Reachability Analyzer りーちゃびりてぃあなりぁいざー
簡単に言うとこんな感じ!
AWS上のサーバーAからサーバーBに「通信できる?」を調べてくれるツールだよ!実際に通信パケットを飛ばさなくても、設定を自動チェックして「ここがブロックしてます!」って原因まで教えてくれるんだ。ネットワーク探偵みたいなイメージ!
Reachability Analyzerとは
Reachability Analyzer(リーチャビリティ アナライザー) は、AWS(Amazon Web Services)が提供するネットワーク診断ツールです。AWS上の仮想ネットワーク環境(VPC)内で、あるリソースから別のリソースへの通信経路が正しく設定されているかを、実際の通信を発生させることなく静的に解析・検証する機能です。
AWS VPCでは、セキュリティグループ(仮想ファイアウォール)、ネットワークACL(サブネット単位のアクセス制御)、ルートテーブル(通信経路の設定)など、複数の設定が組み合わさってネットワークが構成されます。これらの設定が複雑に絡み合うと「なぜか通信できない」という状況が発生しがちですが、Reachability Analyzerはその原因をピンポイントで特定してくれます。
ビジネス的な価値は「問題の早期発見」と「設定ミスの可視化」です。システム担当者がネットワークの全設定を手動で追わなくても、ツールが自動的に経路を追跡し、どの設定がボトルネックになっているかを明示してくれるため、トラブル対応時間を大幅に短縮できます。
仕組みと主な機能
Reachability Analyzerは「送信元」と「送信先」を指定するだけで、AWSが内部的にすべての設定を解析し、通信の可否と経路を返してくれます。
| 項目 | 内容 |
|---|---|
| 解析対象 | EC2インスタンス、ENI(ネットワークカード)、インターネットゲートウェイ、VPNゲートウェイ、ロードバランサーなど |
| チェック内容 | セキュリティグループ・ネットワークACL・ルートテーブル・VPCピアリング設定 |
| パケット送信 | 不要(設定を静的に解析するだけ) |
| 結果 | 到達可能(Reachable)/ 到達不可(Not reachable)+ブロック箇所の特定 |
| 利用料金 | 解析1回ごとに課金(2024年時点で1回あたり約$0.10) |
解析の流れ
① 送信元リソースを指定(例: EC2インスタンスA)
↓
② 送信先リソースを指定(例: EC2インスタンスB)
↓
③ プロトコル・ポートを指定(例: TCP 443)
↓
④ AWS が設定を自動解析
↓
⑤ 結果表示:到達可能 or ブロック箇所の特定「到達不可」の場合に特定できるブロック箇所
- セキュリティグループ のインバウンド/アウトバウンドルール
- ネットワークACL のDeny設定
- ルートテーブル に経路が存在しない
- VPCピアリング の設定漏れ
- インターネットゲートウェイ が未アタッチ
歴史と背景
- 2019年11月 — AWS re:Invent 2019にてVPC Reachability Analyzerとして発表・提供開始
- 背景 — クラウド利用の普及により、VPCの構成が複雑化。セキュリティグループだけでも数十〜数百のルールを持つ構成が当たり前になり、人手でのトラブルシューティングが限界に
- 2021年 — AWS Network Managerとの統合が強化され、マルチアカウント・マルチリージョン環境でも利用可能に
- 2022年以降 — AWSコンソールのVPCダッシュボードに標準統合。CLIやAPI経由での自動化も容易になり、CI/CDパイプラインへの組み込みが普及
関連ツール・機能との比較
Reachability Analyzerと混同されやすいAWSのネットワーク関連ツールを整理します。
実務でのユースケース
| シーン | 使い方 |
|---|---|
| 新規システム構築後の確認 | 設計通りにネットワークが繋がるか、リリース前に検証 |
| 「繋がらない!」トラブル対応 | どの設定がブロックしているか即特定 |
| セキュリティレビュー | 意図しない通信経路が開いていないか確認 |
| CI/CDパイプラインへの組み込み | インフラ変更時に自動で疎通テストを実施 |
関連する規格・RFC
※ Reachability Analyzerはクラウドベンダー(AWS)独自のサービスであり、IETFやISOなどの標準規格に直接対応する仕様はありません。ただし、解析対象となるネットワーク技術は以下の規格に基づきます。
| 規格・RFC番号 | 内容 |
|---|---|
| RFC 4632 | CIDR(クラスレスドメイン間ルーティング)— ルートテーブル解析の基礎 |
| RFC 793 | TCP(伝送制御プロトコル)— ポートベースの到達性検証の基礎 |
| RFC 792 | ICMP — ping疎通確認の基礎となるプロトコル |
関連用語
- VPC — AWS上の仮想プライベートネットワーク。Reachability Analyzerの主な解析対象
- セキュリティグループ — EC2インスタンスに付与する仮想ファイアウォール。最も頻繁なブロック原因
- ネットワークACL — サブネット単位でのアクセス制御リスト
- ルートテーブル — VPC内のパケット転送先を定義する設定
- VPC Flow Logs — 実際の通信トラフィックをログとして記録するサービス
- インターネットゲートウェイ — VPCとインターネットを繋ぐ出入り口
- VPCピアリング — 複数のVPC間を接続する機能
- Network Access Analyzer — 意図しないネットワークアクセスを検出するAWSのセキュリティ診断ツール