投稿日

インターネットを介さずに、閉域でAmazon Monitronを利用する方法

こんにちは、ソラコムの横田(ニックネーム: shun)です。

後付けセンサーとクラウド上の機械学習で産業機器の予知保全を実現する、Amazon Web Services(以下、AWS)のサービス「Amazon Monitron(モニトロン)」が発売されてから、製品に関する内容について多くのお問い合わせをいただいております。その中でも特に多いもの一つが、「Amazon Monitronをインターネットを介さずに利用することはできるのか?」というご質問です。

本日はこちらの質問に対して、Amazon Monitronのネットワーク要件をもとに実現の可否について述べていきたいと思います。

Amazon Monitronのネットワーク要件のおさらい

Amazon Monitronはセンサーで取得したデータをインターネットを経由してAWSに送信し、クラウド側でデータの蓄積・解析を行い、それらをアプリで閲覧・管理することができるサービスです。そのため、Amazon Monitronを利用するためにはゲートウェイからクラウドにデータを送ることが必須です。そして、Amazon Monitronのデータ送信先はインターネット上のエンドポイントとなるため、ゲートウェイをインターネットに接続し、データを送信する必要があります。

上記の要件を見るとインターネットの利用は必須であり、Amazon Monitronをインターネットを介さず利用することは不可能に見えます。では、本当にインターネットを利用するしか方法はないのでしょうか?

結論から申し上げますと、実はインターネットを経由せずにAmazon Monitronを利用することが可能となる構成があります。これは多くのユーザーの方に朗報ではないでしょうか。

この方法は「AWSのパブリックなIPアドレス同士の通信の仕様」をうまく活用しています。では、その仕様と実現方法を見ていきましょう。

インスタンスとAWSサービス間のグローバルIP通信の仕様

Amazon VPCのよくある質問ページにインスタンスとAWSサービス間の通信に関する次のような記載があります。

“2 つのインスタンスがパブリック IP アドレスを使用して通信する場合、またはインスタンスがパブリックな AWS のサービスエンドポイントと通信する場合、トラフィックはインターネットを経由しますか?”

“いいえ。パブリック IP アドレスを使用する場合、AWS でホストされているインスタンスとサービス間のすべての通信は AWS のプライベートネットワークを使用します。AWS ネットワークから発信され、AWS ネットワーク上の送信先を持つパケットは、AWS 中国リージョンとの間のトラフィックを除いて、AWS グローバルネットワークにとどまります。”

どういうことかと言うと、インターネット上のパブリックなIPアドレス同士の通信であってもEC2インスタンスとAWSサービスの間の通信であればインターネットは利用せず、AWSのネットワークに閉じた通信が行われることを意味します。

つまり、Amazon MonitronゲートウェイからAWSのVPCまでVPNや専用線などの閉域で接続し、AWSのインスタンスからパブリックなAWSのサービスエンドポイントであるMonitronにデータを送信する場合は、インターネットを経由しない構成を取ることが可能ということです。

以下の図に示すようなネットワークを構築することで、ゲートウェイとAWS間は閉域網で接続し、Amazon EC2からAmazon Monitronへは上記仕様に従ってパブリックIPアドレス同士の通信であってもインターネットを介さずAWS内通信で閉じることができます。

 SORACOM セルラーパック for Amazon Monitronでの構成

では、上記構成を具体的にどのように構築したらよいかについて解説します。重要なポイントは以下の2点。

  1. Amazon MonitronゲートウェイからAWSのVPCに閉域で接続すること
  2. Amazon EC2からAmazon Monitronにデータをルーティングさせること

そして、この仕組みは弊社から提供しているSORACOM セルラーパック for Amazon Monitroで実現することが可能です!

ここからはそのために必要なサービスについて解説します。

構成としては以下の図のようになります。

  1. Amazon MonitronゲートウェイをLTEルーター(例: UD−LT2)に接続します
    UD-LT2とAWS間はSORACOM Airでセルラー回線を利用し、SORACOM CanalでAWSのVPCと閉域接続を実現します。これで条件の1つ目を実現できます。
  2. VPC内のEC2にAmazon Monitronのデータ全てを転送するためにSORACOM Junction Redirectionを利用します
    SORACOM Junctionを利用することでIoT SIMが送信するデータを全て強制的にAmazon EC2に転送することができ、Amazon EC2側でAmazon Monitronのエンドポイントにルーティングすることが可能になります。これで条件の2つ目を実現でき、Amazon Monitronをインターネットを介さず利用する構成を構築できます。

こちらのSORACOM Junctionを利用する理由についての詳細は弊社エンジニア松本が執筆したこちらのブログにて解説がございますので、興味のある方はご一読ください。

まとめ

いかがでしたでしょうか?本来インターネットに接続しないとデータを送信できないAmazon Monitronを、SORACOMのサービスを組み合わせることによって、インターネットを介さず利用することができることをお伝えいたしました。

こちらの構成を非常に魅力的に感じていただける方も多いのではないかと考えております。Amazon Monitronを利用したいけどインターネット利用が導入障壁になっている、そんな方はぜひ一度、本構成をお試しいただければ幸いです。

― ソラコム横田 (shun)

エンジニアブログ