インフラ知識の乏しい人がAWSを勉強している。そのメモ。
読んでくれた方の指摘とか大歓迎です。
1. VPC (VirtualPrivateCloud)
- 仮想ネットワーク領域、またはその領域の設定をできる機能。
- 複数のサブネットを持たせることができ、同一VPC内ではサブネット間の通信が特に設定などをしなくてもデフォルトで可能。
- VPC同士は独立している。
- VPC毎にプライベートIPアドレスを割り当るが、サブネットのIPアドレスはVPCのIPアドレスの範囲内でしか設定できない。
- VPCに割り当てられるIPアドレスは最大で「/16」(約65000)。
- ElasticIPアドレス(グローバルIPアドレスのこと。略:EIP)はVPCの設定として持っており、VPCにEIPを作成し、それをインスタンス(仮想サーバー)と関連付けることでインスタンスにグローバルIPアドレスを付与する。
- EIPはVPC内の複数インスタンスに付け替えることもできる。(※1)
※1 - 正確にはENIという仮想NICにEIP割り当て、ENIをインスタンスに設定する
2. EC2 (AmazonElasticComputeCloud)
- CPU、メモリ、ストレージ、AMI(※2)を組み合わせて仮想サーバー(インスタンス)を作成できる機能。
- インスタンスはVPC内、サブネット内に構築。
- インスタンス毎にメタデータをタグとして最大10個まで設定できる。(key/value形式)
- 専用のAMIを選択することでNATも作成することができる。
※2 - AMI (AmazonMachineImages):OSやアプリケーションなどのソフトウェアをパッケージ化したテンプレートイメージ。
3. セキュリティ
Ⅰ.SecurityGroup
- インスタンス毎に設定が必要なファイアーウォール(のようなもの)。
- 送信元(インバウンド)と送信先(アウトバウンド)を別々に設定。
- 許可するプロトコルやポート、IPアドレスを個別(/32)または範囲(CIDR)で指定。
- 1インスタンスにつき最大5つのセキュリティグループが設定可能。
- 1つのセキュリティグループには最大50の設定が可能。
Ⅱ.NACL (NetworkAccessContralList)
- サブネット毎に任意に設定できるファイアーウォール(のようなもの)。(※3)
- 送信元と送信先を設定できるが、ステートレスなのでインバウンドに対するレスポンスはアウトバウンドのルールに則ります。(逆も然り)
- プロトコルやポート、IPアドレスの範囲(CIDR)を指定し、許可/拒否を設定。
- 1サブネットに1つしか設定できません。
- 1つのNACLには最大40の設定が可能。
※3 - 正確にはデフォルトで全ての通信を許可する設定がある。
おわり
間違っていたらごめんなさい。
ちなみに「最大○○個まで」と書いてある上限値は申請することで緩和できるものもあるみたいです。
詳しくはコチラ。
次回はELBやRDSなどを書くつもりです。