この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。
ども、大瀧です。 VPC LatticeはVPC向けのリバースプロキシサービスで最近GAになったので何本かブログを書いています。こちらも興味があれば見てみてください。
本記事は呪文みたいなタイトルになっていますが、言いたいことはタイトルに含めたつもりです。VPC Latticeの転送先となるEC2インスタンスやALBに設定するセキュリティグループのインバウンドルールでは、マネージドプレフィックスリストでソースIPアドレスを指定しましょうということを書きます。
VPC Latticeサービスはセキュリティグループを持たない
VPC Latticeのリバースプロキシ機能はサービスという単位で定義します。サービスはサービスネットワークに登録し、サービスネットワークをVPCに関連付けて利用する形態です。サービスネットワークのVPCアソシエーションにはセキュリティグループを設定するのですが、サービス自体にセキュリティグループを設定するわけではありません。ALBのときはターゲットグループに指定するEC2インスタンスのセキュリティグループのインバウンドルールのソースIPとしてALBのセキュリティグループID(sg-XXXXXXXXXXXX)を指定していましたが、VPC Latticeサービスではそれができないわけです。
VPC LatticeターゲットグループのセキュリティグループのインバウンドルールでVPC Latticeからのアクセスを許可するためには、セキュリティグループの代わりに マネージドプレフィックスリスト を利用します。VPC LatticeのマネージドプレフィックスリストはVPC管理画面の[マネージドプレフィックスリスト]で確認できます。リスト名の末尾が.vpc-latticeのものがIPv4、.ipv6.vpc-latticeものがIPv6用です。
プレフィックスリストというとグローバルIPアドレスのリストのイメージがありますが、VPC LatticeはVPC内でアクセスできるリンクローカルIPアドレスを利用することでVPCのCIDR構成に依存しないため、プレフィックスリストで定義できるわけですね。
セキュリティグループのインバウンドルールで以下のように指定します。
これでALBと同様に、ターゲットグループのセキュリティグループでVPC Latticeからのアクセスのみ許可できます。
まとめ
セキュリティグループでVPC Latticeからのアクセスを許可するために、マネージドプレフィックスリストを利用する様子をご紹介しました。VPC Latticeは便利な機能なので皆さんどんどん使っていきましょう!
26
