Lambda MicroVMsのVPC EgressコネクタでVPC内プライベートリソースへの接続を検証してみた

• URL: https://dev.classmethod.jp/articles/lambda-microvms-vpc-egress-connector-private-resource
• 日付: 2026-06-25
• Tier: Tier 2
• 要旨: Lambda MicroVMsのVPC_EGRESSでプライベートリソースへのアクセス実装。EgressコネクタにセキュリティグループとサブネットをアタッチしてVPC内通信を制御。NAT Gateway経由・閉域サブネット・複数コネクタ構成・ENI管理・コネクタ削除時の影響を実装検証。

詳細

VPC_EGRESSはInternet EgressからのVPC指定版。コネクタ作成にはNetworkConnectorOperatorRole（ec2:CreateNetworkInterface等を許可）が必要。create-network-connectorでVPC構成（SubnetIds/SecurityGroupIds）指定後、PENDING→ACTIVEへ遷移に約4～5分。run-microvm時に–egress-network-connectorsパラメータでコネクタARN指定。検証結果：NAT Gateway経由コネクタはVPC内ターゲット・インターネット両方到達、閉域コネクタ（デフォルトルートなし）はVPC内のみ到達。サブネット跨ぎ通信・プライベートDNS名解決・セキュリティグループ間参照も機能。ENIはコネクタ作成時にLambda基盤側で作成、MicroVM複数起動時もCustomer VPC内のENI数増加なし（クロスアカウントENI推定）。複数コネクタ同時指定はInternalFailure。稼働中のコネクタ削除時はEgress切断もMicroVMはRUNNING継続。テスト環境では Regional NAT Gateway + isolated subnet 構成で検証。