はじめに
こんにちは。Kaneyasuです。
最近はネットワーク系のお仕事に関わらせていただくことが増えてきました。
好き嫌いはないつもりですが、もとがアプリエンジニアなせいか戸惑うことが多いので、迷子にならないように用語集を作ってみました。
都度追加します。
OSI参照モデル(L1〜L7)まとめ表
| レイヤー |
名称 |
主な役割 |
具体例(AWS / ネットワーク) |
| L1 |
物理層 (Physical Layer) |
電気信号・光信号・物理媒体の規定 |
光ファイバ、UTPケーブル、Direct Connect物理線、クロスコネクト |
| L2 |
データリンク層 (Data Link Layer) |
同一セグメント内でのフレーム転送、MACアドレス利用 |
Ethernet、MACアドレス、VLAN、ENI(の実体は仮想L2) |
| L3 |
ネットワーク層 (Network Layer) |
ルーティング、IPアドレス、ネットワーク間通信 |
IP、IPv6、VPC、サブネット、ルートテーブル、TGW、BGP |
| L4 |
トランスポート層 (Transport Layer) |
アプリ間の信頼性・通信制御 |
TCP、UDP、SRD、BFD、NAT-T |
| L5 |
セッション層 (Session Layer) |
セッション確立・維持・管理 |
TLSセッション、VPNセッション(IKE) |
| L6 |
プレゼンテーション層 (Presentation Layer) |
データ形式の変換・暗号化 |
SSL/TLS暗号化、JSON/Protobuf、Base64 |
| L7 |
アプリケーション層 (Application Layer) |
ユーザーに近いアプリ機能 |
HTTP、DNS、API Gateway、ALB、EKSアプリ通信、Lattice |
ネットワーク基礎(IP / ルーティング)
| 用語 |
略称 |
説明 |
| IPプレフィックス(ネットワークプレフィックス) |
IP Prefix |
IP ネットワークの範囲。10.0.0.0/16など。ルーティングやACLの単位として使われる。 |
| CIDRプレフィックス |
CIDR Prefix |
CIDR表記によるネットワーク範囲(例:192.168.0.0/24)。クラスレスに柔軟なアドレス設計が可能。 |
| IPv6プレフィックス |
IPv6 Prefix |
IPv6 のネットワーク範囲(例:2001:db8::/64)。VPCのIPv6 CIDRなどで利用。 |
| MACアドレスプレフィックス(OUI) |
MAC Prefix |
MACアドレスの先頭3バイト。ベンダ識別子(Vendor OUI)として利用される。 |
| スタティックルート |
Static Route |
手動で設定する固定ルート。小規模環境やデフォルトゲートウェイ設定で利用。 |
| デフォルトルート |
Default Route |
0.0.0.0/0 のルート。その他すべての宛先への最終的な行き先を指す。インターネットゲートウェイやNAT GWなどに向ける。 |
| ネクストホップ |
Next Hop |
パケット転送先の「次の宛先」。ルートテーブルでは特定のプレフィックスに対して次のホップ(IGW、NAT GW、TGW、ENIなど)を定義する。 |
| アクティブ/パッシブ(Active/Passive) |
Active/Passive |
冗長構成の一種で、通常は「アクティブ側」だけが通信・処理を行い、「パッシブ側」は待機状態となる方式。アクティブ側に障害が発生するとパッシブ側が引き継ぐ。DX+VPN の冗長構成では、DX をアクティブ、VPN をパッシブにして Local Preference などで優先度を制御する構成が典型例。 |
| アクティブ/アクティブ(Active/Active) |
Active/Active |
冗長構成の一種で、複数の経路・ノードが同時に通信処理を行う方式。負荷分散や帯域の集約が可能。BGP の ECMP や マルチDX構成による帯域拡張が代表例。複数の経路が同時にアクティブであるため、障害時の切替も高速で、総スループットも向上するが、設計が複雑。 |
| ステートレス |
Stateless |
通信の状態(セッション情報)を保持せず、単発のパケットごとに独立して処理を行う方式。AWS では NACL や一部のL3/L4機器が該当し、戻りトラフィックは別途ルールが必要。スケールしやすい。 |
| ステートフル |
Stateful |
通信の状態(セッション情報)を保持し、その文脈に基づいてパケットを制御する方式。Security Group や多くのファイアウォールはステートフルで、戻りトラフィックを自動で許可できる。 |
| ECMP(Equal-Cost Multi Path) |
ECMP |
同一コストの複数ルートを並列使用し、トラフィックを分散させる仕組み。Transit Gateway や一部のオンプレルータで利用でき、帯域の水平スケールや冗長性を高める。 |
| アップタイム |
Uptime |
ネットワークやシステムが「正常に稼働し利用可能な状態」にあった時間の割合。SLA(稼働率)として 99.9%、99.99% などで表現される。アップタイム = (総時間 − 障害時間) / 総時間 で計算され、高可用性設計の指標となる。 |
DNSと名前解決(VPC・ハイブリッド)
| 用語 |
略称 |
説明 |
| プライベートホストゾーン |
PHZ |
Route 53 のプライベート DNS ゾーン。特定の VPC からのみクエリを受け付けるため、オンプレからは直接利用できない。Split-Horizon DNS や VPC 内のサービス名解決に用いられる。 |
| フォワーダー |
DNS Forwarder |
DNS 問い合わせを別の DNS サーバへ転送する仕組み。オンプレ DNS → Route 53 Resolver インバウンド、VPC → オンプレ DNS への Outbound Endpoint を利用し、ハイブリッド DNS を構築する際の要となる。 |
| Split-horizon DNS |
— |
同じドメイン名に対して「内部用の回答」と「外部用の回答」を出し分ける DNS 運用方式。VPC では Private Hosted Zone と Public Hosted Zone を使って実現。セキュリティと経路分離の両面で重要。 |
| Node Local DNS |
— |
Kubernetes ノード上に DNS キャッシュを設置し、DNS クエリの遅延と DNS サーバへの負荷を軽減する仕組み。EKS では大量の Pod からの DNS クエリが集中するため、NodeLocalDNS を使うと安定性が大幅に向上する。 |
| DNS64 |
— |
IPv6 クライアント向けに、IPv4 の A レコードから AAAA レコードを合成する DNS 機能。IPv6 のみの VPC から IPv4 のみのサービスへアクセスする際に NAT64 と組み合わせて利用される。 |
| NAT64 |
— |
IPv6 アドレスと IPv4 アドレス間の変換を行う L3 の仕組み。DNS64 で合成された IPv6 アドレスをもとに、実際には IPv4 サービスへ通信する。AWS では NAT64+DND64 構成で IPv6-only VPC からのアクセスを実現する。 |
| DNSSEC |
— |
DNS Security Extensions。DNS 応答に電子署名を付加し、改ざんやなりすましを検出する仕組み。Route 53 でもゾーン署名・検証がサポートされている。 |
| AAAAレコード |
AAAA |
IPv6 アドレスを返す DNS レコード。IPv4 の A レコードに対する IPv6 版。 |
| NAPTRレコード |
NAPTR |
Name Authority Pointer レコード。SIP・ENUM・VoIPなどでよく利用され、サービス種別やプロトコルに応じた名前変換ルールを定義できる高度な DNS レコード。 |
VPN・IPSec
| 用語 |
略称 |
説明 |
| IPSec |
IPSec |
OSI L3 で動作する暗号化通信技術。AWS Site-to-Site VPN では IPSec トンネルを張り、オンプレ↔AWS間を暗号化して通信。IKE による鍵交換と ESP による暗号化を組み合わせて動作する。 |
| IKE |
Internet Key Exchange |
IPSec の暗号鍵を安全に交換するプロトコル。VPN の「初期ハンドシェイク」に相当し、セキュリティ設定や暗号方式を交渉する。IKEv1 と IKEv2 があり、AWS VPN はどちらにも対応。 |
| IKE フェーズ1 |
— |
VPN のための安全な「管理チャネル」を作成するフェーズ。暗号アルゴリズム・ハッシュ方式・認証方式をネゴシエートし、ISAKMP SA を確立する。 |
| IKE フェーズ2 |
— |
実際の IPSec データトンネルの暗号パラメータを決定するフェーズ。IPSec SA を作成し、本番の暗号化通信がここで動き出す。 |
| ESP |
Encapsulating Security Payload |
IPSec における暗号化処理本体を担うプロトコル。ペイロードを暗号化し、改ざん検出(認証)を行う。AWS VPN の本番データ通信はすべて ESP で動く。 |
| DPD |
Dead Peer Detection |
VPN トンネルの相手(ピア)が応答しない場合にトンネル断を検知する仕組み。AWS Site-to-Site VPN のフェイルオーバーの速度を左右する要素。 |
| DFD(Dead Peer Detection) |
DFD |
文脈によっては DPD(Dead Peer Detection)の誤記として用いられることがある。意味としては DPD と同様に VPN ピアの死活監視を指す。試験や設計では DPD という用語が一般的。 |
| NAT-T |
NAT Traversal |
NAT 環境下でも IPSec を通すために UDP/4500 経由でカプセル化する技術。オンプレ側が NAT 配下にある場合は必須。AWS VPN ではデフォルトで有効。 |
| VTI |
Virtual Tunnel Interface |
VPN トンネルを仮想ネットワークインターフェイスとして扱う方式。ポリシーベース VPN と異なり、ルートベース VPN を構成でき、BGP のような動的ルーティングと相性が良い。 |
| Customer Gateway |
CGW |
オンプレミス側の VPN ルータを AWS 上で論理的に表現するリソース。VPN トンネル設定・ピアIP・AS番号などを定義する。 |
| 仮想プライベートゲートウェイ |
VGW |
AWS 側の VPN 終端。BGP を用いた動的経路交換に対応し、Site-to-Site VPN や Private VIF の接続先となる。 |
| Accelerated Site-to-Site VPN |
— |
AWS Global Accelerator のエッジロケーションを経由して VPN トラフィックを AWS グローバルネットワークに乗せるタイプの高速 VPN。レイテンシが大幅に改善され、国際接続で特に有効。 |
ルーティング
| 用語 |
略称 |
説明 |
| BGP |
Border Gateway Protocol |
AS(自律システム)間の動的ルーティングプロトコル。複雑なネットワークでも経路選択を自動化する。AWS VPN や Direct Connect、Transit Gateway で広く利用される。 |
| BGPピア |
BGP Peer |
BGP セッションを確立する相手ノード。オンプレルータ ⇔ VGW、Direct Connect の顧客ルータ ⇔ AWS ルータなど。 |
| BGP接続 |
BGP Connection |
TCP/179 を使って確立される BGP 通信の接続。Keepalive によりセッション維持を監視する。 |
| BGPセッション |
BGP Session |
BGP ピア間の状態。Established 状態になると BGP Prefix の交換が始まる。切断時はルート撤回が行われ、フェイルオーバーに直結する。 |
| BGPプレフィックス |
BGP Prefix |
BGP でアドバタイズされるネットワーク範囲(例:10.0.0.0/16)。AWS Direct Connect や VPN ではアドバタイズできるプレフィックス数に制限がある。 |
| アドバタイズ(経路広告) |
Advertise |
自分が保持するプレフィックスを BGP ピアへ通知する動作。これにより相手ルータは到達性を学習し、RIB(ルーティング情報ベース)に登録できる。オンプレ⇔AWS の両方向で行われる。 |
| AS-Prepending |
AS Prepending |
自AS番号をASパスへ意図的に重ねて長く見せるテクニック。非優先経路を「遠く見せる」ことで、優先経路との使い分けやフェイルオーバー制御に利用される。 |
| BFD |
Bidirectional Forwarding Detection |
ミリ秒単位の高速障害検知プロトコル。BGP と併用することでフェイルオーバー時間を短縮でき、Direct Connect や VPN の信頼性が向上する。 |
| ASホップ(AS Hop) |
AS Hop |
BGP経路上で通過するAS(自律システム)の数を指す。ASパス内のAS番号の個数=ホップ数であり、短いASホップの経路が「近い経路」と判断され優先される。BGPの経路選択要素の1つ。 |
| ASパス(AS Path) |
AS Path |
BGP Update メッセージに含まれる「どのASを通ってきたか」の履歴情報。例:65010 65020 7224。ASパス長(ASホップ数)が短いほど優先されるため、経路選択の主要な指標。AS Path Prepend により手動で意図を変えることもできる。 |
| ローカルプリファレンス(Local Preference) |
Local Pref |
BGP経路選択で最優先される属性。値が高い経路が優先される。AWS側は LocalPref=100 で固定だが、オンプレ側では自由に設定できるため「DXを優先させる」「VPNをバックアップにする」などの制御に使われる。 |
| MED(Multi Exit Discriminator) |
MED |
同じASから複数の出口がある場合に「どの出口を使って欲しいか」を示す値。小さい方が優先される。AS間で調整可能だが、オンプレ⇔AWSでは LocalPref と AS Path の方が優先されるため MED の効果は限定的。 |
| BGPコミュニティタグ |
BGP Community |
BGP の経路にメタデータを付与する属性。特定のコミュニティが付与された経路に対して、「アドバタイズしない」「優先度を下げる」「特定リージョンのみに広報する」などのポリシー制御が行える。AWS の Direct Connect / VPN でも一部のコミュニティがサポートされている。 |
アプリケーションロードバランシング(L7)
| 用語 |
略称 |
説明 |
| セッションアフィニティ(スティッキーセッション) |
Session Affinity / Sticky |
同一クライアントからのリクエストを一定期間同じバックエンドターゲットに配送する仕組み。ALB のターゲットグループスティッキー機能などで実現され、セッションをサーバローカルに保持するアプリとの相性が良い。 |
| ホストベースルーティング |
Host-based Routing |
HTTP(S)リクエストの Host ヘッダ(例:api.example.com / img.example.com)に基づいてルーティング先ターゲットグループを切り替えるALBの機能。1つのALBで複数ドメインを捌ける。 |
| パスベースルーティング |
Path-based Routing |
HTTP(S)リクエストのURLパス(例:/api/、/static/)に基づいてルーティング先を振り分けるALBの機能。マイクロサービスやフロント/バックエンド分離構成で利用される。 |
| セキュアリスナー |
Secure Listener |
TLS(HTTPS)を終端するリスナー。ACMなどの証明書を設定し、クライアントとの間を暗号化する。ALBやNLB(プロキシモード)で利用される。 |
暗号化・証明書
| 用語 |
略称 |
説明 |
| 自己証明書 |
Self-Signed Certificate |
自分自身が署名した証明書。信頼された認証局による署名がないため、ブラウザやクライアントは警告を出す。検証環境や内部用途で用いられる。 |
| パブリック証明書 |
Public Certificate |
公開認証局(CA)が署名した証明書。ブラウザやOSに信頼されたCAチェーンが登録されているため、HTTPSアクセス時に警告が出ない。インターネット公開サービスで必須。 |
L2 セキュリティ
| 用語 |
略称 |
説明 |
| MACSec(MAC Security) |
MACSec |
IEEE 802.1AE で規定された L2 フレーム暗号化技術。スイッチ間リンクやDC内リンクを暗号化し、盗聴や改ざんを防ぐ。Direct Connect 回線の一部や閉域ネットワークの高セキュリティ用途で利用される。 |
