Amazon VPCとは?
Amazon Virtual Private Cloud(VPC)とは、AWSに作成するユーザー専用の仮想的なプライベートネットワーク。
Amazon VPCの構成要素
Amazon VPCは指定したAWSリージョン内に複数のアベイラビリティーゾーンにまたがって定義する。
Amazon VPCを作成するには利用するIPv4アドレスの範囲をCIDRブロックの形式で指定。
指定したCIDRがVPC内部のプライベートアドレスとして利用されるためRFC1918の定められているIPアドレスの利用。
- 10.0.0.0〜10.255.255.255
- 172.16.0.0〜172.31.255.255
- 192.168.0.0〜192.168.255.255
サイズは、/16から/28の範囲。
Amazon VPC作成後の返納には、制限があるため、余裕を持ってアドレス数を確保する。
サブネット
Amazon VPC内に作成する最小のネットワークの単位。
EC2などのサーバーリソースはサブネット内で起動。
割り当て済みのCIDRブロックからIPアドレス範囲を切り出し割り当てる。
サブネットは複数アベイラビリティゾーンをまたぐことができないため、リージョン内にアベイラビリティーゾーンを指定して作成。
ゲートウェイサービス
インターネットゲートウェイ
パブリックインターネットとの通信を行うゲートウェイ
仮想プライベートゲートウェイ
VPN接続や専用線接続によるオンプレミスとのクローズド通信のためゲートウェイ
VPCピアリング接続
異なるVPCとの接続を提供するゲートウェイ
NAT ゲートウェイ
アウトバウンド通信時にソースアドレス変換を行うマネージドゲートウェイ
ENIとIPアドレス
ENIは、AmazonEC2などのサーバーリソースのネットワークインターフェイス。作成したサブネットのCIDRからプライベートIPアドレスを割り当てられる。
パブリックインターネットへの通信が必要な場合は、パブリックIPアドレスを割り当てる。
パブリックIPアドエスは、デフォルトでAWSが保有するアドレスが自動で割り当てられ、インスタンス停止時には開放されるため動的。
固定のパブリックIPアドレスが必要な場合は、Elastic IPアドレスをリクエストして割り当てられる。
ルートテーブル
ルートテーブルでは、宛先となるネットワークアドレスに対して、転送先となるターゲットを指定。
パケットの転送先の制御には、サブネット単位でルートテーブルを設定。
セキュリティグループとNACL
| 項目 | セキュリティグループ | NACL |
|---|---|---|
| 適用対象 | ENI | サブネット |
| 条件 | ホワイトリスト飲み | ホワイトリスト、ブラックリスト共に可能 |
| 条件の評価 | すべての条件を評価 | 記載順に評価し、マッチするものを適用 |
| ステート | ステートフル | ステートレス |
Amazon Provided DNS
Amazon VPC内のリソースが名前解決に利用するDNS