先生と生徒の会話形式で理解しよう

生徒

「AWS PrivateLinkを使っているんですけど、通信できないときの原因調査ってどうすればいいんですか？」

先生

「いい質問だね。PrivateLink（プライベートリンク）は便利だけど、ログを取らないとトラブル対応が難しくなるんだ。今日は、ログ取得方法と調査の流れをわかりやすく説明するよ。」

生徒

「お願いします！原因がわからないと焦っちゃうので、ちゃんと理解したいです！」

1. AWS PrivateLink（プライベートリンク）とは？

AWS PrivateLinkは、読み方はプライベートリンクで、異なるVPC（ブイピーシー：仮想プライベートクラウド）間で、セキュアにサービスを接続できる機能です。インターネットを使わず、AWS内部だけで通信できるため、非常に安全なサービス接続が実現できます。

2. ログを取得すべき理由

PrivateLinkはインターネットを介さないため、通信エラーが発生しても気づきにくいという一面があります。そのため、ログを取っておくことで、原因特定や通信状況の把握がしやすくなります。

ログ取得は、セキュリティ管理・トラブルシューティング・運用保守の観点からも非常に重要です。

VPC Flow Logsは、読み方はフローログで、VPC内で行われた通信の記録を取得する仕組みです。PrivateLinkにおけるVPCエンドポイントの通信内容も、このログで確認できます。

VPC Flow Logsでは、以下のような情報が確認可能です：

ログは、CloudWatch Logs（クラウドウォッチログ）またはS3バケットに保存できます。

ログの可視化にはCloudWatch Logsが便利です。以下の手順で設定します：

こうすることで、通信状況をリアルタイムに監視できます。

実際に通信エラーが発生した場合、以下のステップで対応します。

まず、VPCエンドポイントのステータスが「Available」になっているかを確認しましょう。

PrivateLinkのエンドポイントには、専用のDNS名が割り当てられます。DNS解決が有効になっていないと、接続できない場合があります。

受け手側のサービスに設定されたSecurity Group（セキュリティグループ）や、NACL（ナックル：ネットワークACL）が、通信を許可しているかを確認します。

該当のVPC Flow Logsで、REJECTになっているログがないか確認しましょう。拒否された通信があれば、そのIPやポートをSecurity Groupに追加する必要があります。

DNS名の誤り：PrivateLinkのDNS名は自動生成されるため、コピー＆ペーストミスに注意
セキュリティグループ未設定：Inboundルールに必要なポートがないと接続できません
サービスプロバイダ側のNLBが未構成：Network Load Balancerが正しく設定されていないと、PrivateLinkは機能しません
VPC間のルート設定漏れ：PrivateLinkはENI（イーエヌアイ：Elastic Network Interface）を介するため、サブネットとルートテーブルもチェックが必要