AWSを触っていると、普段はそこまで意識しない「Service Quotas(サービスクォータ)」に引っかかることがあります。
今回はその中でも VPC Security Groupに関する上限緩和申請を行ったため、ポイントを共有します。
Security Groupのルール数を増やしたかった件
あるAWS環境でSecurity Group(SG)に設定するルール数が増えてきており、「1セキュリティーグループあたりのルール上限」を引き上げる必要が出てきました。
以下は検証環境のセキュリティーグループ画面ですが、インバウンドのルールが上限の60に達しそうでした。もし上限に達すると、例えばEC2インスタンスにSSHできるIPアドレスを登録できないなどの問題が発生します。
今回はこのデフォルト値から引き上げたいというのが目的でした。
手順を調べ、Service Quotasから通常通り申請を行ったところ、AWSサポートから返信があり、そこで初めて「この制限は単純な上限ではない」という点に気付きました。
申請方法
この記事では本題にいたしませんが、私が申請時に詰まったのでキャプチャーを共有いたします。
以下のように申請画面に進みます。
Service Quotas > AWS のサービス
ポイントは、セキュリティーグループの緩和申請をするのですが「VPC」のサービスに関する緩和申請である点です。
私はセキュリティーグループはEC2インスタンスにアタッチする、というイメージが強いがあまりEC2に関する緩和申請をしようとしていました。
しかし、EC2のカテゴリの中には該当の申請項目が存在せず、見つけるのに苦労しました。
画像のように「VPC」で絞り込んでください。
AWSサポートからの指摘:乗算ルールが存在する
無事に申請を終えましたがまた問題が発生しました。
申請が通れば無限に上限を増やせると思っていましたが、AWSサポートによると、以下の制限が存在していました。
Security Groupあたりのルール数 × インターフェイスあたりのSecurity Group数 ≤ 1000
この「乗算値1000の壁」を超える設定にはできない仕様とのことでした。
対象の環境を確認したところ、
・セキュリティーグループあたりのルール数:60
・Network Interfaceにアタッチできるセキュリティーグループの数:5
という状況だったため、
60 × 5 = 300で問題はないのですが、セキュリティーグループあたりのルール数の上限を500に増やそうとすると、
500 × 5 = 2500 → 1000を大幅に超過
という理由で申請が却下されました。
ここは知らずに詰まりやすいポイントだと感じました。
AWS側からの提案:値の組み合わせを調整すれば通過可能
AWSサポートからは以下のような提案がありました。
「ルール数の上限を上げたい場合は、Network Interfaceにアタッチできるセキュリティーグループ数を下げることで通過できる可能性がある」
例えば以下のような組み合わせです。
セキュリティーグループあたりのルール数:500
セキュリティーグループper Interface:2
500 × 2 = 1000 → 許容範囲
このように、上限申請は「単体の数値」ではなく組み合わせで判断されます。
■ 実際に申請した値
今回は以下のように数値を調整し、再申請を行いました。
VPC Security Groupあたりのルール数:200
インターフェイスあたりのSecurity Group数:5(変更なし)
200 × 5 = 1000 となるため、こちらは問題なく申請が受理されました。
追加で確認したこと:上限は上下どちらにも変更可能か?
将来的に構成が変わり、セキュリティーグループのルール数は減る一方で、
インターフェイスにアタッチするセキュリティーグループ数を増やしたいケースも想定されます。
この点をAWSサポートに確認したところ、以下の回答をいただきました。
乗算値が1000以下である限り、上限の引き上げ・引き下げはどちらも可能
ただし、引き下げる場合は既存のルール数が新しい下限を超えていると申請できないため、事前に自分で調整する必要があります。
■ まとめ
今回の体験から、以下の点を学びました。
◆ 1. 乗算ルールがあるため引っかかりやすい
Security Groupの二つの上限は掛け算で評価されるため、単純に上限値だけを見て判断できない仕様でした。
◆ 2. 上限申請では数値のバランスが重要
ルール数だけを増やしたいケースでも、別の上限との組み合わせで制限される点に注意が必要です。
◆ 3. 上限値は増やすだけでなく減らすこともできる
構成が変わったらその都度申請すればよく、AWS側も適切に対応してくれます。
同じように上限調整で悩んでいる方の参考になれば幸いです。
最後までお読みいただきありがとうございました。
