CloudFormationを介してAWSVPC内のインフラストラクチャをスピンアップしています。
自動スケーリンググループを使用してVPC-EC2インスタンスを起動しています(したがって、インスタンスを直接起動するのではなく、ASGがそれを管理します)。
PVCの内部では、EC2インスタンスにはプライベートIPしかありません。 彼らはさらなる作業なしでは外の世界を見ることができません 。
これらのインスタンスが起動すると、さまざまなAWSAPIとの通信を必要とするbootstrapタスクがいくつかあります。また、AWSAPIトラフィックを必要とする進行中のタスクもいくつかあります。
この明らかな鶏が先か卵が先かという問題にどのように取り組んでいますか?
私たちは読んだ:
VPCEC2インスタンスがAWSAPIエンドポイントにアクセスできるようにする、開くことができる何らかのバックドアがあるかどうか疑問に思っていますが、安価で複雑なセットアップの場合、別のネットワークホップレイヤーを追加しないものは他にありません。リクエストを処理するためのインフラストラクチャに。
プライベートサブネット内のVPCインスタンスを取得して外部と通信する主な方法について説明しました。
NATインスタンスを使用することをお勧めします。これは、プライベートサブネット内のマシンにインターネットアクセスを取得するための推奨セットアップです。これらはサブネットごとに構成されているため、マシンに構成の知識は必要ありません。起動時。ネットワークスループットを高くするには、必ずm1.large以上のインスタンスを使用してください(vs m1.small)
2015年4月の時点で、AWSはこの問題に対する簡単なソリューションを提供しています: VPCエンドポイント
VPCエンドポイントを使用すると、NATインスタンス、VPN接続、またはAWS Direct Connectを介して、インターネット経由のアクセスを必要とせずに、VPCと別のAWSサービスの間にプライベート接続を作成できます。エンドポイントは仮想ですデバイス。これらは水平方向にスケーリングされ、冗長で、可用性の高いVPCコンポーネントであり、ネットワークトラフィックに可用性のリスクや帯域幅の制約を課すことなく、VPCとAWSサービスのインスタンス間の通信を可能にします。