VPCエンドポイントを巡る 名前解決とルーティングの話 2025/2/21 矢儀丈博

◆自己紹介 名前：矢儀 丈博（やぎ たけひろ） 年齢：26歳 出身：山口県 業務：カード会社様のAWS基盤保守 好きなAWSサービス： Amazon VPC VPCエンドポイントを巡る名前解決とルーティングの話 2 #NW_JAWS

◆目次 1. イントロダクション – VPCエンドポイント使ってますか？ 2. VPCエンドポイントを巡る名前解決とルーティングの話 3. Tips - プロキシと併用する場合の注意点①② - そのVPCエンドポイント、本当に必要ですか？ 4. まとめ VPCエンドポイントを巡る名前解決とルーティングの話 3

◆イントロダクション – VPCエンドポイント使ってますか？ VPCエンドポイントを巡る名前解決とルーティングの話 4

◆イントロダクション – VPCエンドポイント使ってますか？ VPCエンドポイントを巡る名前解決とルーティングの話 5 AWS Cloud Private subnet ENI Endpoint ENI VPC AWS Cloud (Service Provider) VPC Endpoint Service Gateway Load Balancer Security Appliance Endpoint Service Network Load Balancer Application ENI AWS PrivateLink AWS PrivateLink AWS PrivateLink Private subnet (GWLB用) ゲートウェイ インターフェイス ゲートウェイ ロードバランサー VPC内のリソースがインターネットを経由せずに、 AWSのサービスや、他のAWSアカウントのサービス、 サードパーティ製SaaSアプリと通信できるようになる ENI EC2 Instance Connect

AWS Cloud Private subnet ENI Endpoint ENI VPC AWS Cloud (Service Provider) VPC Endpoint Service Gateway Load Balancer Security Appliance Endpoint Service Network Load Balancer Application ENI AWS PrivateLink AWS PrivateLink AWS PrivateLink Private subnet (GWLB用) ゲートウェイ インターフェイス ゲートウェイ ロードバランサー VPC内のリソースがインターネットを経由せずに、 AWSのサービスや、他のAWSアカウントのサービス、 サードパーティ製SaaSアプリと通信できるようになる ENI EC2 Instance Connect ◆イントロダクション – VPCエンドポイント使ってますか？ VPCエンドポイントを巡る名前解決とルーティングの話 6 本日はゲートウェイ型とインターフェイス型の VPCエンドポイントについてお話しします！ ※EC2 Instance ConnectとGWLBは Route53の名前解決の要素があまりないので…

◆イントロダクション – VPCエンドポイント使ってますか？ VPCエンドポイントを巡る名前解決とルーティングの話 7 種類 ゲートウェイ型 インターフェイス型 対象サービス S3・DynamoDBのみ S3・DynamoDBを含む多くのサービスや、 他のAWSアカウントのサービス、 サードパーティ製SaaSアプリなど アクセス制御の方法 VPCエンドポイントポリシー ※接続先の制御 セキュリティグループ ルートテーブルの設定 必要 不要 ※デフォルトの状態でOK 料金 無料 有料 ※データ転送量と利用時間による従量課金 ルートテーブルで通信を捻じ曲げる VPC内の専用ENIへのローカル通信

◆名前解決とルーティングの話 - ゲートウェイ型の場合 VPCエンドポイントを巡る名前解決とルーティングの話 8 AWS Cloud VPC Private subnet Endpoint Resolver Route table s3.ap-northeast-1.amazonaws.com にアクセスしに行くで～～ ①名前解決 パブリックIPを返す (例) 52.219.172.12 52.219.172.12はルートテーブルのプレフィックスリストに 入っとるわ！ VPCエンドポイントにルーティングやな！ ルートテーブルで通信を捻じ曲げる ②リクエスト送信

◆名前解決とルーティングの話 – インターフェイス型の場合 VPCエンドポイントを巡る名前解決とルーティングの話 9 AWS Cloud VPC Private subnet Resolver Route table ①名前解決 普通にVPC内のローカル通信やな VPC内の専用ENIへのローカル通信 ENIに紐づけられた プライベートIPを返す (例) 10.0.2.100 ssm.ap-northeast-1. amazonaws.com にアクセスしに行くで～～ ENI ②リクエスト 送信 AWS PrivateLink

◆イントロダクション – VPCエンドポイント使ってますか？ VPCエンドポイントを巡る名前解決とルーティングの話 10 種類 ゲートウェイ型 インターフェイス型 対象サービス S3・DynamoDBのみ S3・DynamoDBを含む多くのサービスや、 他のAWSアカウントのサービス、 サードパーティ製SaaSアプリなど アクセス制御の方法 VPCエンドポイントポリシー ※接続先の制御 セキュリティグループ ルートテーブルの設定 必要 不要 ※デフォルトの状態でOK 料金 無料 有料 ※データ転送量と利用時間による従量課金 ルートテーブルで通信を捻じ曲げる VPC内の専用ENIへのローカル通信

◆Tips: プロキシと併用する場合の注意点① VPCエンドポイントを巡る名前解決とルーティングの話 11 • VPCエンドポイントを経由させたい通信については、プロキシ除外設定を忘れずに Internet AWS Cloud VPC Private subnet Endpoint Route table Public subnet Proxy Server Internet gateway Route table VPC Endpoint HTTP_PROXY=http://proxy.example.local:3128 HTTPS_PROXY=http://proxy.example.local:3128 NO_PROXY= s3.ap-northeast-1.amazonaws.com, 169.254.169.254, 10.0.0.0/8, 172.16.0.0/12, 192.168.0.0/16, … S3へのアクセス

◆Tips: プロキシと併用する場合の注意点② VPCエンドポイントを巡る名前解決とルーティングの話 12 • プロキシ側にはVPCエンドポイントは置かないほうがよい（特にゲートウェイ型!!） AWS Cloud VPC Private subnet Route table Public subnet Proxy Server Internet gateway Route table VPC Endpoint S3へのアクセス 通信が意図せずVPCエンドポイントに流れてしまい、 VPCエンドポイントポリシーやバケットポリシーの 影響を受け、アクセスNGになる可能性がある。 トラブルの元になるので、できるだけ避けたい！ ※VPCエンドポイントポリシーによりアクセス先S3バケットの 限定を行いたい場合は、リージョン構成を含め 慎重な設計が必要 s3.ap-northeast-1.amazonaws.com にアクセスしに行くで～～

◆Tips: そのVPCエンドポイント、本当に必要ですか？ VPCエンドポイントを巡る名前解決とルーティングの話 13 Internet AWS Cloud Public subnet Internet gateway Route table VPC パブリック IP アドレスを使用する場合、AWS でホストされているインスタンスとサービス間のすべての通信は AWS のプライベー トネットワークを使用します。AWS ネットワークから発信され、AWS ネットワーク上の送信先を持つパケットは、AWS 中国リージョ ンとの間のトラフィックを除いて、AWS グローバルネットワークにとどまります。 https://aws.amazon.com/jp/vpc/faqs/#Connectivity AWS Cloud Public subnet Internet gateway Route table VPC 誤 正

◆まとめ • VPCエンドポイントを利用することで、VPC内のリソースがインターネットを経由せずに、 AWSのサービスや、他のAWSアカウントのサービス、サードパーティ製SaaSアプリと通信できるようになる • しかし、VPCエンドポイントを使わなかった場合の通信経路が、いわゆる「インターネット」にあたるのか、 本当にVPCエンドポイントを利用する意味があるかという点は、立ち止まって考える余地がある • VPCエンドポイントを利用するためには注意しなければならないポイントもあるので、設計は慎重に！ VPCエンドポイントを巡る名前解決とルーティングの話 14

◆参考 • 2つのVPCエンドポイントの違いを知る | DevelopersIO • 【ゲートウェイ VPC エンドポイント】EC2からプライベート経路でS3などのAWSサービスへアクセスする - サーバーワークスエンジニアブログ • 経由で仮想アプライアンスにアクセスする AWS PrivateLink - Amazon Virtual Private Cloud • 「VPCエンドポイント」にトラフィックが到達する仕組みとマルチAZ構築の2軸で整理 これでVPCエンドポイントは怖くない｜伊藤忠テクノソリューションズ • VPC 内 から AWS サービスへの利用頻度の高いプライベート通信方法 #EC2 – Qiita VPCエンドポイントを巡る名前解決とルーティングの話 15

VPCエンドポイントを巡る 名前解決とルーティングの話 2025/2/21 矢儀丈博