雑記帳

■ [AWS] Amazon VPCで複数拠点接続(2)

前回、複数拠点でVPN接続ができたので、拠点間通信のテストをしてみた。

正しく設定ができていれば、拠点間の通信は問題なくできることが確認できたのだが、問題は、それぞれの拠点間で通信をさせたくない、というケース。

基本的には、ルータ側で制限をするということになるのだが、そのような設定がVPCでできるのかどうか調べてみた。具体的には、VPCでは、セキュリティグループだけでなく、Network ACLという、サブネット単位でネットワークのアクセスポリシーを変更できる機能がある。これを使って制限ができるかどうか調べてみた。

結論からいうと、拠点間通信のポリシーはVPCではできないようだ。

Network ACLは、あくまでVPCのサブネットの出入りに関するポリシーであって、拠点間の通信には影響がない。

例えば、Network ACLで、VPN接続をしているサブネット、例えば192.168.1.0/24からVPCへのInboundをすべて拒否してみる。すると当然、192.168.1.0/24からは、VPC内のEC2などには通信ができなくなる。しかし、他の拠点、たとえば192.168.2.0/24に対しての通信は、拠点間通信では、Network ACLを経由しないため、特に影響がない。

Network ACLの設定は、InboundであればSourceの設定しかないし、OutboundであればDestinationの設定しかない。いずれにしても、もう片一方は、Assosiationされているサブネットとなる。

当然といえば当然の事なのだが、テストすることで確認できたのでよしとする。