AWS SAA対策 VPC
2度のSAA試験を受けたので、そこで見かけた
内容を基にアウトプットしていきます。
今回はVPC
(IPアドレス、サブネットマスク、CIDRなどの説明は特にありません)
VPC(Amazon Virtual Private Cloud)
AWSクラウドのネットワークからユーザー専用の領域を切り出すサービス
アカウントを作成すると自動的に各リージョンに1つずつデフォルトVPCとデフォルトサブネットが生成される
■172.31.0.0/16のVPCを作成
■各AZに、/20のサブネットを作成
デフォルトで、
・インターネットゲートウェイ(IGW)を作成、デフォルトVPCに接続
・セキュリティグループを作成、VPCに関連付け
・ネットワークアクセルコントロールリスト(ACL)を作成、VPCに関連付け
・DHCPを関連付
・パブリック、プライベートのDNSホスト名付与
IPアドレスはネットワークインターフェイスカード(NIC)に割り振られ、ホストにアタッチ
このNICを別のホストに再アタッチしてIPフローティングすることもできる
VPCは/16~/28のCIDR範囲で
サブネット
パブリックサブネット
インターネットゲートウェイへのルーティングを設定した、インターネットへ接続できるサブネット
プライベートサブネット
インターネットゲートウェイへのルートがないサブネット
サブネットを作った後のルートテーブルの設定で区別する
プライベートサブネットをネットに繋ぐには?
⇨パブリックサブネットにNATゲートウェイを設置し、そこにアクセス
VPC外部接続
VPCの外側にリソースがある場合の接続方法
・パブリックのAWSネットワークから
・エンドポイントを利用
仮想プライベートネットワーク(VPN)
カスタマーゲートウェイ
・オンプレミス側のカスタマーサイドのゲートウェイの情報を取得
仮想プライベートゲートウェイ
・VPCに仮想プライベートゲートウェイを作り接続を可能にする
Trasit Gateway
多数のVPC間の接続を管理する
NAT
インターネットに接続するときに、NATがプライベートIPアドレスをグローバルIPアドレスに変換する
NATが1対1で変換するのに対して、複数のプライベートIPをグローバルIPアドレスに変換する
プライベートサブネット内のインスタンスに接続するには踏み台サーバーを利用し、戻りトラフィックにはNATゲートウェイが必要
セキュリティグループ
・ポート番号
・別セキュリティグループが紐づけられたリソースからのアクセス
などで設定
特徴
・ステートフル...インバウンドを許可すればアウトバウンドも許可される
・許可のみを指定
・デフォルトでは同じセキュリティグループ内通信のみ許可
ネットワークACL
サブネットに対するトラフィック制御を設定する
特徴
・ステートレス...インバウンドとアウトバウンドのどちらも設定する必要がある
・許可と拒否を指定
・デフォルトでは全ての通信を許可
・設定した番号順に適用する
オンプレミスとVPCの接続
Direct Connect
・安価なアウトバウンドトラフィック料金
・ネットワークの信頼性・帯域幅の向上
Direct Connectロケーションと呼ばれる地点に自社の機器を設置してDirect Connectデバイスという機器に接続することで実現
VPCのGateway___Direct Connectデバイス___自社機器___オンプレ側に設置したGateway
Direct Connect Gateway
同一アカウントに所属する複数リージョンの複数AZから、複数リージョンの複数VPCに接続
VPCエンドポイント
グローバルIPを持つAWSサービスに対しVPCが直接アクセスするゲートとなる
Gateway型
サブネットに特殊なルーティングを設定、VPC内部から直接外のサービスと通信する
PrivateLink型
エンドポイントにプライベートIPアドレスを生成し、DNSから名前解決でルーティングする
VPC Flow Logs
ネットワークトラフィックを取得しCloud Watchでモニタリングする機能
・ネットワークインターフェイスを送信元・送信先とするトラフィックが対象
・セキュリティグループとネットワークACLのルールでトラフィックログを取得
・RDS/Redshift/ElastiCache/WorkSpaceなどのネットワークインターフェイストラフィックも取得可能
VPC Peering
2つのVPC間でトラフィックルーティングが可能。1対1が基本
・異なるアカウント間のVPCも接続可能
・一部のリージョン間の異なるVPC間のピア接続も可能
以下別セクション
AWS SAA 試験対策アウトプット - はしばみあきら blog
