詳細解説：ガバメントクラウド VPC エンドポイント構成編

こんにちは。 AWS パブリックセクター技術統括本部です。

ガバメントクラウドでの業務システム構築を支援する中でよくご質問をいただく項目については、ガバメントクラウド活用のヒント『見積もりで注意すべきポイント』をはじめとする「ガバメントクラウド活用のヒント」シリーズをご覧ください。
またその中でも、コスト最適化については気になる方が多いかと思います。 詳細解説：ガバメントクラウド名前解決編にもある通り、複数の AWS アカウントに存在するリソースを 1 つの AWS アカウントへ集約すると、コストが下がるケースがあるため、リソース集約の検討をお勧めします。
本ブログは、VPC エンドポイントの構成に関して深堀していきます。ガバメントクラウド特有の制限ではなく、オンプレミスと AWS 環境をハイブリッドに構成するネットワーク設計では一般的な内容です。ぜひご検討の際に参考にしていただければと思います。

VPC エンドポイントとは？

VPC エンドポイントは、VPC と他の AWS サービス間でプライベートな接続を提供する機能です。主な特徴と利点は以下のとおりです。

概要

• VPC 内のリソースが AWS サービスにプライベートアクセスできるようにする
• インターネットゲートウェイや NAT ゲートウェイを経由せずに接続可能
• VPC 内に作成され、指定したサブネット内にエンドポイントのネットワークインターフェイスが作成される

種類

ガバメントクラウドで利用される VPC エンドポイントは、インターフェイスエンドポイントが多いかと思います。理由としては、AWS Direct Connect 経由でオンプレミスからのアクセスが可能なためです。自治体の個人番号利用事務系の業務システムでは通信を閉域で行う必要があるため、頻繁に利用されています。VPC エンドポイントのタイプの詳細については、こちらをご確認ください。

• インターフェイスエンドポイント
  • AWS PrivateLink を使用して多くの AWS サービスに接続可能
  • エンドポイントのネットワークインターフェイス (ENI) を作成
• ゲートウェイエンドポイント
  • S3 と DynamoDB のみに対応
  • ルートテーブルを書き換えてアクセス

主な利点

• セキュリティの向上: インターネットを経由せず AWS サービスにアクセス可能
• ネットワークコストの削減: インターネット経由の通信が不要になる
• レイテンシーの改善: AWS ネットワーク内での直接接続により高速化

VPC エンドポイントのコストについて

VPC エンドポイントのコストについてですが、時間単位の料金とデータ処理料によって構成されます。
各アベイラビリティーゾーンに VPC エンドポイントがプロビジョニングされている間、サービスとの関連性のステータスにかかわらず、時間単位の料金が発生します。東京リージョンの場合、各 AZ の VPC エンドポイント 1 つあたりの料金 (USD 0.014 / 時間)となります。
データ処理料金は、トラフィックの送信元か送信先かにかかわらず、VPC エンドポイントで処理されたデータ量 (ギガバイト単位) に対して請求されます。費用についての詳細は、料金ページをご参照ください。

ガバメントクラウドでは、マルチアカウントでの運用が前提になる場合が多いかと思います。その際のコストについては以下のように考えることができます。例えば、10 アカウントで 10 個の VPC エンドポイント (すべて東京リージョン) を利用している場合、月に $1041.6 (0.014$ × 744h × 10 個 × 10 アカウント)発生します。これを 1 つのアカウントに集約すると、純粋にアカウント数で割ったら月に $104.16 に下がり、多くのコストを削減できることになります。

さらに VPC エンドポイントは AZ につき 1 つ作成するため、可用性を求められるシステムだと、1 サービスの VPC エンドポイントを AZ 分で作成する必要があります。つまりアカウント数が多いほど、展開する AZ が多いほど、エンドポイントを作るサービスが多いほど、集約効果は高くなる場合が多いです。
とはいえ、ガバメントクラウドにおいては、複数の事業者の役割が定義されています。事業者としては、自治体ごとに他の事業者の振る舞いによって自分の役割を変えないといけないことが現状としてあり、最適な構成が見えづらいという以下の課題感があるかと思います。

• 環境全体を考える人がいないため、全体最適な構成が採用されづらい
• 各アカウントでどういった設定をすればいいか見えづらい (他事業者とどういった調整をすればいいか不明瞭)

この課題感を少しでも解消すべく、本ブログでは VPC エンドポイント構成についてご紹介します。

構成

PrivateLink 構成 (ネットワークアカウント)

この構成は、ネットワークアカウント側で VPC エンドポイントを作成し、各アカウントのアプリケーション分離方式のアプリケーションに接続する構成です。他に検討すべき事項としては、名前解決の機能をどのアカウントで持たせるかという点ですが、Route 53 Private Hosted Zone を他の VPC へ共有する方法で、エンドポイントを集約できる構成のため、コスト最適化につながります。詳細については、詳細解説：ガバメントクラウド名前解決編をご参照ください。
また、Transit Gateway Attachment ごとにコストがかかるため、エンドポイントを配置する VPC は集約するとコスト効率が良いです。もちろん、業務アカウントがそれぞれに独立してエンドポイントを持つことも可能ですが、Transit Gateway Attachment が増加します。

VPC エンドポイントの共有

この構成は、自治体 A と自治体 B の共同利用のネットワークアカウントがある構成で、自治体 A と自治体 B の庁舎から S3 に接続するときに VPC エンドポイントを共有することで、同一の VPC エンドポイントを用いて接続するという例です。
こちらは S3 を例にしていますが、インターフェイスエンドポイントのある AWS のサービスが対象で集約が可能です。参考となる詳細についてはこちらをご参照ください。

PrivateLink 構成 (ネットワークアカウント) と同様で、他に検討すべき事項としては、名前解決の機能をどのアカウントで持たせるかという点ですが、Route 53 Private Hosted Zone を他の VPC へ共有する方法で、エンドポイントを集約できる構成のため、コスト最適化につながります。詳細については、詳細解説：ガバメントクラウド名前解決編をご参照ください。

集約を検討する場合のユースケースとしては、以下のパターンがあるかと思います。

• 単独利用方式中心の場合
  • 回線運用管理補助者や統合運用管理補助者へ依頼
• 共同利用方式中心の場合
  • オールインワンパッケージベンダーや回線運用管理補助者へ依頼

ただし、利用方式や ASP 事業者の提供形態に依って必ずしもエンドポイントを集約する構成が取れるとは限らないため、運用管理補助者並びに ASP 事業者と議論の上、構成を検討ください。

まとめ

本ブログでは、ガバメントクラウド上での全体のネットワーク設計の肝である VPC エンドポイント構成例をご紹介しました。重要なポイントとしては、方針の決定に併せて、ネットワーク運用管理補助者や他の事業者との調整事項を決めていただく点が挙げられます。 地方公共団体に所属している方、または関連するベンダーパートナーの方でこのブログに関して追記した方がいいことやご不明点などございましたら、お気軽に担当のソリューションアーキテクトまたは末尾のお問い合わせ窓口へお気軽にご連絡ください。

免責事項

• 本ブログや添付資料の内容はできる限り正確な情報を提供するように努めておりますが、正確性や安全性を保証するものではありません。
• 本ブログや添付資料はあくまで一例であり、すべての作業内容を充足するものではありません。
• 本ブログや添付資料はガバメントクラウドの新しい情報や AWS サービスの変更・追加などにより今後修正される場合があります。
• 本ブログや添付資料の利用によって生じた損害等の責任は利用者が負うものとし、アマゾン ウェブ サービス ジャパン は一切の責任を負いかねますことご了承ください。

ガバメントクラウドに関するお問い合わせ

AWS の公共チームではガバメントクラウドクラウド相談窓口を設けています。 本記事で紹介した VPC エンドポイントの構成に関するお問い合わせのほか、ガバメントクラウド利用全般に関するお問い合わせについて、担当の営業およびソリューションアーキテクトがご回答いたします。ぜひご活用ください。
https://aws.amazon.com/jp/government-education/worldwide/japan/gov-cloud-advisory-site/