Amazon VPCまわりをまとめてみる自分メモです。機能一覧というか特徴を程よく一覧にしたかったのですが、そういうのって難しいですね、ええ。VPCとはAWS上にプライベートネットワーク空間を構築できるネットワークサービスで、以前はEC2 Classicとの併用だったんですが、今アカウントを登録したら、自動的にVPCのみを使用するようになっているというものです。
Amazon VPC特徴一覧
| 項目 | 内容 | 補足 |
|---|---|---|
| 料金 | VPN 接続 1 時間当たり0.048 USD(東京リージョンへの接続)VPC自体の料金は無料 | http://aws.amazon.com/jp/vpc/pricing/ |
| VPC制限 | http://docs.aws.amazon.com/ja_jp/AmazonVPC/latest/UserGuide/VPC_Appendix_Limits.html | 一部パラメータは上限緩和申請することができる |
| VPC CIDR | CIDR範囲は/16(65534)~/28(14)/MultiAZで設定可能 | VPC作成後に範囲やアドレスブロック変更不可 |
| Subnet | VPC CIDR範囲内で指定 | AZをまたがったSubnetは作成できない |
| Route Table | Subnetに紐づけ、データの流れを制御する/LocalはVPC内Subnet全ての意味 | |
| Internet Gateway | Internetに接続するためのゲートウェイ/Route Table内でターゲットとして指定する | IGWはVPCで一つだけ取得可能 |
| Private Subnet | IGWへのルーティング設定がないRoute Tableを使用したSubnet | |
| Public Subnet | IGWへのルーティング設定があるRoute Tableを使用したSubnet | |
| NATインスタンス | Private Subnetからインターネットへアクセスするのに使用 | Public Subnetに配置/Patch適用時/Private Subnet→Amazon S3には別途記述のVPCエンドポイントが使用できる |
| NAT Gateway(Managed NAT GW) | Private Subnetからインターネットへアクセスするのに使用 | ゲートウェイは高可用性のための冗長機能あり/それぞれのゲートウェイは最大10GbpsまでのTCP, UDP, ICMPトラフィックを扱える |
| VPC Security Group | EC2インスタンスなどへのInbound,Outboundアクセスを制御/許可する対象を指定(デフォルト拒否) | ステートフル(許可されたInboundへの応答は、OutboundルールにかかわらずOutboundに流れる) |
| NACL(Network Access Control) | SubnetへのInbound,Outboundアクセスを制御/Allow,Denyを指定/Inboundに対してアクセス元,Outboundに対してアクセス先を指定 | ステートレス |
| DNS resolution | VPC内のDNS名前解決機能 | 基本的には有効にする |
| DNS hostnames | VPC内のDNS名割り当て機能 | DNS resolutionが有効でないと有効にできない |
| DHCP options sets | ドメイン名,DNSサーバ名,NTPサーバ名,NetBIOSサーバ指定,NetBIOSノードタイプ指定が可能 | |
| Public IP | EC2へ割り当て有無変更可能/stop→startで値変わる/値はランダム/EC2起動時に割り当て可能かどうかを選択できる | |
| Private IP | EC2へ必ず割り当て/stop→startで値変わらない/値は指定可能 | |
| Elastic IP | Public IPを固定して使いたいときに取得 | 使用していないElastic IPは課金対象/使用していれば無料 |
| ENI(Elastic Network Interfaces) | VPC上の仮想NIC/Private IP,Public IP,MACADDR,Security Groupに紐づける/ | インスタンスによって割り当て可能数が異なる/MACADDRのライセンス認証やメール配信システムでの送信元アドレスとして利用可能/複数指定すると個々のネットワークIO性能は低下 |
| EC2 Dedicated Instance | インスタンスのテナント属性をハードウェア専有にしたもの(別アカウント,共有EC2インスタンスと別ハードウェアで動作) | dedicatedに設定されたVPCでは動作しないサービスあり(Amazon RDSなど),インスタンスの料金が異なる |
| VPN(Virtual Private Network)? | VPCとオンプレミス環境をインターネットでセキュアに接続/IPsec VPN | |
| VPN Connection | VPN Gateway(AWS側),Customer Gateway(利用者側)を設定/VPN Routerの設定はAWS側でConfigurationファイルを提供 | |
| AWS Dirrect Connect | VPCと利用者環境を専用線で接続可能 | http://aws.amazon.com/jp/directconnect/ |
| VPC Peering | VPC間を繋げてPrivate IPで通信する機能/別アカウント間でも可能 | CIDRが重複している場合はNG/同Region内のみ/2ホップ以上のRoutingはできない/Route TableのTargetにPeering Connection IDを指定/1:1の接続となるが、複数のVPCと個々に接続することは可能 |
| ClassicLink | VPC内リソースと特定のEC2-Classicインスタンスとを通信させる機能/VPCのセキュリティグループにEC2-Classicインスタンスを加えることが可能/インターネットを介さず相互接続ができる | VPCのIPアドレス範囲が10.2.0.0/16〜10.255.0.0/16の場合は利用不可 |
| VPCエンドポイント | VPCと他のサービスをプライベート接続するためのエンドポイント/プライベートサブネット→パブリックサブネットのNAT→S3といった経路が不要になった | 今はS3-VPCのみ/同じリージョン内に限られる |
| tag | VPC,subnet,VPNなどにも設定可能 | |
| AWS CloudFormation | Amazon VPCに対応 | |
| AWS OpsWorks | Amazon VPCに対応 | |
| VPC Flow Logs | VPCサブネットやENIのネットワークトラフィックがCloudWatch Logsへ保存される | フローは約10分間隔/以下は含まれない1.プライベートホストゾーンへのクエリを含む、Amazon DNSサーバへのトラフィック2.Amazonが提供するWindowsライセンスのアクティベーションのトラフィック3.インスタンスメタデータのリクエスト4.DHCPリクエストとレスポンス |
*間違っていたらご指摘お願いいたします