2024.11.19
複数アカウントでAmazon ECRのVPCエンドポイント(com.amazonaws.region.ecr.dkr)を共有する際の注意点

複数アカウントでAmazon ECRのVPCエンドポイント(com.amazonaws.region.ecr.dkr)を共有する際の注意点

User avatar
平井裕二
2024.11.12
Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.