翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# サードパーティーアプライアンスによる一元的なインバウンド検査
<a name="centralized-inspection-third-party"></a>

このアーキテクチャ設計パターンでは、別の検査 VPC の Application/Network Load Balancer など、Elastic Load Balancer (ELB) の背後にある複数のアベイラビリティーゾーンに、サードパーティーのファイアウォールアプライアンスを Amazon EC2 Load Balancer にデプロイします。

検査 VPC と他のスポーク VPCsは、VPC アタッチメントとして Transit Gateway を介して接続されます。スポーク VPCs のアプリケーションは、内部 ELB によるフロントエンドであり、アプリケーションタイプに応じて ALB または NLB のいずれかになります。インターネット経由のクライアントは、Firewall アプライアンスの 1 つにトラフィックをルーティングする検査 VPC 内の外部 ELB の DNS に接続します。Firewall はトラフィックを検査し、次の図に示すように内部 ELB の DNS を使用して Transit Gateway を介してスポーク VPC にトラフィックをルーティングします。サードパーティーアプライアンスを使用したインバウンドセキュリティ検査の詳細については、AWS [環境ブログ記事の「サードパーティーファイアウォールアプライアンスを AWS 環境に統合する方法](https://aws.amazon.com/blogs/networking-and-content-delivery/how-to-integrate-third-party-firewall-appliances-into-an-aws-environment/)」を参照してください。

![\[サードパーティーのアプライアンスと ELB を使用した一元的な進入トラフィック検査を示す図\]](http://docs.aws.amazon.com/ja_jp/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/images/ingress-inspection-third-party.png)


## 利点
<a name="advantages-22"></a>
+ このアーキテクチャは、サードパーティーのファイアウォールアプライアンスを通じて提供される検査および高度な検査機能の任意のアプリケーションタイプをサポートできます。
+ このパターンでは、ファイアウォールアプライアンスからスポーク VPCs への DNS ベースのルーティングがサポートされているため、スポーク VPCs 内のアプリケーションは ELB の背後で個別にスケーリングできます。
+ ELB で Auto Scaling を使用して、検査 VPC 内のファイアウォールアプライアンスをスケーリングできます。

## 主な考慮事項
<a name="key-considerations-52"></a>
+ 高可用性を実現するには、複数のファイアウォールアプライアンスをアベイラビリティーゾーンにデプロイする必要があります。
+ フロー対称性を維持するために、ファイアウォールを で設定し、ソース NAT を実行する必要があります。つまり、クライアント IP アドレスはアプリケーションに表示されません。
+ ネットワークサービスアカウントに Transit Gateway とインスペクション VPC をデプロイすることを検討してください。
+ サードパーティーベンダーのファイアウォールのライセンス/サポートの追加コスト。Amazon EC2 の料金はインスタンスタイプによって異なります。