AWS Cloud Practitiner Essential 殴りがき
VPC(Virtual Private Cloud)
- AWSユーザー専用のプライベートネットワーク
- VPC内に、EC2やELBなどを配置できる
- ゲートウェイがないと、VPC内のリソースには誰もアクセス出来ない。
サブネット
- VPC内のIPアドレスの集合
- インターネットに公開するか、プライベートにするか。
※ サブネットによって複数のネットワーク空間に分けているため、ゲートウェイはVPCに複数設置される可能性がある。
パブリックサブネット
- インターネットゲートウェイからのアクセス権がある。
プライベートサブネット
- インターネットゲートウェイからのアクセス権がない。
インターネットゲートウェイ
- インターネットからVPCにアクセスを可能にするには、インターネットゲートウェイを設置する必要がある。
- インターネットからインターネットゲートウェイを通してELBに対してのリクエストを可能とする。
仮想プライベートゲートウェイ
- プライベートネットワーク(指定された社内ネットワークなどVPN接続)からのアクセスだけ許可する
- インターネットからのアクセスは拒否する
- プライベートネットワークから仮想プライベートゲートウェイを通してELBに対してのリクエストを可能とする。
- 配置位置はインターネットゲートウェイと同じ感じ。
- イメージは、インターネットを使ってリクエストを送るが、VPNのようにリクエストは暗号化され、周りからは守られる。ただし、インターネットと同じ経路を使うため、リクエストの渋滞などに巻き込まれる可能性はある。
AWS Direct Connect
- データセンターから直接VPCに繋げ、Direct Connectを通してELBに対してのリクエストを可能とする。
- 配置位置はインターネットゲートウェイと同じ感じ。
- イメージは、インターネットを使わないため、他のリクエストの渋滞に巻き込まれる可能性はない。接続元からの直通通路を使うイメージ
ネットワーク ACL
- パケットの送信者、通信方法によりサブネットに通すか判断する。
- 入国、出国を検査するファイヤウォール。
- ゲートウェイは、どこからのリクエストを許可するのかを判別するイメージ。
- ネットワーク ACLは、リクエストの内容に応じて許可するかを判別するイメージ。
- ブラックリストやホワイトリストなどを設定して、特定のリクエストをはじく。
- リクエストを迎える、レスポンスを送る。それぞれに対して許可するかを判断する。
-
ステートレス: 通過するパケットの一つ一つをチェックする
- 出国したからといって、帰国する際にも必ずチェックする。 ⇦ ステートレスで覚えてないから。
- ACLは、AWSが提供するデフォルトACLと、自分でカスタマイズするカスタムネットワークACLがある。
-
デフォルトACLでは、全てのトラフィックの入国・出国を許可する
- ルールを加えることで変更はできる
-
カスタムネットワークACLでは、全てのトラフィックの入国・出国を拒否する
- ルールを加えることで許可するものを登録できる。
セキュリティグループ
- インスタンス単位のセキュリティ。パケット情報に対して?
- デフォルトでは、全ての入国を拒否、全ての出国を許可。
- 同じサブネット内の特定のインスタンスには許可する。セキュリティグループという設定をインスタンスに付与する。
- デフォルトでは全てのポートが閉じられ、全てのリクエストを許可しない設定となっている。
- リクエストを迎え際は許可するか判断するが、レスポンスを送る際は判断しない。
-
ステートフル: 許可するかどうかを記憶によって判断する = 以前通過したものはチェックしない
- リクエストに対してチェックを入れ、そのリクエストを覚えておく。レスポンスを通す際はチェックしない。 ⇦ ステートレスでチェックしたこと覚えてるし。
Route53
DNS。
- レイテンシーベースのルーティング
- 位置情報DNS
- リクエスト先に近いリージョンにルーティングする
- 地理的近接性ルーティング
- 加重ラウンドロビン
Amazon CloudFront
エッジロケーション。コピーデータをキャッシュして、遠いリージョンにアクセスしなくても高速でリクエストを処理して返すことができる。 -> CDNと呼ばれる技術。