ヘルプ AWS AWS PrivateLink連携

AWS PrivateLink連携

AWS PrivateLinkはクラウドとオンプレミスアプリケーション間のVPC、AWSサービス、トラフィックを公開ネットワークにさらすことなく接続できるようにするネットワーキングサービスです。仮想ネットワーク内のインターフェースVPCエンドポイントを使用することで、通信を安全かつスケーラブルに維持できます。

Site24x7のAWS PrivateLink連携で、AWS環境内のプライベートネットワーキングの安全性と信頼性を維持します。

目次

概要

Site24x7のAWS PrivateLink連携によりクラウド内のプライベートネットワークインフラを可視化します。連携すると、VPCエンドポイントとVPCエンドポイントサービスをディスカバリーし、それぞれの監視を作成します。

  • VPCエンドポイント監視:VPCへのプライベート接続に使用されているインターフェースとゲートウェイの正常性、ステータス、ネットワークインターフェース情報を監視します。
  • VPCエンドポイントサービス監視:PrivateLinkに存在するサービス可用性と設定を監視します。これにより、コンシューマーへの最適なサービス配信と安全なアクセス制御を行えます。

ユースケース

VPCエンドポイント監視アラート機能による組織パフォーマンスの向上と生産性の強化に関するユースケースを紹介します。

  • VPCエンドポイントを経由するS3やDynamoDBなどのAWSサービスへの安全な接続のため、プライベートVPC内で重要なアプリケーションが稼働している大企業を考えます。ある日、予期せぬ設定変更により、1つのVPCエンドポイントのDNS解決が無効になりました。これによりAPIの失敗やサービス中断が発生しました。
    この場合、VPCエンドポイント監視を使用して、エンドポイントステータスに継続的にポーリングを行い問題を特定しました。エンドポイントがトラブルやクリティカルステータスに変更された際にアラートが発生させ、運用チームがスムーズにDNS設定の修正に入れます。これにより早期検知とアラートによりビジネスにおけるアプリケーション維持を行い、MTTRの削減を行えます。
  • SaaSプロバイダーがPrivateLinkで有効化されたアプリケーションをホストしており、それらがVPCエンドポイントサービスを使用して複数の顧客VPCで公開されているとします。各顧客がこのサービスに接続するVPCエンドポイントを作成します。新規顧客が参入する際、1つのエンドポイントが手動承認を逃したため保留状態のままとなっています。この事象は可視化しないと、把握することはできず、顧客側の操作の遅延やSLAに影響を及ぼします。
    VPCエンドポイント監視を使用して、保留しているエンドポイントリクエストとその詳細(リクエスターID、VPCなど)をアラートで受信します。これにより、直ちに承認を行い、SLAの範囲内で顧客参入を実施できます。また、可用性ゾーンやアカウントの使用量を追跡し、サービスの消費状況や接続ステータスを表示できます。

連携の利点

AWS PrivateLinksとSite24x7を連携する利点は次のとおりです。

  • 包括的な可視化:AWSアカウント内のすべてのVPCエンドポイントとVPCエンドポイントサービスを自動でディスカバリーし監視します。
  • 安全な監視:パブリックインターネットに重要データーを公開することなく、プライベートトラフィックパスを分析します。
  • 詳細なメトリック:状態、ステータスメッセージ、関連ネットワークインターフェース、サービス名、受理状態などを表示します。
  • プロアクティブなアラート:エンドポイントの失敗、拒否されたサービス接続、設定不備なサービスについて通知を行います。
  • インベントリー管理:各リージョンやサービスにわたるエンドポイントの増加を単一コンソールで把握します。

設定

  • AWS監視を設定していない場合、クロスアカウントのIAMロールを作成することでAWSアカウントとSite24x7間のアクセスを有効にしてください。詳細はこちらのページをご確認ください。
  • AWSアカウントの連携ページのディスカバリーサービスで[VPC PrivateLinks]が選択されていることを確認してください。詳細はこちらのページをご確認ください。

権限

VPCエンドポイントとVPCエンドポイントサービスを監視するには次の権限が必要です。

  • "ec2:Describe*"
  • "logs:Start*"
  • "logs:Get*"
  • "logs:Describe*"

チェック間隔

VPCエンドポイントとVPCエンドポイントサービス監視のメトリックデータは5分ごとに収集されます。

サポートしているメトリック

次のメトリックが各監視でサポートされています。

VPCエンドポイント監視

メトリック名 説明 統計 単位

アクティブな接続

アクティブな同時接続数です。

平均、最大、最小

処理されたバイト

エンドポイントとエンドポイントサービス間で処理されたバイト数です。両方向のバイトが合計されます。

平均、合計、最大、最小

新規接続

エンドポイント経由で発生した新規接続数です。

平均、合計、最大、最小

ドロップパケット

エンドポイントによりドロップしたパケット数です。

平均、合計、最大

受信リセットパケット

エンドポイントが受信したRST(リセット)パケット数です。

平均、合計、最大

VPCエンドポイントサービス

メトリック名 説明 統計 単位

アクティブ接続

エンドポイント経由で行われたクライアントからターゲットへのアクティブな接続の最大数です。

平均、最大

処理されたバイト

平均、合計、最大

エンドポイント数

エンドポイントサービスに接続されたエンドポイント数です。

平均、最大

新規接続

エンドポイント経由で発生した新規接続数です。

平均、合計、最大

送信リセットパケット

エンドポイントサービスからエンドポイントに送信されたRSTパケット数です。

平均、合計、最大

しきい値設定

しきい値の設定方法は次のとおりです。

  1. Site24x7にログインし、[管理]→[設定プロファイル]→[しきい値と可用性]に移動します。
  2. [しきい値プロファイルの追加]→[しきい値プロファイル]をクリックします。
  3. 監視タイプから[VPCエンドポイント]または[VPCエンドポイントサービス]を選択します。
  4. 表示名項目で、しきい値プロファイルの名前を入力します。
  5. 上記のメトリックに対して、しきい値を設定します。
  6. [保存]をクリックします。

ライセンス

ライセンスの消費方式は次のとおりです。

  • 各サブネット監視でライセンス消費はありません。
  • 1 VPCエンドポイントサービス監視につき、1 ベーシック監視を消費します。
  • VPCエンドポイント監視の場合、5 監視につき、1ベーシック監視ライセンスを消費します。

VPCエンドポイント監視を表示する方法は次のとおりです。

  • Site24x7にログインし、[Cloud]→[AWS]→[VPCエンドポイント]に移動します。

VPCエンドポイントサービス監視の表示方法は次のとおりです。

  • Site24x7にログインし、[Cloud]→[AWS]→[VPCエンドポイントサービス]に移動します。

監視データ

AWS PrivateLinksの監視データは次のとおりです。

VPCエンドポイント

次のタブに分けられてデータが表示されます。

サマリー

子監視数とその詳細をグラフや表形式で表示します。

サブネット

サブネット監視データと設定されているメトリックデータを表示します。

設定

リージョン、エンドポイントID、ステータス、エンドポイントタイプなどのVPCエンドポイント監視の情報を表示します。

障害

障害の開始時間、終了時間、期間などの情報を表示します。

インベントリー

リソース名、リージョン、監視ライセンスカテゴリーなどの情報を表示します。ユーザーに応じてしきい値と可用性プロファイルと通知プロファイルの設定と表示を行えます。

ログレポート

VPCエンドポイント監視のステータスのログをレポート表示します。CSVファイルでダウンロードすることも可能です。

アラートログ

VPCエンドポイント監視に関連するアラートリストを表示します。アラートの履歴と重大度を表示し、問題の確認を行えます。

VPCエンドポイントサービス

次のタブに分けられてデータが表示されます。

サマリー

子監視数とその詳細をグラフや表形式で表示します。

エンドポイント接続

エンドポイント接続可用性、エンドポイント接続リストといった情報を表示します。監視名をクリックすると、そのVPCエンドポイント監視情報を表示します。

設定

リージョン、サービスID、ステータス、サービスタイプといったVPCエンドポイント監視の設定情報を表示します。

許可されたプリンシパル

PrivateLinkが有効化されているサービスへの接続が強化されているAWSプリンシパル(AWSアカウントやIAMロール)を表示します。
次の情報が表示されます。

  • 名前:プリンシパルのユーザー定義ラベルまたはIDです。
  • ID:許可されたプリンシパルのAmazon Resource Name(ARN)です。AWSアカウントrootやIAMエンティティが該当します。
  • タイプ:プリンシパルタイプ(例:アカウント、ロール、サービス)です。
  • サービス権限ID:アクセス権の追跡や管理に使用されるプリンシパルに付与されている権限のIDです。

このタブで、VPCエンドポイントサービスへのアクセスが認可されているユーザーの表示と監査を行い、PrivateLinkリソースへのアクセス権を把握します。未認可のアクセス実施や不正確な構成がある場合にそれらを迅速に特定できます。

通知

エンドポイントサービス関連のイベントアラート受信で使用されているAWS SNSトピックを表示します。
次の情報が表示されます。

  • 通知ID:設定されている通知ルールのIDです。
  • イベント:監視している特定のPrivateLinkイベントです。例として、新規VPCエンドポイントがサービスへの接続を試行した際に発生します。
  • ARN:通知が公開されたSNSトピックのARNです。
  • ステータス:通知の有効/無効状況を表示します。

コントリビューター分析

VPCエンドポイントサービスに関連付いているコントリビューター分析ルールを表示します。構造化ログの分析を行い、上位のコントリビューター(VPCエンドポイントIDなど)を特定します。

監視リソース

監視リソースには、Site24x7で監視しているVPCエンドポイントサービスに関連付くバックエンドのAWSリソースを表示します。エンドポイントサービスがロードバランサーと連携されている場合、そのロードバランサーもここに表示されます。ロードバランサーの監視名をクリックすると、その監視画面に移動します。

障害

障害の開始時間、終了時間、期間などを表示します。

インベントリー

サービス名、リージョン、監視ライセンスカテゴリーなどの情報を表示します。ユーザーに応じてしきい値と可用性プロファイルと通知プロファイルの設定と表示を行えます。

ログレポート

VPCエンドポイントサービスのステータスのログをレポート表示します。CSVファイルでダウンロードすることも可能です。

アラートログ

TVPCエンドポイントサービス監視に関連するアラートリストを表示します。アラートの履歴と重大度を表示し、問題の確認を行えます。