概要
AWSのVPC、サブネット、セキュリティグループについてのまとめ
リージョンとアベイラビリティーゾーン
リージョンはAWSがサービスを提供している拠点(国と地域)を指す
リージョン内にはアベイラビリティーゾーン(AZ)が含まれ、AZは複数のデータセンターから構成される
各AZが地理的・電源的に独立した位置にあることがリージョンの耐障害性を高めている
複数のAZを利用してシステムを構成することをマルチAZと呼び、マルチAZは可用性を高める
VPC
Amazon Virtual Private Cloud(VPC)はAWSサービスの中心であり、利用者ごとのプライベートなネットワークをAWS内に作成する
VPCはインターネットゲートウェイ(IGW)という呼ばれる出口をつけることによりインターネットに出ていくことができる
IPアドレス
VPCには自由にIPアドレス(CIDRブロック)を割り当てられる
CIDRブロックは/16から/28の範囲で作成できる
CIDRブロックはIPアドレスのネットワーク部がどこまでであるかを定義するので数が小さいほどネットワークが確保するIPアドレスの数が多いということになる
サブネット
サブネットはVPC内部につくるアドレスレンジ
VPCに設定したCIDRブロックの範囲に収まる小さなCIDRブロックを割り当てることができる(CIDRブロックのサイズはVPCと同様に16ビットから28ビットまで)
個々のサブネットには1つの仮想ルータがあり、このルータがルートテーブルとネットワークACLの設定を持っており、サブネット内のEC2インスタンスのデフォルトゲートウェイになっている
[注意]
1. サブネットの最初の4つおよび最後の1つのアドレスは予約されていて、使用できない
2. 必要以上にサブネットを分割することはアドレスの浪費につながる
3. パブリックサブネットやプライベートサブネットという表現がされることがあるが、インターネットゲートウェイ・ルートテーブル・ネットワークACLなどを利用して、そのような役割を割り当てているだけ
セキュリティグループ
セキュリティグループはEC2など、インスタンス単位の通信制御に用いる
インスタンスには少なくとも1つのセキュリティグループを割り当てる必要がある
通信の制御としてはインバウンド(内向き、外部からVPCヘ)とアウトバウンド(外向き、内部から外部へ)の両方の制御が可能
制御項目はプロトコル(TCPやUDPなど)とポート範囲、送受信先のCIDRかセキュリティグループを指定する
ネットワークACL
ネットワークACLはサブネットごとの通信制御に利用する
インバウンド・アウトバウンドでの制御が可能
送受信先のCIDRとポートを指定できるが、セキュリティグループの指定はできない
ゲートウェイ
インターネットゲートウェイ
インターネットゲートウェイ(IGW)はVPCとインターネットとを接続するためのゲートウェイ
各VPCに1つだけアタッチできる
ルートテーブルでインターネットゲートウェイをターゲットに指定するとその宛先アドレスとの通信はインターネットゲートウェイを通してインターネットに向けられる
パブリックサブネットの条件の一つはルーティングがインターネットゲートウェイを向いていること
プライベートサブネットとはルーティングが直接インターネットゲートウェイを向いていないネットワーク
EC2インスタンスがインターネットと通信するにはパブリックIPを持つかNATゲートウェイを経由するかのどちらかの方法を用いる
NATゲートウェイはプライベートIPをNATゲートウェイが持つグローバルIPに変換する
仮想プライベートゲートウェイ
仮想プライベートゲートウェイ(VGW)はVPCがVPNやDirrect Connectと接続するためのゲートウェイ
各VPCに1つだけだが複数のVPNやDirrect Connectと接続可能
VPCエンドポイント
VPC内からインターネット上のAWSサービスに接続する方法としてインターネットゲートウェイを利用する方法の他にVPCエンドポイントを利用する方法がある
S3やDynamo DBと接続する際に利用するゲートウェイエンドポイントとその他のサービスで利用するインターフェイスエンドポイントがある