PrivateLink 経由での Private または Shield Space 内の Heroku Key-Value Store への接続

最終更新日 2025年02月07日(金)

この記事では、AWS PrivateLink​ を使用して、AWS VPC と、Private Space​ または Shield Private Space​ で実行されている Heroku Key-Value Store (KVS)​ インスタンスの間に安全な接続を作成する方法について説明します。このプロセスは、大きく分けて 3 つの手順で構成されます。

  1. Private または Shield Heroku Key-Value Store インスタンスでエンドポイントサービスを作成する
  2. エンドポイントネットワークインターフェースを AWS VPC に作成する
  3. 2 つのエンドポイント間に安全な接続を確立する

接続の設定の一部として、承認されたアカウントの一覧を指定することで、VPC から KVS インスタンスへのアクセスを制限できます。

この機能を使用するには、作成する Amazon VPC エンドポイントが、Heroku Key-Value Store インスタンスと同じリージョンにあるサブネットにプロビジョニングされている必要があります。詳細は、「リージョン​」を参照してください。

Heroku の前提条件

PrivateLink エンドポイントを設定するには、次の Heroku リソースが必要です。

  • Private Space または Shield Private Space。Heroku Dashboard か Heroku CLI のどちらかを使用して Private Space​ または Shield Private Space​ を作成します。
  • Private Space または Shield Private Space で、Heroku Key-Value Store インスタンスをアタッチした状態で実行されている Heroku アプリ。Private Space または Shield Private Space で実行されているすべての Heroku Key-Value Store インスタンスでは、それぞれ private​ または shield​ プランタイプのいずれかを使用します。インスタンスの作成方法については、「Heroku Key-Value Store​」を参照してください。

Heroku エンドポイントのプロビジョニング

CLI プラグインをインストールするには、次のコマンドを実行します。

$ heroku plugins:install data-privatelink

手順 2: AWS アカウント ID を取得する

AWS アカウント ID は、次のように AWS CLI を使用して取得できます。

$ aws sts get-caller-identity --output text --query 'Account'

123456789101

このコマンド例では、アカウント ID 123456789101​ が返されています。

アカウント ID は、AWS アカウントの Account (アカウント) ページから取得することもできます。Account ID​ は Account Settings (アカウント設定) セクションに表示されます。

サンプル AWS アカウントのアカウントページ

次の Heroku CLI コマンドを使用して PrivateLink エンドポイントを作成し、値を置き換えます。

$ heroku data:privatelink:create REDIS_ADDON_NAME --aws-account-id ACCOUNT_ID --app APP_NAME
  • REDIS_ADDON_NAME​ を KVS アドオンの名前に置き換えます (例: ​redis-kvs-12345​)。
  • APP_NAME​ を自分のアプリ名に置き換えます。
  • ACCOUNT_ID​ を KVS アドオンへのアクセスを受け取る AWS アカウントに置き換えます。次のいずれかのパターンに一致する ID を指定してください。
    • account-id
    • account-id:user/username
    • account-id:role/rolename

--aws-account-id​ フラグを複数回指定して、複数のアカウントを含めることができます。

次の例は、コマンドとその出力結果です。

$ heroku data:privatelink:create redis-kvs-12345 --aws-account-id 123456789101:user/abc.xyz --app privatelink-vpc-endpoint-demo
Creating privatelink... done

Service Name: Provisioning
Status:       Provisioning

The PrivateLink is now being provisioned for redis-kvs-12345.
Run heroku data:privatelink:wait REDIS_URL -a APP to check the creation process.

新しい PrivateLink エンドポイントが利用可能になるまで、通常 5 ~ 10 分かかります。heroku data:privatelink:wait REDIS_URL --app APP_NAME​で進捗状況を追跡できます。

手順 4: エンドポイントのサービス名を取得する

PrivateLink エンドポイントのプロビジョニングが終了したら、次のコマンドを使用してその詳細を確認します。

$ heroku data:privatelink KVS_ADDON_NAME --app APP_NAME

KVS_ADDON_NAME​ を Private KVS アドオンの名前に置き換え、APP_NAME​ をアプリの名前に置き換えます。

次の例は、コマンドとその出力結果です。

$ heroku data:privatelink redis-kvs-12345 --app privatelink-vpc-endpoint-demo
=== privatelinks for redis-kvs-12345
Service Name:         com.amazonaws.vpce.us-east-1.vpce-svc-0410a2e25933fe8ec
Status:               Operational

=== Allowed Accounts
ARN                                    Status
arn:aws:iam::123456789101:user/abc.xyz Active

Your privatelink is now operational.
You must now copy the Service Name and follow the rest of the steps listed in https://devcenter.heroku.com/articles/heroku-redis-via-privatelink.

コマンドの出力から Service Name​ フィールドの値をコピーします。前の例では、サービス名は com.amazonaws.vpce.us-east-1.vpce-svc-0410a2e25933fe8ec​ です。この値は、Amazon VPC エンドポイントをプロビジョニング​するために必要になります。

Amazon VPC エンドポイントのプロビジョニング

このセクションの手順は、Amazon VPC ダッシュボードから実行します。

手順 1: セキュリティグループを作成して設定する

エンドポイントには、適切な ingress セキュリティルールが設定されたセキュリティグループが必要です。セキュリティグループを作成するには:

  1. VPC ダッシュボードの Security Groups (セキュリティグループ) タブで、Create security group (セキュリティグループの作成) をクリックします。
  2. Basic details (基本情報詳細) セクションで、セキュリティグループの名前と説明を指定し、目的の VPC を選択します。
  3. Inbound rules (インバウンドルール) セクションで、Add rule (ルールを追加) をクリックします。
  4. 有効な IP アドレスからポート 6379​ への TCP アクセスを有効にします。
  5. Create security group (セキュリティグループの作成) をクリックします。

AWS コンソールのセキュリティグループの作成ウィンドウ

手順 2: エンドポイントを作成する

エンドポイントを作成するには:

  1. VPC ダッシュボードの Endpoints (エンドポイント) タブに移動し、Create Endpoint (エンドポイントの作成) をクリックします。
  2. Name tag (名前タグ) フィールドにエンドポイントの名前を入力します。
  3. Type (タイプ) セクションで、PrivateLink Ready partner services (PrivateLink Ready パートナーサービス) カテゴリを選択します。
  4. Service settings (サービス設定) セクションで、先ほど取得したService name​ 値を貼り付けます。

  5. 次に、Verify service (サービスの確認) をクリックして、使用可能なサブネットの一覧を表示します。

    The Create Endpoint window on the AWS Console

  6. Network Settings (ネットワーク設定) セクションで、セキュリティグループの作成時に指定した VPC を選択します。

  7. Subnets (サブネット) セクションで、有効にするサブネットとサブネット ID を選択し、使用する IP アドレスの種類を選択します。

  8. Security group (セキュリティグループ) セクションで、前の手順で作成したセキュリティグループを選択し、Create endpoint (エンドポイントの作成) をクリックします。

    The Network Settings, Subnets, and Security Groups section of the Create Endpoint window on the AWS Console

作成したエンドポイントの初期ステータスは pending acceptance​ で、5 ~ 10 分後に available​ に移行します。

Heroku と Amazon VPC エンドポイントの接続

Amazon VPC エンドポイントが available​ になったら、VPC が Heroku Key-Value Store アドオンと通信できるようにするための URL を取得できます。

まず、PrivateLink エンドポイントのエンドポイント ID を取得し、その末尾の 17 文字の文字列を抽出します。この文字列を大文字に変換し、下記のコマンドで使用します。たとえば、エンドポイント ID が vpce-01c87ae3c05563935​ である場合、このエンドポイント ID は 01C87AE3C05563935​ になります。

ENDPOINT_ID_HERE​ の文字列を置き換えて、コマンドを実行します。

$ heroku config --app your_app_name | grep ENDPOINT_ID_HERE

このコマンドは、AWS VPC エンドポイントの接続 URL と、KVS インスタンスの対応する接続文字列を表示します。接続文字列は次の形式です。

redis://user:password@vpc-endpoint-dns-name:6379

これで、この接続文字列を使用して、AWS VPC 内のアプリケーションをプライベートの Heroku Key-Value Store インスタンスに接続できるようになりました。次の例は、コマンドとその出力結果です。

$ heroku config --app privatelink-vpc-endpoint-demo | grep 01C87AE3C05563935

REDIS_ENDPOINT_01C87AE3C05563935_URL:           redis://user:password@vpc-endpoint-dns-name:6379

この機能の使用に関して問題または気になる点がある場合は、サポートチケット​を開いてください。

VPC エンドポイント経由での EC2 から Heroku Key-Value Store への接続

VPC エンドポイントを設定し終えたら、AWS VPC に EC2 インスタンスを作成して、Heroku Postgres に接続できます。

EC2 ダッシュボードで、 Launch an instance (インスタンスの起動) をクリックします。インスタンスに名前を付け、AMI タイプを選択します。

EC2 ダッシュボードのインスタンス AMI ウィンドウを起動する

次に、インスタンスタイプとキーペア名を選択します。この例では、Ubuntu t2.micro インスタンスを作成します。

EC2 ダッシュボードのインスタンスの種類ウィンドウを起動する

ネットワーク設定を行うときは、先ほど作成した​セキュリティグループがある VPC ネットワークを選択し、適切なサブネットを選択します。インスタンスの概要を確認し、 Launch instance (インスタンスの起動) をクリックします。

EC2 ダッシュボードのインスタンスネットワーク設定ウィンドウを起動する

インスタンスのステータスが running​ に移行し、すべてのステータスチェックに合格したら、インスタンスの作成中に指定した SSH キーのペアを使用してそのインスタンスに接続します。

インスタンスに接続した後、接続文字列を使用して KVS に安全に接続します。ポート番号は stunnel​ 経由で接続する場合の 6380​ ではなく、6379​ です。

次の出力は、Ruby でサンプルの EC2 インスタンス内から Heroku Key-Value Store インスタンスに接続するために使用されている接続文字列を示しています。

ᐅ ssh ubuntu@ec2-1-2-3-4.compute-1.amazonaws.com
Welcome to Ubuntu 18.04.1 LTS (GNU/Linux 4.15.0-1021-aws x86_64)
...<snip>...
ubuntu@ip:~$ sudo apt install ruby && sudo gem install redis
...<snip>...
ubuntu@ip:~$ irb
irb(main)> require "redis"
=> true
irb(main)> url = URI.parse("redis://password@vpce-id-secret.vpce-svc-id.us-east-1.vpce.amazonaws.com:6379")
irb(main)> url.scheme = "rediss"
irb(main)> $redis = Redis.new(url: url, driver: :ruby, ssl_params: { verify_mode: OpenSSL::SSL::VERIFY_NONE })
irb(main)> $redis.ping
=> "PONG"

制限

  • Heroku Key-Value Store インスタンスと同じリージョンにあるサブネットに作成した Amazon VPC エンドポイントをプロビジョニングする必要があります。
  • ユーザー独自の VPC と Heroku Data VPC の間で共通のアベラビリティーゾーン内の Private KVS インスタンスにしか接続できません。
  • Heroku Key-Value Store インスタンスへの完全に安全なアクセスを確保するため、ユーザーの責任において VPC のセキュリティを確認してください。