Elastic Compute Service(ECS)インスタンスは、セキュリティグループを使用してインバウンドトラフィックとアウトバウンドトラフィックを制御します。 セキュリティグループは、確立された各接続を記録して、パケットが期待どおりに配信されるようにします。 接続が長期間アイドル状態の場合、ECS インスタンスの接続リソースが枯渇する可能性があります。 その結果、新しい接続を確立したり、期待どおりに管理したりすることができなくなり、パケットが失われる可能性があります。 アクティブではなくなった接続によって占有されているリソースを解放するために、Elastic Network Interface(ENI)でアイドル状態の接続のタイムアウト期間を指定できます。
ECS インスタンスの接続
接続(セッションとも呼ばれます)とは、クライアントをサーバーに接続し、クライアントとサーバー間でデータを転送するプロセスです。
接続は、送信元 IP アドレス、宛先 IP アドレス、送信元ポート、宛先ポート、およびプロトコルで構成されるネットワーク通信の五つ組によって一意に定義されます。 ECS インスタンスの接続には、TCP、UDP、およびインターネット制御メッセージプロトコル(ICMP)接続が含まれます。 ビジネスで同時ネットワーク接続が重要な場合は、ビジネス要件を満たす最大接続数のインスタンスタイプのインスタンスを選択してください。 詳細については、「インスタンスファミリの概要」をご参照ください。
アイドル状態の接続のタイムアウト期間
確立された TCP 接続で一定期間データが交換されない場合、接続が閉じられない可能性があります。 接続は一時的にデータ伝送アクティビティがないだけの場合があります。 ただし、長期間存在するアイドル状態の接続は、ECS インスタンスのリソースを消費し、同時接続の最大数に達する可能性があります。 その結果、新しい接続要求が拒否される可能性があります。
UDP はステートレスです。 ただし、UDP は依然としてリソース(ネットワーク帯域幅、メモリ、システムのポートリソースなど)を占有します。これは、特に大規模アプリケーションまたは高頻度のデータ交換シナリオで顕著です。
ECS インスタンスでアイドル状態の TCP 接続と UDP フローに適切なタイムアウト期間を指定する必要があります。 これは、ネットワークパフォーマンスの最適化、リソース使用率の向上、およびセキュリティの強化に役立ちます。
リソース使用率の向上。 ECS インスタンスの TCP 接続が閉じられたり再利用されたりせずに長期間アイドル状態の場合、接続はインスタンスのリソース(メモリリソースなど)を消費します。 アイドル状態の接続のタイムアウト期間を短縮することで、アクティブな接続にリソースを効果的に解放できます。
また、UDP フローに適切なタイムアウト期間を指定して、不要なリソース消費を防ぐこともできます。
セキュリティの強化。 短いタイムアウト期間は、DDoS 攻撃やブルートフォース攻撃など、長期間の接続を悪用する攻撃を軽減するのに役立ちます。
ただし、タイムアウト期間が短すぎると、特定のファイル転送サービスなど、長期間の接続を必要とするアプリケーションの通常の動作に影響を与える可能性があります。 アイドル状態の接続のタイムアウト期間を変更する前に、ECS インスタンスで実行されているサービスの特性と、ネットワーク条件に対するサービスの要件を十分に理解することをお勧めします。
アイドル状態の接続のタイムアウト期間を指定する
接続のレイテンシの問題を最小限に抑えるには、データが流れるすべてのデバイスで一致するタイムアウト設定を使用していることを確認してください。
ECS インスタンスを Network Load Balancer(NLB)または Classic Load Balancer(CLB)インスタンスと一緒に使用する場合は、ECS インスタンスにバインドされている ENI と NLB または CLB インスタンスのリスナーで、アイドル状態の接続に一致するタイムアウト期間を指定することをお勧めします。 NLB または CLB インスタンスのリスナーを設定し、アイドル状態の接続のタイムアウト期間を指定する方法については、「NLB リスナー」をご参照ください。
新しいタイムアウト期間は、新しい接続にのみ適用され、既存の接続には影響しません。
ECS は、アイドル状態の接続に対して次のタイプのタイムアウト期間をサポートしています。
確立された TCP 接続のタイムアウト期間:
ESTABLISHED状態のアイドル状態の TCP 接続のタイムアウト期間。 TCP 接続は、前のタイムアウト期間を超える期間にわたって接続を介してデータが送信されない場合、アイドル状態と見なされます。 接続は、ルーターやファイアウォールなどのネットワークデバイス、またはオペレーティングシステムによって自動的に閉じられる可能性があります。 単位: 秒。最小値: 30。 最大値: 910。 デフォルト値: 910。
有効値: 30、60、80、100、200、300、500、700、および 910。
TCP 待機およびクローズタイムアウト期間:
TIME_WAITまたはCLOSED状態の TCP 接続のタイムアウト期間。 TCP 接続を閉じるには、4 回のハンドシェイクが必要です。 一方の端が FIN(終了)フラグビット(送信するデータがないことを示す)を送信した後、接続を閉じる前に、もう一方の端からの ACK(確認応答)を待機します。 待機プロセス中に ACK が受信されない場合、TCP 待機およびクローズタイムアウト期間が開始されます。 単位: 秒。有効値: 3 ~ 15。
デフォルト値: 3。
説明関連付けられている ECS インスタンスが NLB または CLB インスタンスと一緒に使用される場合、
TIME_WAIT状態の TCP 接続のデフォルトのタイムアウト期間は 15 秒です。TIME_WAITおよびCLOSED状態の TCP 接続のタイムアウト期間を 3 ~ 15 の範囲の整数に設定できます。
UDP フロータイムアウト期間: UDP フロータイムアウト期間とは、UDP パケットの送受信プロセス中の UDP フローのタイムアウト期間を指します。 UDP フローは、一連の関連 UDP パケット(リアルタイムビデオストリームの一連の UDP パケットなど)にすることができます。 UDP フロータイムアウト期間内に UDP フローの新しい UDP パケットが送受信されない場合、UDP フローが終了するか、例外が発生する可能性があります。 単位: 秒。
最小値: 10。 最大値: 100。
デフォルト値: 30。
説明関連付けられている ECS インスタンスが NLB または CLB インスタンスと一緒に使用される場合、UDP フローのデフォルトのタイムアウト期間は 100 秒です。
有効値: 10、20、30、60、80、および 100。
手順
ENI を作成するとき、または作成した後に、接続タイムアウト期間を表示および指定できます。
ENI を作成するときにアイドル状態の接続のタイムアウト期間を指定する
CreateNetworkInterface 操作を呼び出して ENI を作成し、ConnectionTrackingConfiguration パラメーターセットの TcpEstablishedTimeout、TcpClosedAndTimeWaitTimeout、および UdpTimeout パラメーターを指定して、対応する接続のタイムアウト期間を指定することもできます。
上部のナビゲーションバーで、管理するリソースのリージョンとリソースグループを選択します。
[ENI 作成] をクリックします。
[セッションタイムアウト期間] セクションで、さまざまなタイプの接続のタイムアウト期間を指定します。
既存の ENI でアイドル状態の接続のタイムアウト期間を指定する
ModifyNetworkInterfaceAttribute 操作を呼び出して ENI の属性を変更し、ConnectionTrackingConfiguration パラメーターセットの TcpEstablishedTimeout、TcpClosedAndTimeWaitTimeout、および UdpTimeout パラメーターを指定して、対応する接続のタイムアウト期間を指定することもできます。
ENI の接続タイムアウト期間を照会するには、DescribeNetworkInterfaceAttribute 操作を呼び出し、Attribute パラメーターを connectionTrackingConfiguration に設定します。
上部のナビゲーションバーで、管理するリソースのリージョンとリソースグループを選択します。
管理する ENI の ID をクリックして、ENI 詳細ページに移動します。
[セッションタイムアウト期間] セクションで、[確立された TCP 接続のタイムアウト期間]、[TCP 待機およびクローズタイムアウト期間]、および [UDP フロータイムアウト期間] パラメーターの値を表示します。 パラメーターに対応する
アイコンをクリックして、パラメーターの値を変更できます。