見出し画像
Photo by yokoichi

AWSソリューションアーキテクト取得に向けて~VPC~

ムロ

AWS ソリューションアーキテクト アソシエイト取得に向けて学習した内容を備忘的に記載します。

今回はVPC。

VPCとは

Virtual Private Croudの略称
AWS内に論理的分離したネットワークを構築するサービス
同一リージョン内ではVPCは複数のAZにリソースを含めることが可能
VPCで定義したネットワークをサブネットとして分割して環境を構築する
VPCは/16~/28のCIDR範囲を設定可能。
⇒AWSの推奨設定は、VPCとして/16、サブネットとして/24
5個の予約アドレスがある(ネットワークアドレス、VPCルータ、DNS、予約アドレス、ブロードキャストアドレス)

VPC設定手順

1.CIDR方式でアドレスレンジを選択
2.AZのサブネットを選択
3.インターネット経路を選択
4.VPCへのトラフィック許可の設定

サブネット

VPC内に複数設置可能。プライベートとパブリックに分かれる。
インターネットゲートウェイへのルーティング有無でサブネットのタイプ(プライベートかパブリックか)が分かれる。

VPC外部接続

パブリックサブネットからインターネットに接続する際にはインターネットゲートウェイが必要。
プライベートサブネットからインターネットに接続するにはNATゲートウェイがパブリックサブネットに必要。
AWS内のVPCの外側にあるリソースとの通信にはパブリックのAWSネットワークかVPCエンドポイントを利用する。

インターネット経路の設定

ルートテーブルでパケットの行き先を設定
VPC作成時にデフォルトで1つのルートテーブルを作成
VCP内はCIDRアドレスでルーティング

VPCトラフィック設定

トラフィック設定はセキュリティグループまたはネットワークACLを利用する。
【セキュリティグループ設定】←オンプレで言うとファイアウォール
■ステートフル:戻りトラフィックの考慮不要
■サーバ単位で適用
■許可のみをIn/Outで指定
■デフォルトでは同じセキュリティグループ内通信のみ許可
■必要な通信は許可設定が必要
■全てのルールを適用
⇒ほとんどの場合、機能層毎にインバウンドルールを指定してセキュリティグループを作成。

【ネットワークACL設定】←オンプレで言うとL3スイッチ上で設定するACL
■ステートレス:戻りのトラフィックの考慮必要
■サブネット単位で適用
■許可と拒否をIn/Outで指定
■デフォルトでは全ての送信元IPを許可
■番号の順序通りに適用

VPC設計のポイント

拡張性や他ネットワークとの接続性も考慮する
複数AZを利用して可用性の高いシステムを構築
サブネットは大きいサブネットを使い、パブリック/プライベートサブネットへのリソース配置をインターネットアクセス可否から検討する
セキュリティグループを使ってリソース間のトラフィックを適切に制御する
VPC Flow Logsを使ってモニタリングできるようにする。

VPCとの接続

VPN接続か専用線接続(Direct Connect)
VPNのほうが安く早く利用可能だが、信頼性や品質は専用線が勝る。
VPNは5本までしか同時接続不可

【Direct Connect】
専用線を介してAWSへプライベートに接続するサービス
 メリット
  安価なアウトバンドトラフィック料金
  ネットワーク信頼性向上
  ネットワーク帯域幅向上

Direct Connect gateway
 Direct Connect gatewayにより、同一アカウントに所属する複数リージョンの複数AZから複数リージョンの複数VPCに接続

VPCエンドポイント

グローバルIPを持つAWSサービスに対しVPC内から直接アクセスするための出口
Gateway型とPrivate Link型がある。
【Gateway型】
 サブネットに特殊なルーティングを設定し、VPC内部から外のサービスと通信する

【Private Link型】
 サブネットにエンドポイント用のプライベートIPアドレスを生成し、DNSが名前解決でルーティングする

NATゲートウェイ

プライベートサブネットのリソースがインターネットまたはAWSクラウドと通信可能になる。
最大10Gbpsの高パフォーマンス。AWS側で冗長化
AZ毎に設置する。

VPC Flow logs

ネットワークトラフィックを取得しCloud Watchでモニタリング可能にする機能
ネットワークインターフェースを送信元/送信先とするトラフィックが対象
セキュリティグループ、ネットワークACLのルールで記録されたトラフィックログを取得
RDS等のネットワークインターフェーストラフィックも取得可能
追加料金なし

VPCの設定上限

リージョン当たりのVPC数:5
VPCあたりのサブネット上限数:200
AWSアカウントあたりの1リージョン内のElasticIP数:5
ルートテーブルあたりのルート上限数:100
VPCあたりのセキュリティグループの上限数:500
セキュリティグループあたりのルールの上限数:50

VPC Peering

VPC間のトラフィックルーティングが可能
異なるAWSアカウント間のVPC間をピア接続
単一障害点や帯域幅のボトルネックは存在しない

この記事が気に入ったらサポートをしてみませんか?