ichou1のブログ

主に音声認識、時々、データ分析のことを書く

AWSメモ(VPCエンドポイント集約)

VPCエンドポイントの課金は、時間課金と使用量課金の2つになる(=データ転送がなくても課金される)
そして、アベイラビリティゾーンごとに課金される。

Pricing Calculatorより(東京リージョン)

f:id:ichou1:20220123114032p:plain
1時間あたり「0.014 USD」

ということで、VPCエンドポイントを集約してみる。

下記2つのサービスを使用する。

  • VPCピアリング
  • Route53 PrivateHostedZone

環境としては下図のとおり。

f:id:ichou1:20220123123821p:plain

VPCピアリングに関しては、同一AZであればデータ転送が無料になる。

2021 年 5 月 1 日より、VPC ピアリング接続経由で 1 つのアベイラビリティーゾーン (AZ) 内で行われるすべてのデータ転送が無料になります。
VPC ピアリング接続を経由して複数のアベイラビリティーゾーンにまたがって行われるデータ転送に対しては、引き続きリージョン内の標準のデータ転送料金が適用されます。

Amazon VPC が VPC ピアリングの料金変更を発表



Route53 Privateホストゾーンに関しては、VPCエンドポイントごとに作成する。

const zone_ssm = new route53.PrivateHostedZone(this, 'HostedZone_SSM', {
    zoneName: 'ssm.ap-northeast-1.amazonaws.com',
    vpc: vpc_shared,    // VPCendpoint is created in vpc_shared
 });

f:id:ichou1:20220123115610p:plain


ホストゾーンにAレコードを追加する。

const vpce_ssm = new ec2.InterfaceVpcEndpoint(this, 'vpc_endpoint_ssm', {
    vpc: vpc_shared,
    service: ec2.InterfaceVpcEndpointAwsService.SSM,
    ...
});

new route53.ARecord(this, "AliasRecord_ssm", {
    zone: zone_ssm,
    target: route53.RecordTarget.fromAlias(new route53targets.InterfaceVpcEndpointTarget(vpce_ssm)),
});

f:id:ichou1:20220123115302p:plain


EC2インスタンス側から、DNS周りを確認してみる。

C:\Users\Administrator>ipconfig

Windows IP 構成


イーサネット アダプター イーサネット:

   接続固有の DNS サフィックス . . . . .: ap-northeast-1.compute.internal
   リンクローカル IPv6 アドレス. . . . .: fe80::71de:591d:b0f1:81b8%6
   IPv4 アドレス . . . . . . . . . . . .: 192.168.2.122
   サブネット マスク . . . . . . . . . .: 255.255.255.0
   デフォルト ゲートウェイ . . . . . . .: 192.168.2.1


VPCエンドポイントを名前解決してみる。

.2アドレスによる解決
C:\Users\Administrator>nslookup ssm.ap-northeast-1.amazonaws.com
サーバー:  ip-192-168-2-2.ap-northeast-1.compute.internal
Address:  192.168.2.2

権限のない回答:
名前:    ssm.ap-northeast-1.amazonaws.com
Address:  10.100.0.66
AmazonProviedDNSによる解決
C:\Users\Administrator>nslookup ssm.ap-northeast-1.amazonaws.com 169.254.169.253
サーバー:  UnKnown
Address:  169.254.169.253

権限のない回答:
名前:    ssm.ap-northeast-1.amazonaws.com
Address:  10.100.0.66

AmazonProvidedDNS は Amazon Route 53 Resolver サーバーです。
...
DNS サーバーは、VPC の特定のサブネットまたはアベイラビリティーゾーン内に存在しません。
文字列 AmazonProvidedDNS は、169.254.169.253 (および VPC IPv4 ネットワークの範囲に 2 をプラスした値のリザーブド IP アドレスで) および fd00:ec2::253 で実行する DNS サーバーにマッピングします。

https://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/VPC_DHCP_Options.html#AmazonDNS

通信相手の確認。
AmazonProviedDNSは出てこない。

C:\Users\Administrator>arp -a

インターフェイス: 192.168.2.122 --- 0x6
  インターネット アドレス 物理アドレス           種類
  169.254.169.123       06-a2-d7-b5-c1-b3     動的  # NTP Server
  192.168.2.1           06-a2-d7-b5-c1-b3     動的  # Default GW
  192.168.2.2           06-a2-d7-b5-c1-b3     動的  # DNS Server
  192.168.2.255         ff-ff-ff-ff-ff-ff     静的
  224.0.0.22            01-00-5e-00-00-16     静的
  224.0.0.251           01-00-5e-00-00-fb     静的
  224.0.0.252           01-00-5e-00-00-fc     静的
  255.255.255.255       ff-ff-ff-ff-ff-ff     静的