ネットワーク ・
AWS PrivateLink とは?サービスをプライベート IP で公開
PrivateLink は VPC 内のサービスを、他 VPC や他アカウントへプライベート IP 経由で公開する技術。NLB をフロントエンドにして「サービス」として登録し、利用側 VPC は Interface 型 VPC Endpoint で接続する。インターネット非...
自社サービスを他 VPC・他アカウントへプライベート IP 経由で公開する仕組み。VPC Endpoint Interface 型の基盤。
1. 概要(端的に)
PrivateLink は VPC 内のサービスを、他 VPC や他アカウントへプライベート IP 経由で公開する技術。NLB をフロントエンドにして「サービス」として登録し、利用側 VPC は Interface 型 VPC Endpoint で接続する。インターネット非経由で SaaS 型サービスを安全に提供できる。
2. 何ができるか
- VPC サービスの他 VPC 公開:プライベート IP で接続
- マルチテナント SaaS 公開:自社のサービスを顧客 VPC に公開
- AWS サービスのプライベート利用:S3 等を Interface Endpoint で
- クロスアカウント接続:別アカウントの VPC からアクセス
- インターネット非経由:すべて AWS バックボーン
3. 特徴
| 観点 | 特徴 |
|---|---|
| 構造 | NLB → エンドポイントサービス → 利用 VPC の Interface Endpoint |
| 追加料金 | $0.01/h × ENI 数 + データ処理 $0.01/GB |
| クロスアカウント | ○(許可リスト方式) |
| クロスリージョン | 部分的に対応(一部のみ) |
| CIDR 重複 OK | Peering と違い、両 VPC の CIDR が重なっても問題なし |
| 方向 | 一方向(Consumer → Provider) |
vs VPC Peering
| 観点 | PrivateLink | VPC Peering |
|---|---|---|
| 用途 | サービス公開 | VPC 全体接続 |
| CIDR 重複 | OK | NG |
| 方向 | 一方向 | 双方向 |
| 制御粒度 | サービス単位 | VPC 全体 |
| マルチテナント | 適 | 不適 |
4. 仕組み
PrivateLink は 「Provider VPC(公開側)」と「Consumer VPC(利用側)」 の関係で動く。
構成要素
- Endpoint Service(Provider 側):NLB をフロントにしたサービス公開
- Interface Endpoint(Consumer 側):Provider サービスへの接続点
- NLB:Provider 側のロードバランサー
- ENI:Consumer VPC に作成される
動作の流れ(公開)
- Provider VPC で NLB を構築(バックエンドにアプリ EC2)
- NLB から Endpoint Service 作成
- 承認設定(自動 or 手動):Consumer のアカウントを許可
動作の流れ(利用)
- Consumer VPC で Interface Endpoint 作成:Provider のサービス名指定
- Provider 側で承認(手動の場合)
- Consumer VPC 内に ENI 作成:プライベート DNS 名提供
- アプリは DNS 名でアクセス:Provider のサービスに到達
マルチテナント SaaS 例
[Provider: SaaS 提供者の VPC]
NLB → アプリ EC2 群
↓ Endpoint Service として公開
[Consumer A: 顧客 A の VPC]
Interface Endpoint → Provider サービス
[Consumer B: 顧客 B の VPC]
Interface Endpoint → Provider サービス→ 顧客は インターネットを経由せず、プライベート IP で SaaS を利用可能。
5. ユースケース
ユースケース 1:マルチテナント SaaS の公開
SaaS 提供者が顧客 VPC に直接サービスを公開(インターネット非経由)。
ユースケース 2:AWS サービス(S3 / DynamoDB 以外)への接続
Lambda / KMS / CloudWatch 等を Interface Endpoint 経由で。
ユースケース 3:M&A 統合(CIDR 重複あり)
Peering できない CIDR 重複時の代替手段。
ユースケース 4:マイクロサービス公開
組織内でマイクロサービスを別アカウント・別 VPC へ提供。
ユースケース 5:金融・医療
パートナー間でインターネット非経由の API 連携。
6. 関連用語
- VPC — PrivateLink の基盤
- VPC-Endpoint — Interface 型は PrivateLink 技術
- NLB — Provider 側のフロントエンド
- VPC-Peering — 比較対象(用途が異なる)
7. 関連サイト
AWS 公式
参考
🎓 試験での出題傾向
| 試験 | 重要度 | 主な出題パターン |
|---|---|---|
| CLF | 低 | 出題稀 |
| SAA | 高 | サービス公開・マルチテナント設計 |
| DVA | 中 | アプリでの Interface Endpoint 利用 |
| SOA | 中 | PrivateLink 運用 |