VPNについてちゃんと理解したいので、調べたことをQiitaに残します。
みなさんの参考になればうれしいです。
ツッコミ、補足等お待ちしております。
VPC
VPC(Virtulal Private Cloud)はAWSアカウント専用の仮想ネットワーク。
AWS クラウドの他の仮想ネットワークから論理的に切り離されており、
AWSのリソース(EC2等)をVPC内で起動できる。
DNS resolution
DNS resolutionをenabledにすると
起動した(している)インスタンスにパブリックDNS(IPv4)が付与される
DNS hostnames
DNS hostnamesをenabledにすると
起動した(している)インスタンスにIPv4パブリックIPが付与される
サブネット
VPCのIPアドレスの範囲。
AWSのリソース(EC2等)は指定したサブネット内で起動できる。
インターネットに接続が必要なリソースにはパプリックサブネット
インターネットに接続しないリソースはプライベートサブネットに接続する。
ルートテーブル
ネットワークトラフィックの経路を判断する際に使用される。
VPCの各サブネットをルートテーブルに関連付ける必要がある。
サブネットのルーティングは、このテーブルによってコントロールされる。
インターネットゲートウェイ
VPC のインスタンスとインターネットとの間の通信を可能にする VPCコンポーネント。
インターネットでルーティング可能なトラフィックの送信先を VPC のルートテーブルに追加する
パブリック IPv4 アドレスが割り当てられているインスタンスに対してネットワークアドレス変換(NAT)を行う
インターネットアクセスを有効にする時
- VPC にインターネットゲートウェイをアタッチする。
- サブネットのルートテーブルがインターネットゲートウェイに繋がっていることを確認。
- サブネットのインスタンスに、グローバルに一意なIPアドレス(パブリックIPv4アドレス、ElasticIPアドレス、IPv6アドレス) が割り当てられていることを確認。
- ネットワークアクセスコントロール(ネットワークACL)とセキュリティグループルールが インスタンス間で関連するトラフィックを許可していることを確認。
サブネットに関連付けられているルートテーブルにインターネットゲートウェイへのルートがある場合、
そのサブネットを「パブリックサブネット」と呼ぶ
セキュリティについて
ネットワークACL
1つ以上のサブネットのインバウンドトラフィックとアウトバウンドトラフィックを制御するファイアウォールとして動作する
セキュリティグループ
インスタンスの仮想ファイアウォールとして機能し、インバウンドトラフィックとアウトバウンドトラフィックをコントロールする
ネットワークACLとセキュリティグループの違い
| セキュリティグループ | ネットワークACL |
|---|---|
| インスタンスレベル | サブネットレベル |
| ルールの許可のみ | ルールの許可と拒否 |
| ステートフル: 戻りの通信はセキュリティグループの設定に関わらず許可されます。(VPCの場合はステートレス) | ステートレス: 戻りの通信はACLのルールに従うので許可設定の必要がある |
| 該当のトラフィックを許可する前に全ての許可設定を評価する。 | 該当のトラフィックを許可するとき、ルール番号順にACLのルールを処理します |
ステートレス
状況によってあるリクエストをしたらレスポンスが変わるもの
ステートフル
状況に関わらずあるリクエストをしたらレスポンスが同じ結果になるもの
参考
Amazon VPC とは?
インターネットゲートウェイ
ネットワークACL
VPCに推奨されるネットワークACLルール
VPCのネットワークまわりをもう一度