More than 3 years have passed since last update.

Amazon VPC

Last updated at 2021-11-25Posted at 2018-09-29

Amazon Virtual Private Cloud (VPC)とは？##

ユーザー専用のプライベートなクラウド環境を提供するサービスです。

AWS VPC ハンズオンも是非、ご覧ください。

特徴##

サブネットは1つのVPCにつき多数作成できますが、ネットワークトポロジーが複雑化することを防ぐため、最小限にしておくことをおすすめします。

VPC構築の利用例##

1.空間（IPアドレス）を設計する
・VPCを作成するリージョンを選択します。
＊VPCはリージョンに基づいて作成します。

東京リージョン
・VPCに付与するCIDRブロックを決定します。
10.1.0.0/16

2.サブネットを設計する
・ルーティングポリシーごとにサブネットを分割して、CIDRを決定します。
-10.1.1.0/24
-10.1.2.0/24
-10.1.3.0/24
-10.1.4.0/24
・AZにサブネットを設置します。
＊サブネットはAZに基づいて作成されます。
-ap-northeast-1a
-ap-northeast-1c

3.コンポーネントを配置する
・VPCとインターネットの通信をできるようにします。
＊インターネットとの出入り口です。
-IGW
・負荷分散できるようにします。
-ELB

4.ルーティングを設計する
・VPC内のサブネット間の通信はデフォルトで互いにルーティング可能です。
-10.1.0.0/16 local
・IGW向けに通信できるようにデフォルトルートを追加します。(必要な送信先への経路も設定可能です。)
＊インターネットとつながるサブネットを「パブリックサブネット」
＊インターネットとつながらないサブネットのことを「プライベートサブネット」
-0.0.0.0/0 IGW

1～4を纏めるとこんな感じの構成になります。

5.セキュリティを設計する
・セキュリティグループで必要な通信のみを許可するようにします。

（ELBはインターネットからhttp:80とhttps:443宛だけ受信させる）

(WEBサーバはELBからのhttp:80だけ許可させる)

オンプレミス環境とAWS VPCとの接続##

オンプレミス環境との接続が可能です。

1.AWS VPN###

2.AWS Direct Connect###

AWS Direct Connectのハンズオンは AWS 専用線アクセス体験ラボトレーニングがあります。
AWS Direct Connect と VPN 接続を同時に同じ VPC に使用することはできますか。
通常はDirect Connect が優先されて接続される。Direct Connect に障害が発生しフェールオーバが発生した場合のみ VPN で接続できる。
オンプレミスからDirect Connect で VPC に接続する場合、どのようなアクセスが可能ですか。
AWS Direct Connect 接続はそれぞれ、1 つ以上の仮想インターフェースを使用するように構成できます。仮想インターフェースは、AWS のサービス（Amazon EC2 や Amazon S3 など）にパブリック IP スペースを使用してアクセスするように構成することも、VPC 内のリソースにプライベート IP スペースを使用してアクセスするように構成することもできます。

・VPC(プライベート接続)
・AWSクラウド(パブリック接続)
・TGW用のDXGW(トランジット接続)

AWS Direct Connect での暗号化
AWS Direct Connect の回復性に関する推奨事項
AWS Direct Connect では、転送中のトラフィックはデフォルトでは暗号化されません。AWS Direct Connect を通過する転送中のデータを暗号化するには、そのサービスの転送暗号化オプションを使用する必要があります。

3.AWS Direct ConnectGateway###

複数リージョンに接続することができる。

例えば、東京のDirect ConnectロケーションのVIFを、Direct Connect Gatewayを経由してシンガポールと東京のVPCに接続することができます。

また、このような場合、VIFが合計で9必要となってくる。

このように集約すれば、3で済む。

ConnectionとVIFは、別のAWSアカウントでも管理する事が可能。
VIFとDirect Connect Gatewayは同一アカウントが所有している必要がある。
Direct Connect GatewayとVPCは別のアカウントでもアタッチ可能です。
折り返し通信不可（オンプレミス間、VPC間の通信は不可能）。

4.AWS Transit Gateway###

管理・連携するVPCの数が増えると、VPC Peeringのメッシュ化によりAWS上の構成が複雑化してしまいます。
そこで、Transit Gatewayを中心に配置し、リージョナルルーターとして経路を集中管理することで、VPC間接続を簡単に管理することができます。

Direct connect GatewayとTransit Gatewayは別のアカウントでもアタッチ可能です。
Transit GatewayにアタッチするVPCは他のAWSアカウントで管理されていてもよい。
マルチキャストにも対応。

AWS Transit Gateway 試してみた

tenancy##

"default(デフォルト)"の値に設定しておくと、これまでと同様の振る舞いを行います。つまり、個々の物理マシンの上で、複数の顧客により起動された複数のインスタンスが稼働します。

"dedicated(専用）"に設定されると、そのVPCの中で立ち上がる全てのインスタンスがシングルテナント（クラウドコンピューティングなどのサービスで、ひとつのシステムやサービスを 1社で利用している状態のこと）で稼働することが保障されます。
なので、コンプライアンスなどにかかる場合に有効ですが、占有すると追加料金がかかります。
また、VPCのtenancy属性は、VPCの作成後に変更することはできません。

ネットワーク関連の注意点##

VPC、サブネットは将来的なことを考えて"適切な広さ"にする。

VPCエンドポイント##

通常###

プライベートサブネットからの通信はNATを、パブリックサブネットからは、インターネットゲートウェイを通過したアクセスとなる。

VPCエンドポイント###

S3エンドポイントを設定することにより、インターネットをかえさないセキュアな通信となる。
プライベートサブネットの場合はNATを通さない通信が可能となる。

ゲートウェイ型

サブネットに特殊なルーティング設定をし、VPC内部から直接外のサービスと連携する。
エンドポイントポリシーを設定。
無料。
冗長性はAWS側が対応。

プライベートリンク型

サブネットにエンドポイント用のプライベートIPアドレスを生成し、DNSが名前解決でルーティングする。
セキュリティグループを設定。
有料。
マルチAZ設計。

作成してみる###

事前準備
EC2インスタンスは作成済
S3バケットも事前に作成済みであること
EC2・S3が同一リージョンに作成されていること。
エンドポイントの作成

サービス名:com.amazonaws.ap-northeast-1.s3　を選択。

利用するVPCとサブネットを選択。

ポリシーは今回フルアクセスのままにしてみる。

動作を確認。実際にアクセスできるか確認してみましょう。

aws s3 ls --region ap-northeast-1

予約済アドレス##

ホスト	用途
10.0.0.0	ネットワークアドレスです。
10.0.0.1	VPC ルーター用に AWS で予約されています。
10.0.0.2	AWS で予約されています。DNS
10.0.0.3	将来の利用のために AWS で予約されています。
10.0.0.255	ネットワークブロードキャストアドレスです。