そもそもオンプレミスについて
オンプレミス基盤の配置場所
- データセンター
- マシンルーム
オンプレミスが向いているシステム
昨今はクラウドが流行っていますがオンプレミスの需要もゼロではありません。下記のような場合はオンプレミスを導入した方が良いのでインフラ設計の検討の材料としましょう。一般的にはお金がかかるのでサービスの年商が100億を超える場合に導入を検討した方が良いと言われています。
高い可用性が求められるシステム
ネットワークの瞬断すらも許されないような高い可用性が求められるシステムです。クラウドは必ずしも可用性が完璧というわけではありません。
高い機密性が求められるシステム
機密情報の保管はクラウドサービス側で決めるのであまりにも機密性の高い重要な情報の場合はクラウドは避けましょう。
特殊な要件があるシステム
医療システム等の特殊なデバイスを外部接続する必要がある場合はクラウド側が対応していない場合もあるのでオンプレミスで導入する必要があります。
同一VPC内での名前解決
同一VPC内であれば通常は下記のようにVPCに搭載されている「Route53 Resolver」に確認してDNSアクセスします。
オンプレミスからVPCにアクセスするには?
DNSフォワーダーをVPC内に構築する。(少し前なら)
フォワーダーからRoute53への名前解決をしてもらう。
DNSフォワーダーの種類
- Simple AD
- Bind on EC2
デメリット
運用性や可用性の面で担保するのが難しい。
Route53 Resolver Endpoint
昨今はこれを使うことが推奨されています。
VPC内にInとOutのDNSクエリ用エンドポイントとしてENIが接続されます。
設定
- オンプレミス側のDNS ResolverではInboundエンドポイントに解決を飛ばすように設定する。
- Route53Resolverに「Outbound転送ルール」にオンプレのDNSサーバのIPを設定する。
オンプレミスからVPC外へのアクセス
VPC内のサービス(EC2等)からVPC外のサービス(S3等)にアクセスするには3つのアプローチがあります。
EndPoint(Gateway型)を使う。
「DynamoDB」と「S3」に関してはこの方法でアクセスします。
ただ、この方法だけではオンプレミスから直接アクセスはできません。その場合はDIrect Connectを使用してアクセスします。
EndPoint(Interface型)を使う。
DynamoDBやS3以外の35種類程度のサービス(例えば、ECR)などはEndPoint(Interface)型を使います。
接続するにはVPCエンドポイントにサービスが対応している必要があります。
NATGatewayを使ってアクセスする。
35サービス以外(例えば、Cognito等)はNATGatewayを使ってアクセスします。
NATGatewayはセキュリティ的にNGな場合は無理です。
この記事へのコメントはありません。