【AWS】AWSのネットワーク
■VPC
Amazon Virtual Private Cloud
AWS上にプライベートなネットワーク空間を構築でき、インターネットやオンプレミスのイントラネットなどの外部ネットワークと接続できる
特定のリージョンに対してVPCを作成する
VPCの中にサブネットを作成する
サブネット
サブネットは複数のAZにまたがって作成できない。AZの数だけ作成する必要がある。
サブネットはその中に配置するサーバの役割事に作成するのが一般的
複数のAZに同じ役割のサブネットを作成、サーバを設置することで、冗長化され、故障に備えた設計にできる
サブネットごとにインターネットとのアクセス制限をかけることができる
インターネットにアクセス許可をしているサブネットをパブリックサブネット
インターネットとのアクセスを許可してないサブネットをプライベートサブネットと呼ぶ
同じVPC内のサブネットであればサブネット間通信が可能
ゲートウェイの生成
外部ネットワークとつながるための出入り口ゲートウェイを作成する
インターネットにつながるGWをインターネットゲートウェイ(IGW)といい、
オンプレやVPNの専用回線につながるGWをバーチャルプライベートゲートウェイ(VGW)という
ルートテーブル
ルートテーブルにデフォルトゲートウェイのターゲットとしてIGWが設定されている→パブリックサブネット
デフォルトゲートウェイのターゲットがIGW以外ならばプライベートサブネット
ルートテーブル内の「10.100.0.0/16 local」はデフォルト設定のため、変更削除は行えない
NATインスタンス
プライベートサブネットのOS更新など一時的にインターネットにつなぎたい場合
NATインスタンスを使用して一時的にインターネットにアクセスできる
NATインスタンスを使用時、インターネット側からサブネット側にアクセスを受け付けない
サブネット側からインターネットやリージョンにアクセスできる
NATゲートウェイ→調べよう
■セキュリティグループとネットワークACL
VPCのファイアウォール機能
セキュリティグループ
EC2、ELB、RDBなどのインスタンス事に適用しアクセス制御を行う
各インスタンスに少なくとも1つのセキュリティグループを適用する必要がある
ステートフル→送信時にアウトバウンドで許可されて送信したトラフィックはインバウンドで許可してなくても受け付ける。その逆もまたしかり
受信→インバウンド
送信→アウトバウンド
インバウンドはデフォルトで許可されているルールがないためどこからのアクセスも受け付けない
アウトバウンドはデフォルトですべての宛先・ポート番号に対するアクセス許可をするルールが設定されている
ネットワークACL
サブネットごとのファイアウォール
デフォルトでは全ての送信受信が許可されている
指定したIPアドレスとポート番号の許可だけでなく、拒否もできる
ステートレス→インバウンド、アウトバウンドともに許可を出さないとトラフィックを受け付けることができない
■VPCピア接続
2つのVPCを接続する機能
本番環境と開発環境を異なるVPCで作成した場合に
2つの環境をVPCピア接続を利用することで通信可能になる
ピア接続が確立するとPCXというゲートウェイ相当のものが作成される
ルートテーブル設定でターゲットをPCXにすることで各VPC内のサブネット間でプライべートIPでの通信が可能になります
VPCピア接続は制約があり
接続するVPCは同じリージョンに存在する必要がある
VPCのプライベートネットワークアドレス空間は重複していない
1対1の接続であること