ネットワーキング

Amazon VPC Lattice

VPC やアカウントをまたいだサービス間通信を統一的に管理し、認証・認可・トラフィック制御を提供するアプリケーションネットワーキングサービス

約 2 分で読めます

概要

Amazon VPC Lattice は、複数の VPC やアカウントに分散したサービス間の通信を、統一的なコントロールプレーンで管理するアプリケーションレイヤーのネットワーキングサービスです。従来は VPC ピアリング、Transit Gateway、PrivateLink、ALB などを組み合わせて構築していたサービス間接続を、VPC Lattice のサービスネットワークという抽象化レイヤーで簡素化します。サービスの登録、トラフィックルーティング (重み付け、パスベース)、相互認証 (IAM、SigV4)、アクセスポリシーによる認可を宣言的に設定でき、マイクロサービスアーキテクチャにおけるサービスメッシュの役割を VPC レベルで担います。Lambda、ECS、EKS、EC2 など異なるコンピュートプラットフォーム上のサービスを統一的に扱えます。

サービスネットワークとサービスの設計

VPC Lattice のリソースモデルは、Service Network → Service → Target Group → Target の階層で構成されます。Service Network は複数のサービスをグループ化する論理的なネットワークで、VPC を Service Network に関連付けることで、その VPC 内のリソースがネットワーク内の全サービスにアクセスできるようになります。Service はリスナー (HTTP/HTTPS、ポート) とルーティングルールを持ち、リクエストのパスやヘッダーに基づいて適切な Target Group にトラフィックを振り分けます。Target Group には Lambda 関数、ECS タスク、EKS Pod、EC2 インスタンス、ALB を登録でき、異なるコンピュートプラットフォームのサービスを同一の Service Network 内で透過的に接続できます。クロスアカウントでの Service Network 共有は AWS RAM (Resource Access Manager) を通じて行い、組織内の複数アカウントにまたがるサービスメッシュを構築できます。

認証・認可とゼロトラストネットワーキング

VPC Lattice はサービス間通信にゼロトラストの原則を適用するための認証・認可機能を内蔵しています。認証方式として IAM (SigV4 署名) を選択すると、リクエスト元のサービスが IAM ロールで認証され、Auth Policy でサービス単位のアクセス制御を宣言的に定義できます。例えば「サービス A からサービス B への GET リクエストのみ許可し、POST は拒否する」といった細粒度のポリシーを JSON で記述します。ゼロトラストの関連書籍 (Amazon) でネットワークセキュリティの最新設計を学べます。TLS 終端は VPC Lattice が自動的に処理し、サービス間の通信は常に暗号化されます。アクセスログは S3、CloudWatch Logs、Kinesis Data Firehose に出力でき、誰がいつどのサービスにアクセスしたかの監査証跡を保持します。従来の Security Group ベースの IP アドレス制御と比較して、サービスアイデンティティに基づく論理的なアクセス制御が可能になります。

トラフィック管理と既存アーキテクチャからの移行

VPC Lattice のルーティング機能は、重み付きターゲットグループによるトラフィック分割をサポートし、カナリアデプロイやブルーグリーンデプロイを実現します。新バージョンのサービスに 10% のトラフィックを流し、メトリクスを確認しながら段階的に比率を上げるカナリアリリースが、追加のロードバランサーなしで設定できます。既存のアーキテクチャからの移行では、まず新規サービス間の接続から VPC Lattice を導入し、既存の ALB や PrivateLink ベースの接続は段階的に移行するアプローチが推奨されます。VPC Lattice は既存のネットワーク構成と共存でき、移行期間中は両方の接続方式を並行運用できます。コスト構造はデータ処理量 (GB 単位) とリクエスト数で決まり、ALB + NAT Gateway の組み合わせと比較してシンプルな料金体系です。特にクロスアカウント・クロス VPC の通信では、Transit Gateway のデータ処理料金が不要になるため、大規模なマイクロサービス環境ではコスト削減効果が顕著です。

共有するXB!

関連する用語

Amazon VPCAWS PrivateLinkAWS IAMElastic Load Balancing

関連するサービス

Amazon VPCAWS PrivateLinkAWS IAM

関連する記事

AWS PrivateLink でプライベート接続を実現 - VPC エンドポイントとエンドポイントサービスインターネットを経由せず AWS サービスにプライベート接続する。Gateway エンドポイントの無料活用とエンドポイントサービスの構築を紹介します。Amazon VPC のネットワーク設計 - サブネット構成と NAT Gateway の最適化パブリック/プライベートサブネットの分離設計、セキュリティグループの層別管理、Gateway VPC エンドポイントによる NAT Gateway コスト削減を紹介します。IAM Access Analyzer で検出する過剰なアクセス権限 - 外部アクセスと未使用権限の分析IAM ロールの未使用権限を CloudTrail ベースで検出し、最小権限ポリシーを自動生成する。外部アクセスの検出と CI/CD へのカスタムポリシーチェック組み込みまでを解説します。AWS App Runner で最速のコンテナデプロイ - ソースコードから本番環境まで数分でソースコードまたはコンテナイメージを指定するだけで HTTPS エンドポイントが構築される。ECS/Fargate との違いと、VPC コネクタによるプライベートリソース接続を紹介します。AWS アカウント ID の 12 桁に隠された構造 - なぜ 12 桁なのか、何が読み取れるのかAWS アカウント ID が 12 桁の数字である理由、ARN の構造に埋め込まれた設計意図、アカウント ID から推測できる情報とセキュリティ上の注意点を雑学的に解説します。

内容が近い用語・記事

Amazon VPC Lattice によるサービスネットワーキング - マイクロサービス間通信の簡素化Envoy プロキシ不要の L7 サービスネットワーキングで、クロス VPC・クロスアカウントのマイクロサービス間通信を簡素化する。IAM 認証と App Mesh との使い分けを紹介します。Amazon VPC Latticeサービス間通信の接続・セキュリティ・モニタリングを簡素化するアプリケーションネットワーキングサービスAWS のゼロトラストネットワーキング - Verified Access と PrivateLink で実現する境界なきセキュリティAWS Verified Access、PrivateLink、VPC Lattice によるゼロトラストネットワーキングの実装を解説し、Azure Private Link との設計差異を比較します。Amazon VPC Lattice のマルチアカウント設計 - RAM 共有とサービスネットワークの構成パターンVPC Lattice をマルチアカウント環境で運用する際の RAM 共有設計、サービスネットワークの分割戦略、Auth Policy の階層設計を解説します。AWS ネットワークサービスの深さ - VPC・Transit Gateway・PrivateLink が実現する企業ネットワーク設計AWS の VPC、Transit Gateway、PrivateLink、Direct Connect、Network Firewall を中心としたネットワークサービス群を、Azure VNet/ExpressRoute や GCP VPC/Cloud Interconnect と比較し、エンタープライズネットワーク設計における柔軟性の優位性を解説します。