パブリッククラウド上でPRIMECLUSTERを使用する場合、ネットワークの引継ぎやスプリットブレインの解決のためにクラスタノードとAPIエンドポイントとの接続性を確保する必要があります。APIエンドポイントを使用して、インスタンスの電源の制御や、仮想ルータなどのネットワークコンポーネントの設定の変更を行います。
PRIMECLUSTERは、クラスタノードとAPIエンドポイントとの接続性を確保するためのアーキテクチャパターンを提供しています。クラスタシステムの円滑な設計のために、これらのアーキテクチャパターンから適したものを選択してください。
クラスタノードとAPIエンドポイントとの接続性確保のためのアーキテクチャパターンと各パターンに適したシーンを以下に示します。
アーキテクチャパターン | 適用シーン | ポイント |
|---|---|---|
NATゲートウェイによる接続性確保 | 低い運用コストでセキュアに接続性を確保したい場合 | NATゲートウェイはAWSによるマネージドサービスのため、ユーザによる運用管理が不要です。 |
NATインスタンスによる接続性確保 | セキュアかつ柔軟に接続性を確保したい場合 | NATインスタンスはAWSのマネージドサービスではないため、ユーザによる柔軟な運用管理ができます。 |
Elastic IPアドレスによる接続性確保 | シンプルなアーキテクチャパターンでフロントエンドサーバの接続性を確保したい場合 |
|
PrivateLinkによる接続性確保 | シンプルなアーキテクチャパターンでバックエンドサーバの接続性を確保したい場合 |
|
NATゲートウェイによるアーキテクチャパターンは、VPC外部のパブリックサイトからのアクセスを遮断し、かつ、クラスタノードとAPIエンドポイントとの接続性を確保できます。
バックエンドサーバのクラスタシステムを構成する1つのインスタンスは、プライベートサブネットに配置します。このインスタンスにはパブリックIPを付与しないため、インターネットとの直接の接続性はありません。PRIMECLUSTERの強制停止やネットワークの引継ぎを実現するAPIエンドポイントはインターネット越しに存在するため、エンドポイントとの接続性はNATゲートウェイを使用してください。NATゲートウェイはAWSによるマネージドサービスのため、ユーザが運用する必要はありません。
参照
NATゲートウェイの詳細については、AWSの公式ドキュメントを参照してください。
図20.4 NATゲートウェイによる接続性確保
本アーキテクチャパターンを使用する場合、トラフィックの回送を制御するためにメインルートテーブルおよびカスタムルートテーブルに以下のエントリを設定してください。
宛先CIDR | 回送先 |
|---|---|
VPCのCIDR | VPC内のネットワーク |
0.0.0.0/0 | NATゲートウェイ |
宛先CIDR | 回送先 |
|---|---|
VPCのCIDR | VPC内のネットワーク |
0.0.0.0/0 | インターネットゲートウェイ |
本設定により、プライベートサブネットからインターネットへのトラフィックは以下のように回送され、NATゲートウェイがパブリックサイトからプライベートサブネットへのトラフィックを遮断します。これにより、プライベートサブネットからインターネットへの単方向の接続性が実現できます。
プライベートサブネット内のインスタンスからインターネットに向けたトラフィックは、メインルートテーブルのエントリに従って、仮想ルータによってNATゲートウェイに回送
NATゲートウェイに回送されたトラフィックは、カスタムルートテーブルのエントリに従って、仮想ルータによってインターネットゲートウェイに回送
NATインスタンスによるアーキテクチャパターンは、VPC外部のパブリックサイトからのアクセスを遮断し、かつ、クラスタノードとAPIエンドポイントとの接続性を確保できます。このアーキテクチャパターンは、NATゲートウェイによるアーキテクチャパターンと比較すると、コンポーネントの配置がNATゲートウェイからNATインスタンスに代わるのみで、他の配置は同一です。
NATインスタンスはNATゲートウェイとは異なり、AWSのマネージドサービスではないため、ユーザが柔軟に運用を管理できます。バックエンドサーバでクラスタシステムを構築し、柔軟な運用をしたい場合は、本アーキテクチャパターンを選択してください。
図20.5 NATインスタンスによる接続性確保
本アーキテクチャパターンを使用する場合、トラフィックの回送を制御するためにメインルートテーブルおよびカスタムルートテーブルに以下のエントリを設定してください。
宛先CIDR | 回送先 |
|---|---|
VPCのCIDR | VPC内のネットワーク |
0.0.0.0/0 | NATインスタンス |
宛先CIDR | 回送先 |
|---|---|
VPCのCIDR | VPC内のネットワーク |
0.0.0.0/0 | インターネットゲートウェイ |
本設定により、プライベートサブネットからインターネットへのトラフィックは以下のように回送され、NATインスタンスがパブリックサイトからプライベートサブネットへのトラフィックを遮断します。これにより、プライベートサブネットからインターネットへの単方向の接続性が実現できます。
プライベートサブネット内のインスタンスからインターネットに向けたトラフィックは、メインルートテーブルのエントリに従って、仮想ルータによってNATインスタンスに回送
NATインスタンスに回送されたトラフィックは、カスタムルートテーブルのエントリに従って、仮想ルータによってインターネットゲートウェイに回送
Elastic IPアドレスによるアーキテクチャパターンは、パブリックサイトからアクセスができます。フロントエンドサーバのクラスタシステムに適しています。NATゲートウェイやNATインスタンスによるアーキテクチャパターンと比較すると、シンプルになります。ただし、パブリックサイトからクラスタノードへのアクセスが可能なため、アクセス制御(ACL)やセキュリティグループのセキュリティルールを厳重に定める必要があります。
本アーキテクチャパターンを使用する場合、インスタンスにElastic IPアドレスを付与するのみの設定となります。
図20.6 Elastic IPアドレスによる接続性確保
PrivateLinkによるアーキテクチャパターンは、VPCエンドポイントの作成により、パブリックサブネットを用意することなくエンドポイントとの接続性を確保できます。NATゲートウェイやNATインスタンスによるアーキテクチャパターンと比較すると、シンプルになります。さらに、Elastic IPアドレスによるパターンとは異なりパブリックサイトからのアクセスは遮断できるためセキュアです。ただし、Amazon Route 53 (ドメインネームシステムウェブサービス)のVPCエンドポイントは作成できないため、DNSレコード書換えによるネットワーク引継ぎのアーキテクチャパターンを選択した場合、本アーキテクチャパターンは選択できません。
図20.7 PrivateLinkによる接続性確保
