PrivateLink 経由での Private または Shield Space 内の Heroku Key-Value Store への接続
最終更新日 2025年02月07日(金)
Table of Contents
この記事では、AWS PrivateLink を使用して、AWS VPC と、Private Space または Shield Private Space で実行されている Heroku Key-Value Store (KVS) インスタンスの間に安全な接続を作成する方法について説明します。このプロセスは、大きく分けて 3 つの手順で構成されます。
- Private または Shield Heroku Key-Value Store インスタンスでエンドポイントサービスを作成する
- エンドポイントネットワークインターフェースを AWS VPC に作成する
- 2 つのエンドポイント間に安全な接続を確立する
接続の設定の一部として、承認されたアカウントの一覧を指定することで、VPC から KVS インスタンスへのアクセスを制限できます。
この機能を使用するには、作成する Amazon VPC エンドポイントが、Heroku Key-Value Store インスタンスと同じリージョンにあるサブネットにプロビジョニングされている必要があります。詳細は、「リージョン」を参照してください。
Heroku の前提条件
PrivateLink エンドポイントを設定するには、次の Heroku リソースが必要です。
- Private Space または Shield Private Space。Heroku Dashboard か Heroku CLI のどちらかを使用して Private Space または Shield Private Space を作成します。
- Private Space または Shield Private Space で、Heroku Key-Value Store インスタンスをアタッチした状態で実行されている Heroku アプリ。Private Space または Shield Private Space で実行されているすべての Heroku Key-Value Store インスタンスでは、それぞれ
private
またはshield
プランタイプのいずれかを使用します。インスタンスの作成方法については、「Heroku Key-Value Store」を参照してください。
Heroku エンドポイントのプロビジョニング
手順 1: PrivateLink CLI プラグインを使用して Heroku Data をインストールする
CLI プラグインをインストールするには、次のコマンドを実行します。
$ heroku plugins:install data-privatelink
手順 2: AWS アカウント ID を取得する
AWS アカウント ID は、次のように AWS CLI を使用して取得できます。
$ aws sts get-caller-identity --output text --query 'Account'
123456789101
このコマンド例では、アカウント ID 123456789101
が返されています。
アカウント ID は、AWS アカウントの Account
(アカウント) ページから取得することもできます。Account ID
は Account Settings
(アカウント設定) セクションに表示されます。
手順 3: PrivateLink エンドポイントを作成する
次の Heroku CLI コマンドを使用して PrivateLink エンドポイントを作成し、値を置き換えます。
$ heroku data:privatelink:create REDIS_ADDON_NAME --aws-account-id ACCOUNT_ID --app APP_NAME
REDIS_ADDON_NAME
を KVS アドオンの名前に置き換えます (例: redis-kvs-12345
)。APP_NAME
を自分のアプリ名に置き換えます。ACCOUNT_ID
を KVS アドオンへのアクセスを受け取る AWS アカウントに置き換えます。次のいずれかのパターンに一致する ID を指定してください。- account-id
- account-id:user/username
- account-id:role/rolename
--aws-account-id
フラグを複数回指定して、複数のアカウントを含めることができます。
次の例は、コマンドとその出力結果です。
$ heroku data:privatelink:create redis-kvs-12345 --aws-account-id 123456789101:user/abc.xyz --app privatelink-vpc-endpoint-demo
Creating privatelink... done
Service Name: Provisioning
Status: Provisioning
The PrivateLink is now being provisioned for redis-kvs-12345.
Run heroku data:privatelink:wait REDIS_URL -a APP to check the creation process.
新しい PrivateLink エンドポイントが利用可能になるまで、通常 5 ~ 10 分かかります。heroku data:privatelink:wait REDIS_URL --app APP_NAME
で進捗状況を追跡できます。
手順 4: エンドポイントのサービス名を取得する
PrivateLink エンドポイントのプロビジョニングが終了したら、次のコマンドを使用してその詳細を確認します。
$ heroku data:privatelink KVS_ADDON_NAME --app APP_NAME
KVS_ADDON_NAME
を Private KVS アドオンの名前に置き換え、APP_NAME
をアプリの名前に置き換えます。
次の例は、コマンドとその出力結果です。
$ heroku data:privatelink redis-kvs-12345 --app privatelink-vpc-endpoint-demo
=== privatelinks for redis-kvs-12345
Service Name: com.amazonaws.vpce.us-east-1.vpce-svc-0410a2e25933fe8ec
Status: Operational
=== Allowed Accounts
ARN Status
arn:aws:iam::123456789101:user/abc.xyz Active
Your privatelink is now operational.
You must now copy the Service Name and follow the rest of the steps listed in https://devcenter.heroku.com/articles/heroku-redis-via-privatelink.
コマンドの出力から Service Name
フィールドの値をコピーします。前の例では、サービス名は com.amazonaws.vpce.us-east-1.vpce-svc-0410a2e25933fe8ec
です。この値は、Amazon VPC エンドポイントをプロビジョニングするために必要になります。
Amazon VPC エンドポイントのプロビジョニング
このセクションの手順は、Amazon VPC ダッシュボードから実行します。
手順 1: セキュリティグループを作成して設定する
エンドポイントには、適切な ingress セキュリティルールが設定されたセキュリティグループが必要です。セキュリティグループを作成するには:
- VPC ダッシュボードの
Security Groups
(セキュリティグループ) タブで、Create security group
(セキュリティグループの作成) をクリックします。 Basic details
(基本情報詳細) セクションで、セキュリティグループの名前と説明を指定し、目的の VPC を選択します。Inbound rules
(インバウンドルール) セクションで、Add rule
(ルールを追加) をクリックします。- 有効な IP アドレスからポート
6379
への TCP アクセスを有効にします。 Create security group
(セキュリティグループの作成) をクリックします。
手順 2: エンドポイントを作成する
エンドポイントを作成するには:
- VPC ダッシュボードの
Endpoints
(エンドポイント) タブに移動し、Create Endpoint
(エンドポイントの作成) をクリックします。 Name tag
(名前タグ) フィールドにエンドポイントの名前を入力します。Type
(タイプ) セクションで、PrivateLink Ready partner services
(PrivateLink Ready パートナーサービス) カテゴリを選択します。Service settings
(サービス設定) セクションで、先ほど取得したService name
値を貼り付けます。次に、
Verify service
(サービスの確認) をクリックして、使用可能なサブネットの一覧を表示します。Network Settings
(ネットワーク設定) セクションで、セキュリティグループの作成時に指定した VPC を選択します。Subnets
(サブネット) セクションで、有効にするサブネットとサブネット ID を選択し、使用する IP アドレスの種類を選択します。Security group
(セキュリティグループ) セクションで、前の手順で作成したセキュリティグループを選択し、Create endpoint
(エンドポイントの作成) をクリックします。
作成したエンドポイントの初期ステータスは pending acceptance
で、5 ~ 10 分後に available
に移行します。
Heroku と Amazon VPC エンドポイントの接続
Amazon VPC エンドポイントが available
になったら、VPC が Heroku Key-Value Store アドオンと通信できるようにするための URL を取得できます。
まず、PrivateLink エンドポイントのエンドポイント ID を取得し、その末尾の 17 文字の文字列を抽出します。この文字列を大文字に変換し、下記のコマンドで使用します。たとえば、エンドポイント ID が vpce-01c87ae3c05563935
である場合、このエンドポイント ID は 01C87AE3C05563935
になります。
ENDPOINT_ID_HERE
の文字列を置き換えて、コマンドを実行します。
$ heroku config --app your_app_name | grep ENDPOINT_ID_HERE
このコマンドは、AWS VPC エンドポイントの接続 URL と、KVS インスタンスの対応する接続文字列を表示します。接続文字列は次の形式です。
redis://user:password@vpc-endpoint-dns-name:6379
これで、この接続文字列を使用して、AWS VPC 内のアプリケーションをプライベートの Heroku Key-Value Store インスタンスに接続できるようになりました。次の例は、コマンドとその出力結果です。
$ heroku config --app privatelink-vpc-endpoint-demo | grep 01C87AE3C05563935
REDIS_ENDPOINT_01C87AE3C05563935_URL: redis://user:password@vpc-endpoint-dns-name:6379
この機能の使用に関して問題または気になる点がある場合は、サポートチケットを開いてください。
VPC エンドポイント経由での EC2 から Heroku Key-Value Store への接続
VPC エンドポイントを設定し終えたら、AWS VPC に EC2 インスタンスを作成して、Heroku Postgres に接続できます。
EC2 ダッシュボードで、 Launch an instance
(インスタンスの起動) をクリックします。インスタンスに名前を付け、AMI タイプを選択します。
次に、インスタンスタイプとキーペア名を選択します。この例では、Ubuntu t2.micro インスタンスを作成します。
ネットワーク設定を行うときは、先ほど作成したセキュリティグループがある VPC ネットワークを選択し、適切なサブネットを選択します。インスタンスの概要を確認し、 Launch instance
(インスタンスの起動) をクリックします。
インスタンスのステータスが running
に移行し、すべてのステータスチェックに合格したら、インスタンスの作成中に指定した SSH キーのペアを使用してそのインスタンスに接続します。
インスタンスに接続した後、接続文字列を使用して KVS に安全に接続します。ポート番号は stunnel
経由で接続する場合の 6380
ではなく、6379
です。
次の出力は、Ruby でサンプルの EC2 インスタンス内から Heroku Key-Value Store インスタンスに接続するために使用されている接続文字列を示しています。
ᐅ ssh ubuntu@ec2-1-2-3-4.compute-1.amazonaws.com
Welcome to Ubuntu 18.04.1 LTS (GNU/Linux 4.15.0-1021-aws x86_64)
...<snip>...
ubuntu@ip:~$ sudo apt install ruby && sudo gem install redis
...<snip>...
ubuntu@ip:~$ irb
irb(main)> require "redis"
=> true
irb(main)> url = URI.parse("redis://password@vpce-id-secret.vpce-svc-id.us-east-1.vpce.amazonaws.com:6379")
irb(main)> url.scheme = "rediss"
irb(main)> $redis = Redis.new(url: url, driver: :ruby, ssl_params: { verify_mode: OpenSSL::SSL::VERIFY_NONE })
irb(main)> $redis.ping
=> "PONG"
制限
- Heroku Key-Value Store インスタンスと同じリージョンにあるサブネットに作成した Amazon VPC エンドポイントをプロビジョニングする必要があります。
- ユーザー独自の VPC と Heroku Data VPC の間で共通のアベラビリティーゾーン内の Private KVS インスタンスにしか接続できません。
- Heroku Key-Value Store インスタンスへの完全に安全なアクセスを確保するため、ユーザーの責任において VPC のセキュリティを確認してください。