本稿について
AWSについてお勉強しているうちに、へーそうなんだと思ったことを覚書して言ってます
完全備忘用です
随時更新しようと思います
ルートテーブル
パブリックサブネットは、VPCにインターネットへ出るためのインターネットゲートウェイがアタッチされ、ルートテーブルにインターネットゲートウェイが日もづいている場合にインターネットに直接出入り可能なサブネット。
ルートテーブルにインターネットゲートウェイが日もづいておらず、VPC内のみの通信やDirect Connectなどプライベート接続のみの場合はプライベートサブネットとなる
なお、インターネットへのルーティングがない場合は、yumコマンドやapt-getコマンド、Windows Updateなどを実行できないため、プライベートサブネット上のEC2インスタンスからインターネットにアクセスしたい場合はNATゲートウェイなどを利用する必要がある
用途としては、ALB/ELBやリバースプロキシサーバなどをパブリックサブネットに配置してインターネットからのトラフィックを受けて、セキュアな情報を格納するデータベースなどをプライベートサブネットに配置し直接アクセスできないようにする。
インターネット側からNATゲートウェイにはアクセスできない
NATゲートウェイはサブネットからインターネットに出ていくためのサービス。NATゲートウェイにログインしたり、逆にインターネット側からNATゲートウェイに乗り込むことはできない。
インターネット側からプライベートサブネットにアクセスしたい場合は、踏み台を配置、もしくはSystems Managerのセッションマネージャーを利用する。
VPCエンドポイント
VPCエンドポイントが提供されるまでは、AWS内のEC2などからS3やDynamoデータベースにアクセスするためにはインターネットを経由する必要があった。
VPCエンドポイントを利用すると、AWSの一部のサービスでプライベート通信が可能となるため、よりセキュアな構成にすることができる。
セキュリティグループ
セキュリティグループは、いわゆるファイアウォールに近い機能。
Linuxのiptablesに近いものがある。EC2インスタンスなどに付与することで、
それらへのアクセス対象を制限することができる。
厳密に言えば、セキュリティグループはENI(Elastic Network Interface)にアタッチするが、EC2インスタンスやNATゲートウェイには必ずENIは付与されているため、EC2インスタンスなどに付与するという表現のほうがイメージが付きやすい。
プロトコル、ポート、IPアドレスの3つを設定し、EC2インスタンスなどにアタッチすることで有効になる。
VPCピアリング
VPCピアリングを利用しないでインターネット経由で通信を行った場合は通信品質や速度、転送コストなどの課題が出てきますが、VPCピアリングを用いることで、VPC間でプライベートなトラフィックのルーティングが可能になる。