Amazon VPC のインターフェイスエンドポイントからエンドポイントサービスに接続できない理由は何ですか?
最終更新日: 2019 年 8 月 30 日
Amazon Virtual Private Cloud (Amazon VPC) インターフェイスエンドポイント (AWS PrivateLink) からエンドポイントサービスに接続できません。この接続を妨げている原因を特定するにはどうすれば良いですか?
解決方法
インターフェイス VPC エンドポイントとエンドポイントサービス間の接続問題を解決するには、次の設定を確認してください。
エンドポイントの接続状態
エンドポイントの接続は [利用可能] 状態になっている必要があります。エンドポイントサービスへの接続が [承認待ち] 状態または [拒否] 状態にある場合は、インターフェイスエンドポイントから Network Load Balancer に送信された接続はタイムアウトします。以下を実行する必要がある場合があります。
- サービスコンシューマーに、サービスへのインターフェイスエンドポイントを作成する権限を付与します。
- 接続をアクティブにするために、エンドポイントサービスプロバイダーがエンドポイントの接続リクエストを承諾することをリクエストします。デフォルトでは、接続リクエストを手動で承諾する必要があります。ただし、サービスプロバイダーは、接続リクエストが自動的に承諾されるように承諾設定を構成できます。
Network Load Balancer の応答
Network Load Balancer と同じ VPC 内のインスタンスからのリクエストをシミュレートできます。予想した応答が得られない場合は、「Network Load Balancer のトラブルシューティング」を行ってください。
Network Load Balancer のリスナーポート
インターフェイス VPC エンドポイントが Network Load Balancer の正しいリスナーポートにトラフィックを送信していることを確認してください。たとえば、ポート 80 にリスナーが設定された Network Load Balancer があるとします。クライアントがポート 443 でトラフィックを送信すると、クライアントは「接続が拒否されました」というエラーを受信する可能性があります。
ゾーン別 DNS 名
クライアントがインターフェイス VPC エンドポイントにゾーン別 DNS 名を使用している場合は、ゾーンがサービスプロバイダー側で応答することを確認してください。リージョンの DNS 名を使用して、リクエストが正常なゾーンに送信されているか確認することをお勧めします。
セキュリティグループとネットワークアクセスコントロールのルール
サービスコンシューマー側とサービスプロバイダー側の両方で、セキュリティグループとネットワークアクセスコントロール (ACL) のルールを確認してください。エンドポイントサービス間でトラフィックが許可されているか確認してください。