インターネットゲートウェイ
サブネット内の他のインスタンスはインターネットに接続できるため、ネットワークACLの設定に問題はない
通信は行きと戻りが必要。インターネットゲートウェイでの通信いおいて、戻りの通信はインスタンスのプライベートIPアドレスではなくパブリックIPv4アドレスまたはElasticIPアドレスが必要
セキュリティグループ
・インスタンスの仮想ファイアウォールとして機能し、インバウンドトラフィックとアウトバウンドトラフィックをコントロールする
・ネットワークインターフェイスあたりの最大数は5
・インスタンスに設定できるインバウンドトラフィックとアウトバウンドトラフィックを制御する
・ステートフルフィルタリング
◆デフォルト
・同じセキュリティグループに割り当てられたインスタンスからのインバウンドトラフィックを許可、
すべての発信トラフィックを許可
インバウンド:許可せず
アウトバウンド:全て許可
ネットワークACL
・サブネットレベルで動作し、サブネットへ出入りするトラフィックを検証する
・ステートレスフィルタリング
メモ
◆VPCのサブネットのインスタンスでインターネットアクセスを有効にするには以下を実行する必要がある
・VPCにインターネットゲートウェイをアタッチする
・サブネットのルートテーブルがインターネットゲートウェイにつながっていることの確認
・サブネットのインスタンスに、グローバルに一意なIPアドレス(パブリックIPv4アドレス、ElasticIPアドレス、IPV6アドレス)が割り振られてることの確認
・ネットワークアクセスコントロールとセキュリティグループルールがインスタンス間で関連するトラフィックを許可していることの確認
◆インターネットへ接続する手順
1)サブネット作成
2)インターネットゲートウェイをアタッチ
3)カスタムルートテーブルを作成
4)セキュリティグループルール更新
デフォルト設定ではインターネットへのアウトバウンドトラフィックは全て許可しているが、インバウンドトラフィックは全て許可していないため許可する必要がある
5)ElasticIPアドレスを追加
◆クラスタープライスメントグループ
・単一のAZ内のインスタンスを論理的にグループ化したもの。
同じリージョン内のピアVPCにまたがることが可能
クラスタープライスメントグループの主な利点は、10Gbpsのフロー制限に加えて、非ブロッキング、非オーバサブスクライブの完全に2分割されている接続であること
つまり、プレイスメントグループ内の全てのノードは、他の全てのノードと対話可能
オーバーサブスクリプションによる遅れなしに10Gbpsフローと25アグリゲートのフルラインレートで行われる
→多数のインスタンスを起動し並列処理を行う際にレイテンシーを低く抑えることが可能
◆サブネット
・単一のサブネットは、単一のAZで利用可能。AZ及びリージョンを跨って利用することはできません
・デフォルトサブネットのネットマスクは常に/20
◆VPCピアリング
・2つのVPC間でプライベートなトラフィック のルーティングを可能にするネットワーキング機能
どちらのVPCのインスタンスも同じネットワーク内に存在しているかのように相互通信できる
・VPCピアリング接続は自分のVPC、別のAWSアカウントのVPC、別リージョンのVPCに作成可能
・トラフィックはプライベートであるため暗号化されない
メモ
・インスタンス起動後のロードバランサーの認識時間
VPCインスタンスを停止して起動し他場合、、インスタンスが再起動されたことをロードバランサーが認識するまで時間がかかることがある
→再起動後にインスタンスをロードバランサーに再登録することで解決