LoginSignup
0
0

More than 3 years have passed since last update.

@Shoma-Kato(Shoma Kato)

AWS SAA資格取得~ネットワークサービス編~

Posted at

今回はVPCなどのネットワーク関連について!

VPCとは

AWS上に独立したプライベートネットワーク空間を作成できるサービス。
世界中のユーザーが利用するAWSにおいて、特定のユーザーだけ利用できるネットワーク環境を
構築することはセキュリティの観点から重要。

サブネットとは

VPC内に構成するネットワークセグメントのこと。
1つのVPCに対して1つ以上のサブネットで構成される。

ルートテーブル

サブネット内インスタンスに対する静的ルーティングを定義するもので、
設定はサブネット単位で行う。
ルートテーブル内のデフォルトゲートウェイ(0.0.0.0/0)へのルーティングに、
インターネットゲートウェイを指定したサブネットがパブリックサブネット
インターネットゲートウェイを指定してないサブネットがプライベートサブネット

パブリックサブネット
グローバル環境と通信できるサブネット。
通信先:インターネットゲートウェイ
パブリックIP:もつ
プライベートIP:もつ

プライベートサブネット
グローバル環境と通信できないサブネット。
通信先:NATゲートウェイ(※option)
パブリックIP:持たない
プライベートIP:もつ

プライベートサブネットはパブリックIPを持たない代わりに
NATゲートウェイに通信を行うことでパブリックIPに変換をしてもらって
グローバルネットワークに通信できるようになる。
NATゲートウェイはプライベート側からの通信は通すが、
外側からプライベート側への通信は行わない。

インターネットゲートウェイ(IGW)

VPC内のリソースからインターネットへアクセスするためのゲートウェイ。
IGWをVPCにアタッチすることでVPC内のリソースからインターネットへアクセスすることができる。

NATゲートウェイ

VPC内に構成したプライベートサブネットからインターネットに接続するためのゲートウェイ。
NATゲートウェイを利用しない場合、NATインスタンスと呼ばれるEC2インスタンスを利用して、
インターネットへアクセスする。

バーチャルプライベートゲートウェイ(VPゲートウェイ)

Direct ConnectやインターネットVPN接続するためのゲートウェイ。
オンプレミス環境と接続するVPCにアタッチして利用する。

VPCフローログ

VPC内のネットワークインターフェース(ENI)で通信するトラフィック情報をキャプチャするサービス。
キャプチャ情報はCloud Watch Logsへ転送される。

Elastic IP

固定のグローバルIPアドレスを提供するサービス。
EC2インスタンスにアタッチされてない場合やアタッチしているEC2インスタンスが停止されている
場合に料金が発生してします特徴がある。※グローバルIPの枯渇を防ぐため。

VPCピアリング接続

異なるVPC間をプライベート接続するサービス。
通常接続はできないが、VPCピアリング接続をすることによってインターネット接続せず、
プライベートネットワーク内で直せる通信することができる。

VPCエンドポイント

・ネットワークレイヤーのゲートウェイ型
⇨ルートテーブルに指定されたターゲットを追加することでS3やDynamoDBへアクセスする際、
インターネットを経由せずAWS内のプライベート接続を実現することができる。

・アプリケーションレイヤーのインターフェース型
⇨「AWS PrivateLink」とも呼ばれAWSへのAPIコールに対して、
インターネットを経由せずプライベート接続を実現することができる。

セキュリティグループ

EC2インスタンスなどに適用するファイアウォール機能。
EC2インスタンスから出る通信を制御するアウトバウンド、
EC2インスタンスへの通信を制御するインバウンドを設定しる。

主な特徴↓

・許可リストを設定することができますが、拒否リストは設定できません。
・インバウンドルールとアウトバウンドルールを設定することができます
・デフォルトで、インバウンドルールを追加をするまで、全てのトラフィックを拒否する設定になっています。
・デフォルトで、アウトバウンドルールを追加するまで、全てのトラフィックを許可する設定になっています。
・インバウンドのトラフィックに対するレスポンスは、アウトバウンドのルールに関係なく許可されます。
・許可リストを設定しなければ、セキュリティグループ内のインスタンスは互いにやりとりすることはできません。
(ただし、デフォルト状態のセキュリティグループに属する場合を除きます。)
・インスタンスの起動後、どのセキュリティグループに属するか変更することできます。
・セキュリティグループの設定変更・追加は即座に反映される。

ネットワークACL

サブネット単位で設定するファイアウォール機能。
アウトバウンド通信とインバウンド通信を設定する。

主な特徴↓

・VPC内に構成したサブネットごとに1つのネットワークACLを設定可能
・デフォルトは全て許可
・インバウンドとアウトバウンドそれぞれに対して許可または拒否を明示した通信制御が可能。
・ステートレス(セキュリティグループとは異なり、インバウンドとアウトバウンドに対する通信制御が必要)

セキュリティグループとネットワークACLの違いについて※参照

0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
0