VPCエンドポイントサービス(AWS PrivateLink)に対応しているのは NLBとGLBだけ
ALBは「仕組みの構造上」エンドポイントサービスとして公開できません。

✅ NLB(Network LB) TCP/UDPをそのまま中継。
PrivateLinkの接続口として最適
❌ ALB(Application LB) HTTP解析が必要で、
PrivateLinkの構造と合わない
✅ GLB(Gateway LB) セキュリティ機器の挿入用。
PrivateLink対応だが用途が異なる
SECTION 01

📮 郵便局のたとえで理解する

PrivateLinkを「専用郵便トンネル」に例えると、ALBが使えない理由がすぐに分かります。

📮

インターネットを経由せずにプライベートに接続する仕組み

あなたの会社(Consumer VPC)から、取引先の会社(Provider VPC)にデータを送りたい。
普通なら公道(インターネット)を通りますが、PrivateLinkは専用の地下トンネルを使って直接つなぎます。

このとき、取引先側の「受付窓口」がロードバランサーです。
ポイント:トンネルは「荷物をそのまま運ぶ」設計。窓口で荷物を開けて中身を検査してから転送する(=ALBの動作)のは、このトンネルの仕組みと合いません。

🏢 NLBの場合:荷物をそのまま転送 → ✅ トンネルと相性抜群

🏢
あなたの会社
Consumer VPC
🚇
地下トンネル
PrivateLink
📦
NLB受付窓口
中身を見ず、宛先だけ確認して転送
🎯
取引先サービス
Provider のアプリ

🏢 ALBの場合:荷物を開封して検査 → ❌ トンネルの仕組みと合わない

🏢
あなたの会社
Consumer VPC
🚇
地下トンネル
PrivateLink
📋
ALB受付窓口
荷物を開けて中身を確認。
トンネルはこの動作に非対応
SECTION 02

⚖️ NLBとALBの根本的な違い

同じ「ロードバランサー」でも、動作するレイヤー(階層)がまったく異なります。

📦
NLB(Network Load Balancer)
L4 — TCP/UDP レイヤーで動作
パケットをそのまま転送:中身(HTTP等)を解析せず、宛先IPとポートだけ見て通す
超低レイテンシ:中身を読まないから、ものすごく速い
静的IPアドレス:固定IPやElastic IPを割り当て可能
TCP/TLS/UDPに対応:HTTP以外のプロトコルもOK
✅ PrivateLinkのエンドポイントサービスとして公開 可能
📋
ALB(Application Load Balancer)
L7 — HTTP/HTTPS レイヤーで動作
HTTPを解析して振り分け:URL・ヘッダー・Cookieを読んでルーティング
TLS終端が必須:暗号化を一度解除してHTTP内容を読む
動的IPアドレス:IPが変動するため、固定IPの割り当てが不可
HTTP/HTTPSのみ:TCPやUDPの直接転送には非対応
❌ PrivateLinkのエンドポイントサービスとして公開 不可
SECTION 03

🔧 ALBが使えない4つの技術的理由

PrivateLinkの内部アーキテクチャと、ALBの動作原理が構造的に合いません。

1
PrivateLinkはL4(TCP)で接続する
PrivateLinkの仕組みは、Consumer側のVPCエンドポイントとProvider側のNLBをTCPレベルでトンネル接続します。ALBはL7(HTTP)でしか動作しないため、この接続方式に対応できません。
地下トンネルは「封筒ごと転送」する仕組み。封筒を開けて中身を読む窓口(ALB)は接続できません。
2
ALBはIPアドレスが固定できない
PrivateLinkの接続先には固定的なネットワークインターフェース(ENI)が必要です。NLBは静的IPやElastic IPを持てますが、ALBのIPは動的に変化するため接続先として指定できません。
住所が毎日変わる郵便局には、地下トンネルの出口を固定できません。NLBは「住所固定」なのでトンネルを繋げます。
3
TLS終端の問題
ALBはHTTPS通信を一度復号(TLS終端)してから内容を解析します。PrivateLinkは暗号化されたパケットをそのまま通す「パススルー」が基本。途中で復号が必要なALBとは相容れません。
トンネルは「密封された荷物」を通す設計。途中で封を切って検査するALBの作業は、トンネルの中ではできません。
4
AWSの設計方針(対応LBの制限)
AWSはPrivateLinkの接続先としてNLBとGateway Load Balancer(GLB)のみを公式サポートしています。ALBの高機能(パスルーティング等)はPrivateLinkでは不要であり、シンプルなL4転送が求められるためです。
高機能な窓口業務(ALB)は、トンネルの「通すだけ」という目的に対してオーバースペックなのです。
SECTION 04

🗺️ PrivateLinkのアーキテクチャ全体像

Consumer VPCからProvider VPCへの接続を実現する正しい構成を確認しましょう。

✅ 正しいアーキテクチャ:NLBを使ったPrivateLink構成

インターネットを経由せず、AWSバックボーン内でプライベート接続

Consumer VPC(利用者側)
💻
アプリケーション / EC2
サービスを利用するクライアント
🔌
VPC Endpoint(ENI)
Consumer側の接続口。プライベートIPが付与される
🔒 AWS
PrivateLink
(AWSバックボーン)
Provider VPC(提供者側)
Endpoint Service
NLBまたはGLBを公開する設定
📦
NLB(Network Load Balancer)
TCP/UDPトラフィックを背後のターゲットに転送
🎯
バックエンドサービス
EC2 / ECS / Lambda など
SECTION 05

✅ ❌ 正しい構成パターンと間違いパターン

試験でよく問われる構成パターンを確認しましょう。

✅ 正しい構成:NLBでエンドポイントサービスを作成
Client
Consumer VPC
VPC
Endpoint
PrivateLink
NLB
Service
Provider VPC
NLBはTCP/UDPレイヤーで動作し、静的IPを持つため、PrivateLinkの接続先として最適。他のAWSアカウントからもプライベートに接続可能。
❌ 間違い構成:ALBでエンドポイントサービスを作成しようとする
Client
Consumer VPC
VPC
Endpoint
PrivateLink
ALB
ALBはHTTPレイヤーで動作し、動的IPを持つため、PrivateLinkのエンドポイントサービスとして設定不可。AWSコンソールでも選択肢に表示されない。
補足パターン

🔀 ALBの機能も使いたい場合:NLBの背後にALBを配置

PrivateLinkの接続口はNLBにしつつ、その背後でALBのL7ルーティング機能を活用する構成です。

Client
VPC Endpoint
PrivateLink
NLB
ALB
Service
💡 ポイント:ALBは「エンドポイントサービスの窓口」にはなれないが、「NLBの背後に配置するターゲット」としては使える。パスベースルーティングやSSL終端が必要な場合はこの構成を検討。
SECTION 06

📊 ロードバランサー別 PrivateLink対応比較

比較項目 NLB ALB GLB
PrivateLink対応 ✅ 対応 ❌ 非対応 ✅ 対応
動作レイヤー L4(TCP / UDP / TLS) L7(HTTP / HTTPS) L3(IP パケット)
IPアドレス 静的IP / Elastic IP 可 動的IP(固定不可) 静的IP 可
パケット処理 中身を見ずにそのまま転送 HTTP解析・ルーティング パケットカプセル化転送
主な用途 高性能TCP負荷分散
PrivateLink公開		 Webアプリの
パスベース振り分け		 サードパーティ
セキュリティ機器挿入
たとえ話 📦 荷物を封のまま渡す受付 📋 荷物を開けて仕分けする窓口 🔍 荷物をX線検査に通す検問所
Q1
「VPCエンドポイントサービスを作成する場合、どのLBを使用しますか?」
NLB(またはGLB)。ALBはエンドポイントサービスとして設定できない。
Q2
「他のアカウントにプライベートにサービスを公開する最適な方法は?」
NLBを作成 → VPCエンドポイントサービスを作成 → 相手アカウントにVPCエンドポイントを作成させる。ALBではこの構成は不可能。
Q3
「ALBのパスベースルーティングをPrivateLinkで使いたい場合は?」
NLB → ALB → ターゲットの構成にする。NLBがエンドポイントサービスの窓口となり、背後でALBがL7ルーティングを行う。
注意
選択肢に「ALBでVPCエンドポイントサービスを作成する」があったら即座に除外。これは定番のひっかけパターンです。

🎓 まとめ:PrivateLinkに使えるLBはNLBとGLBだけ

📦
NLB
L4で高速転送。
PrivateLinkの最も一般的な選択肢
✅ エンドポイントサービス対応
📋
ALB
L7でHTTP解析。
高機能だがPrivateLinkの窓口にはなれない
❌ エンドポイントサービス非対応
🔍
GLB
L3でパケット転送。
セキュリティアプライアンス向け
✅ エンドポイントサービス対応
🏪 覚え方:PrivateLinkのトンネルは「荷物をそのまま運ぶ」設計。
荷物を開けずに転送できるNLB(封のまま渡す受付)だけがトンネルの出口になれる。
荷物を開封するALB(中身を検査する窓口)はトンネルの仕組みと合わない。

Created by SSuzuki1063

AWS SAP Learning Resources