2020-08-24T00:00+09:00
【AWS】VPCとは?
Programing
RintaroTawara
これだけでOK! AWS 認定ソリューションアーキテクト – アソシエイト試験突破講座(SAA-C02試験対応版)のVPCのセクションをまとめました
VPCとは
Virtual Private Cloudの略です。
AWSクラウド内に論理的に分離されたセクションを作り、ユーザーが定義した仮想ネットワークを構築するサービスです。
任意のIPアドレス範囲を選択して仮想ネットワークを構築します。
サブネットやルートテーブル、ネットワークゲートウェイを設定することで仮想ネットワーキング環境を完全に制御することが可能です。
必要に応じてクラウド内外のネットワーク同士を接続できます。
インターネットやVPN/専用線を利用して接続することも可能です。
複数のAZ(アベイラビリティーゾーン)に複数のVPCを設定することが出来ます。
サブネットを組み合わせてVPCをさらに細分化出来ます。
サブネットとはCIDR範囲で分割したネットワークセグメントのことです。
パブリックサブネットとプライベートサブネット
インターネット接続の有無によってパブリックとプライベートが分かれており、
インターネット接続の必要があるものを揃えるためにパブリックを使用し、
インターネットから隔離するためにプライベートを使います。
そのようにして、パブリックとプライベートを使用してVPCを構築していきます。
サブネット数はVPC内では200までが最大です。
CIDR/16を設定し、サブネットに/24を設定することが推奨されています。
プライベートをインターネットに接続するためにはNATゲートウェイをパブリック側に設置し、インターネットに接続します。
VPCの外側と通信する場合はパブリックのAWSネットワークを使用する方法とエンドポイントを使用する方法があります。
インターネットの経路を決定するにはルートテーブルを設定する必要があります。
VPCトラフィック設定
セキュリティーグループ設定
セキュリティーグループ設定の特徴は以下のとおりです。
- ・ステートフル
- ・サーバー単位で適用
- ・許可のみをIn/Outで指定
- ・デフォルトでは同じセキュリティーグループ内通信のみ許可
- ・必要な通信は許可設定が必要
- ・全てのルールを適用
ネットワークACL設定
ネットワークACL設定の特徴は以下のとおりです。
- ・ステートレス
- ・サブネット単位で適用
- ・許可と拒否をIn/Outで指定
- ・デフォルトでは全ての送信元IPを許可
- ・番号通りの適用
IPアドレスの決定
CIDRを使用し既存のVPC、社内のDCやオフィスとかぶらないアドレス帯を設定し、組織構成やシステム構成の将来像も考えて計画します。
そのため、IPアドレスは適当に決定しないようにします。
可用性を高める
複数のAZを利用して可用性を高めます。
パブリック・プライベートを利用してセキュリティ−を高めます。
セキュリティーグループでリソース間のトラフィックを適切に制御します。
Flow Logsでモニタリングします。
VPC内でサブネットを分けることで個別のホストを発見しやすくなります。
Direct Connect
VPCとオンプレミスを接続します。
データセンターとオフィスを専用線などを介してAWSへプライベートに接続するサービスです。
以下のような特徴があります。
- ・安価なアウトバウンドトラフィック料金
- ・ネットワーク信頼性の向上
- ・ネットワーク帯域幅の向上
VPNより割高になります。
リードタイムは物理対応が必要なため数週間必要です。
キャリアにより高い品質が保証されます。
物理的に経路が確保されているため障害の切り分けが容易になります。
Direct Connect gateway
リージョンを跨いだ接続を実現します。
VPCエンドポイント
VPCエンドポイントはグローバルIPを持つAWSサービスに対して、VPC内から直接アクセスするための出口です。
ゲートウェイ型
サブネットに特殊なルーティングを設定してVPC内部から直接外のサービスと通信します。
- ・アクセス制御はエンドポイントポリシーを設定
- ・料金は無料
- ・冗長性はAWS側が対応
プライベートリンク型
サブネットにエンドポイント用のプライベートIPアドレスを生成し、DNSが名前解決でルーティングします。
- ・アクセス制御はセキュリティーグループを設定する
- ・料金は有料
- ・冗長性はマルチAZ設計
NATゲートウェイ
NATゲートウェイによりプライベートサブネットがインターネットと通信できるようにします。
- ・最大10Gbps
- ・ビルトインで冗長化されている高可用性
- ・アベイラビリティーゾーンごとに設置する
VPC Flow logs
ネットワークトラフィックを取得してCloudWatchでモニタリングできるようにする機能のことです。
- ・ネットワーク・インターフェースを送信元/送信先とするトラフィックが対象
- ・セキュリティーグループとネットワークACLのルールでacceptedd/rejectされたトラフィックログを取得
- ・キャプチャウインドウと言われる時間枠で収集プロセッシング保存する
- ・RDS、Redshift,ElasticCache、WorkSpacesのネットワークインタフェーストラフィックも取得可能
- ・追加料金無し
VPCの上限
リージョンあたりのVPCの上限数 5
VPCあたりのサブネットの上限数 200
AWSアカウント当たりの1リージョン内のElasticIP数 5
ルートテーブル当たりのルート上限数 100
VPC当たりのセキュリティーグループの上限数500
セキュリティーグループ当たりのルール上限数 50
VPC Peering
2つのVPC間でのトラフィックルーティングが可能になります。
- ・異なるAWSアカウント間、一部リージョン間のVPC間をピア接続可能
- ・単一障害点や帯域幅のボトルネックは存在しない