ITとかCockatielとか

技術のこととか。飼鳥(オカメインコ)のこととか。気になったこととか。基本的には備忘録。

AWS VPC

VPC

概要

VPC

  • VPCは特定のリージョン内で構成する。(リージョンを選択して作成する)
  • 複数のアベイラビリティゾーンをまたがって作成できる。
  • VPC内のIPアドレスの範囲はCIDRで指定する。
    例えば範囲を3つに分割することで、本番用、検証用1、検証用2といった具合に用途を分けられる。

サブネット

  • サブネットはAZを選択して作成する。
  • CIDRで分割したIPをサブネットによりさらに分割できる。
  • サブネットでは5つのIPアドレスが予約済みである。

    IPアドレス 用途
    x.x.x.0 ネットワークアドレス
    x.x.x.1 VPCルーター
    x.x.x.2 AWSで予約
    x.x.x.3 AWSで予約(将来利用)
    x.x.x.255 ネットワークブロードキャストアドレス

パブリックサブネット

  • 「インターネットゲートウェイ(後述)に対するルート」を持つルートテーブルに関連付けられたサブネット。
  • 外部と直接通信ができる。

プライベートサブネット

  • 「インターネットゲートウェイ(後述)に対するルート」を持たないルートテーブルに関連付けられたサブネット。
  • 外部と直接通信はできず、外部からのアクセスに対し保護される。

インターネットゲートウェイ

  • サブネットとインターネットを接続する。
  • VPCひとつにつき、ひとつだけ作成できる。(インターネットの出入り口は必ずひとつ)
  • 作成後はVPCにアタッチして利用する。
  • 水平スケーリングが行われるため、単一障害点にはならない。

ルートテーブル(参考

  • VPC内に作成し、サブネットに関連づけて利用する。
  • サブネットの経路をルートテーブルで設定する。
  • ルートテーブルは複数種類がある。
    • メインルートテーブル:
      VPC作成時にできる、デフォルトのルートテーブル。
      他のルートテーブルに関連付けられていないサブネットを制御する。
    • カスタムルートテーブル:
      VPC用に作成するルートテーブル。

セキュリティグループ

ネットワークACL(アクセスコントロールリスト)

  • サブネット単位でリストを設定する。仮想ファイアウォール機能。
  • 設定値は、サブネット内のすべてのリソースに対し有効となる。
  • 設定値のデフォルトは「すべての通信を許可」。(アウトバウンド、インバウントともに)
  • 拒否したいアクセス情報がある場合に設定する。(ブラックリスト方式)

NATデバイス

  • 公式
  • NAT:Network Address Translation、ネットワークアドレス変換
  • NATにより、プライベートサブネットからのインターネット接続を実現する一方で、インターネットからプライベートサブネットのへの接続は制限することができる。
  • NATデバイスにはNATゲートウェイ、NATインスタンスの2種類がある。

NATインスタンス

  • NATインスタンスはパブリックサブネットを指定し起動する。
  • NAT AMI から起動でき、特別な目的のために使用できる。
  • マネージドサービスでないため管理が必要。

NATゲートウェイ

  • NATインスタンスよりも可用性と帯域幅に優れている。
  • マネージドサービスのため、管理の手間が削減できる。
  • 特別な用途がなければこちらを使用した方がよい。

VPCピアリング接続

  • 公式
  • 2つのVPC間でトラフィックをルーティングする。
  • 同一ネットワーク内に存在しているかのように相互通信できる。

VPCエンドポイント

  • 公式
  • VPCAWSのサービスをAWS内でプライベート接続する。(インターネットGWなどのサービスを使わなくてよい)