【前編】AWS Gateway Load Balancer(GWLB)をアプライアンス抜きでリージョン間動作確認してみた

AWS
Network

2022.11.09

この記事を書いたメンバー：

榊原慶太

【前編】AWS Gateway Load Balancer(GWLB)をアプライアンス抜きでリージョン間動作確認してみた

初めまして。10月よりBeeXにジョインした榊原と申します。
これから空き時間にどんどんアウトプットできたらと考えています。
どうぞよろしくお願いします。

◆目的

お客様のAWSマルチアカウント環境で「環境内通信は各アカウントに存在するセキュリティVPCにて必ずインスペクションさせる」という要件をみたすため、AWS Gateway Load Balancer(以下GWLB)が必要と判断し、導入のための技術検証を行いました。本記事はその検証を振り返り、知識整理のため内容をまとめたものです。今回は前編でGWLBの作成まで行います。

◆結論と分かったこと

・セキュリティアプライアンスがなくともGWLBの動作確認が可能。
・アカウント間を跨いでGWLBを用いることは可能。
・GWLBのターゲットとなるアプライアンスを搭載したEC2は透過的な検査を行うためのリソースなので、pingは通らない。

◆GWLBとは

GWLBリリース前まではサードパーティ製のセキュリティアプライアンスをクラウド上で用いる際、アプライアンスを搭載したEC2インスタンスの監視や、監視の結果異常があった際はLambdaを用いたルーティングの変更等の仕組みが必要で、ネットワーク構成や管理が複雑化していました。この問題解決のためにリリースされたのがGWLBです。GWLBを用いることで、サードパーティ製のセキュリティアプライアンスを用いる際にその可用性を担保しつつ、透過的な検査が可能となります。ちなみにGWLBを使用する際は、GWLBそのものに加えて、GWLBエンドポイント(以下GWLBE)とGWLBEサービスが必要です。

◆構成図

今回の構成図は以下の通りです。S3は送信先のインスタンスに必要なパッケージソフトが入ったAWS提供のバケットです。今回インスタンスに接続する際にセッションマネージャを用いましたが、構成図からは省いております。

◆検証手順

1. VPCリソースの作成

VPCリソースの作成手順は省略しますが、以下のリソースを作成します。

・各アカウント内のVPCリソース(VPC、サブネット、ルートテーブル、インスタンス)
・セキュリティアカウント側のVPCエンドポイント(インスタンスがパッケージソフトをインストールする際、S3へのアクセスに必要)

※S3はAWS提供のものなので個人で作成する必要はありません。また、ルートテーブルの薄グレー部分はこれから作成するリソース関連の記述なので、この時点ではまだ設定できません。
※インスタンスはどちらもAmazon Linux 2です。

完成後の構成図は以下の通りです。各VPC、サブネットのCIDR表記は一致していなくても大丈夫です。