SAA試験勉強で似てて間違えやすいサービスの相違点をまとめました。
ゲートウェイまとめ
仮想プライベートゲートウェイ(Virtual Private Gateway)
目的
VPC(Virtual Private Cloud)をオンプレミス環境に接続するためのゲートウェイ
特徴
・VPN接続やAWS Direct Connectを介してオンプレミスネットワークとAWS間の通信を行うもの
・VPC側に配置され、オンプレミス側のカスタマーゲートウェイ(Customer Gateway)と接続
インターネットゲートウェイ(Internet Gateway)
目的
VPC内のインスタンスをインターネットに接続させるためのゲートウェイ
特徴
・外部からの接続も許可される
・パブリックIPアドレスを持つインスタンスのみがインターネットアクセス可能
Webサーバーなど、インターネットに公開する必要があるアプリケーション
NATインスタンス(NAT Instance)
目的
プライベートサブネットから外部インターネットに接続できるようにする
特徴
・特定のAMI (Amazon Machine Image) を利用して起動されるEC2インスタンス
・IPv4トラフィックのみをサポート
IPv6アドレスを持つEC2インスタンスのインターネット通信を処理できない
・パブリックサブネットに存在してプライベートサブネット内のEC2インスタンスに接続する
古い環境や費用を抑えたい場合に使用。通常はNATゲートウェイの方が推奨。
NATゲートウェイ(NAT Gateway)
目的
プライベートサブネットのインスタンスがインターネットに接続するためのマネージドサービス
特徴
・セキュリティを高めつつ、運用のオーバーヘッドを最小限に抑える。
・外部から直接されるリスクを回避する。
・AWSが管理するため、高可用性
プライベートサブネットのインスタンスが、ソフトウェアの更新や外部APIの利用のためにインターネットに接続する必要がある場合
Egress-Onlyインターネットゲートウェイ
目的
IPv6環境で、アウトバウンド通信のみを許可するゲートウェイ
特徴
・インターネットからの受信接続を拒否しつつ、外部サービスへの通信を許可できる。
・外部からの受信通信をブロックし、アウトバウンド通信のみを許可するため、セキュリティーポリシーを満たしながら、インスタンスから外部のアプリケーションと通信を開始することができる
・IPv6でのみ使用される。
IPv4経由での送信専用のインターネット通信を可能にするには、代わりにNATゲートウェイを使用する。
IPv6対応のシステムで、インバウンド通信を避けたい場合
AWS Transit Gateway
目的
複数のAmazonVPCやオンプレミスネットワーク間のトラフィックを1つのゲートウェイで一元的に管理およびルーティングするためのサービス
特徴
・各リージョンのVPC間の通信を簡単かつ効率的に管理
・大規模なネットワークアーキテクチャを簡素化
企業内で、複数のVPCやオンプレミス環境を統合的に接続する必要がある場合
まとめ
| サービス名 | 主な用途 | 双方向通信 | AWS管理? | スケーラブル? |
|---|---|---|---|---|
| 仮想プライベートゲートウェイ | オンプレミスとVPC間のVPN接続 | 双方向 | 手動管理 | あり |
| インターネットゲートウェイ | VPCとインターネット間の通信 | 双方向 | AWS管理 | あり |
| NATインスタンス | プライベートサブネットのインターネット接続 | 一方向 | 手動管理 | スケーリングが必要 |
| NATゲートウェイ | プライベートサブネットからのインターネット接続 | 一方向 | AWS管理 | あり |
| Egress-Onlyインターネットゲートウェイ | IPv6環境でのアウトバウンド通信のみを許可 | 一方向 | AWS管理 | あり |
| AWS Transit Gateway | 複数のVPCやオンプレ間の接続を簡素化 | 双方向 | AWS管理 | あり |
選択のポイント
| 要件 | 選択すべきサービス |
|---|---|
| オンプレ接続が必要 | 仮想プライベートゲートウェイ |
| パブリックサーバーが必要 | インターネットゲートウェイ |
| プライベートインスタンスのインターネットアクセス | NATゲートウェイ |
| IPv6環境でアウトバウンド通信のみ | Egress-Onlyインターネットゲートウェイ |
| 複数のVPC/オンプレ接続を統合 | AWS Transit Gateway |
これが出たらこれ!
・NATインスタンスよりもNATゲートウェイを選ぶのが推奨
NATインスタンス vs NATゲートウェイ
| 特徴 | NATインスタンス | NATゲートウェイ |
|---|---|---|
| 管理 | 手動管理 | AWSが管理 |
| 冗長性 | 冗長化なし(手動で冗長化可) | 自動的に冗長化 |
| スケーリング | 手動 | 自動 |
| コスト | 小規模環境で安価 | 大規模環境に向いている |
| カスタム設定 | 可能 | 不可 |
| 一時利用 | 起動・停止可能 | 常時課金 |
ざっと覚えやすい方法
NATインスタンス:金はかからないが不便
NATゲートウェイ:金はかかるが便利
・Egress-Onlyインターネットゲートウェイは、IPv6環境が登場したら注意
・AWS Transit Gatewayは、複雑なネットワーク構成をシンプルにするための選択肢
TO BE CONTINUED