はじめに
AWSのネットワーキングについて以下の講座および書籍を参考に学習したので内容をまとめます。
背景
本記事はAWSソリューションアーキテクトプロフェッショナルに合格するために、Udemyの模擬試験を解いて分からなかった部分を勉強してまとめるものです。
試験対策用のため、分からない知識を補足したり試験で問われなさそうなところを省略したりしながらまとめています。
なるべくわかりやすい記載を心がけますが、最終目的は自己学習用であるということをご容赦ください。
VPC (Amazon Virtual Private Cloud)
通常の設定方法
- VPCを作成(CIDRを設定)
- サブネットを作成
- Gatewayの設定(インターネットの経路)
- ネットワークACLの設定(トラフィックの許可)
Gatewayの設定
- パブリックサブネットからインターネットに接続するにはインターネットゲートウェイが必要。
- プライベートサブネットからインターネットに接続するにはNATゲートウェイがパブリックサブネットに必要。
ネットワークACLとセキュリティグループ
| ネットワークACL | セキュリティグループ |
|---|---|
| サブネットへのトラフィック制御 | インスタンスへのトラフィック制御 |
| ステートレス | ステートフル |
| 許可と拒否を設定 | 許可のみを設定 |
| デフォルトは全て許可 最終行に全て拒否の設定をする |
デフォルトでは全て拒否 |
| 上から順に適用 | 全てのルールを適用 |
VPC Endpoint
- インターネットを経由せずにAWSサービスにアクセスすることが可能。
- ゲートウェイエンドポイント : S3、DynamoDBのみ対応
- インターフェースエンドポイント : [Private Link](Private Link)のこと
Private Link
- VPC内にENIが作成され、プライベートIPアドレスが割り当てられる。これによりインターネットを経由せず各サービスにアクセスが可能になる。
VPC Peering
- 複数のVPCで通信が可能になる。リージョンをまたぐことも可能。
Direct Connect
- オンプレミスとVPCをVPN接続(仮想的な専用線)ではなく物理的な専用線でつなぐこと。
AWS Managed VPN
- VPCとオンプレミス間でアンケに暗号化接続を確立する手段。
- オンプレミス側にネットワーク機器の用意が必要。
- VPC側にCustomer GatewayとVirtual Private Gatewayが必要。
用語集
- ステートフル : インバウンドのみ設定すればアウトバウンドも許可される。
- ステートレス : インバウンド設定だけではアウトバウンドは許可されない。
- ENI : 仮想ネットワークカードを表す VPC 内の論理ネットワーキングコンポーネント。ネットワークインターフェイスの作成、インスタンスへのアタッチ/デタッチが可能。
- ネットワークカード(NIC) : コンピュータなどの機器を通信ネットワーク(LAN)に接続するためのカード型の拡張装置。
- Customer gateway : オンプレミス側とVPC側の接続を有効にするためのゲートウェイ
- Virtual Private Gateway : AWS側のVPN接続を有効にするためのゲートウェイ