AWS初心者 入門編
プライベートネットワークの設計手順を学ぶ
AWSの環境に、自社の「プライベートアドレス空間」を作るVPC。EC2やRDSなどインスタンス
を作って使うサービスの場合は、VPCを作成して、その中に配置する、ということを名前へんで学んだ。
VPCを作成する
まずVPCを作る際の注意点が「CIDRブロック』サイズは、/28から/16まで自由に設定できるが、推奨は「/16」何が注意かというと、後から変更¥・追加が一切できないということ。ぐ
しかも「規則性があり」「オンプレミスや他のVPCとも(将来的にも!)修復しない」のように設定しなければならない。
サブネットを作成する。
ここは、「/24が推奨」とのことなので、/24で設定。
サブネットです。ここは「/24が推奨」とのことなので、/24で設定しましょう。
そして、インターネットアクセス要/不要、拠点(自社オフィスなど)へのアクセス要/不要などルーティングポリシーに応じてサブネットを分けることを勧めていました。
余計なところへのアクセスはさせないようにってこと。ちなみに、サブネットはAZに紐づくので、同じファンクションのサブネットを、異なるAZに作るのが推奨とのこと。もう一つ、サブネットでは、下記の三つは、予約済みのアドレスとなっており。まえn
使えない。
1 VPCルータ(VPC内のインスタンスにルーティング機能を提供)
2 Amazon DNS サーバのため予約
3 将来用途のための予約
なんか使えないアドレスあったな、って事は頭の片隅に止めておきたいところ。
VPCコンポートネントを配置し、ルーティングを設定する
突然出てきた「VPCコンポートネント」。何かというと、IGW(インターネットゲートウェイ)などのことだそう。これはVPC単位で配置するもので、インターネットに接続する場合はIGW、社内との接続が必要なVPCにはVGW(バーチャルゲートウェイ)が必要、ということ。
VPCコンポーネントを配置したら、サブネットごとのルートテーブル編集に移る。ここで各サブネットごとに、IGWやVGWなど必要な経路を作る。ちなみに、インターネットにアクセスできるサブネットを「public subnet」インターネットに出れないものを「private subnet」と呼ぶ。
インスタンスを配置する
インスタンス配置の前に「セキュリティグループ」を作成する。これは、インスタンスごとのセキュリティポリシーを決めるもの。いわゆるファイアウォールとも言われるが、セキュリティグループごとにどのインバウンド通信を許可するのかを設定する。
ここまで整ったらやっとインスタンス作成・配置。それぞれ必要なセキュリティグループを適用する、という流れになる。
例えば、インターネットからアクセスするwebサーバは、HTTPS/SSHインバウンド通信を許可、DBは、webサーバからのインバウンド通信のみ許可、と必要最低限の通信にすることでセキュア構成を実現できる、というわけ。
余計な通信をさせないのはセキュリティの基本。「面倒だから全部同じサブネットで通信も全部許可しちゃえばいいんじゃない?」という悪魔のささやきに惑わされてはいけない。
名前解決の検討
最後のステップは名前解決、DNS。前回、ネットワークの主要なサービスでも上がった「route 53」を使うのだが、AWSではIPアドレスではなく、DNS名を活用してアプリの設計を行うことが推奨。
DNSのことも考えるのかとぐったりするが、EC2を作成すると自動で作成される「Route53」があり、VPCでは暗黙的にDNSが動作する。とのこと。つまり何もしなくてもいい感じにしてくれる。(はず)。インスタンスには自動でDNS名が割り当てられるので、それで十分なケースもあるという話。
ウィザードを使って、数クリックで作成できるから簡単だよ!というのがAWSのメリットですが、ネットワーク関連も同じ。とはいえ、「そのウィザードで何を設定すればいいのかがわからないんだ。」という根本的なネットワーク知識の部分。
この記事が気に入ったらサポートをしてみませんか?