Amazon VPC ピアリング接続を使用して内部ロードバランサーにアクセスする方法を教えてください。

解決策

内部ロードバランサーに別の VPC からアクセスする場合、VPC 間に VPC ピアリング接続を作成する必要があります。VPC ピアリング接続を作成してもロードバランサーにアクセスできない場合は、Reachability Analyzer を使用してください。Reachability Analyzer では、経路をブロックしているコンポーネントを特定できます。Reachability Analyzer ではルートテーブル、ネットワークアクセスコントロールリスト (ACL)、およびラウンドトリップパス上のセキュリティグループを自動的に分析し、設定ミスがないか確認することもできます。

注: VPC ピアリングは、ローカル AWS アカウントまたはクロスアカウント VPC の AWS リージョン内および、AWS リージョン間の接続に使用できます。

次の種類の設定ミスがないか、手動で確認することも有効です。

ルートテーブル

• ロードバランサーのサブネット Classless Inter-Domain Routing (CIDR) または Amazon VPC CIDR がクライアントサブネットのルートテーブルに存在することを確認します。ルートを VPC ピアリング ID に転送します。
• クライアントサブネット CIDR または Amazon VPC CIDR のルートが、ロードバランサーのサブネットのルートテーブルに存在することを確認します。

ネットワーク ACL ルール

• クライアントサブネットとロードバランサーサブネットに対し、ネットワーク ACL ルールが正しく指定されていることを確認します。

セキュリティグループ

VPC セキュリティグループがトラフィックを許可するように設定します。

• Application Load Balancer: Application Load Balancer に関連付けられた VPC セキュリティグループのインバウンドルールに、クライアントの IP アドレス、クライアント CIDR、または 0.0.0.0 をソースとして含めます。
• Network Load Balancer: Network Load Balancer に関連付けられた VPC セキュリティグループのインバウンドルールに、クライアントの IP アドレス、クライアント CIDR、または 0.0.0.0 をソースとして含めます。また、Network Load Balancer がターゲットのセキュリティグループに関連付けられていて、クライアント IP アドレスの保持が有効になっていることも確認してください。セキュリティグループ設定の詳細については、「ターゲットセキュリティグループ」を参照してください。