概要
AWS SAA合格へ向けてAWSについて1から勉強した際に学んだことを定期的にアウトプットしたいと思います
今回は
- Region(リージョン)
- VPC(バーチャルプライベートクラウド)
- AZ(アベイラビリティゾーン)
- パブリックサブネットとプライベートサブネット
- IGW(インターネットゲートウェイ)
- ルートテーブル
- NACL(ネットワークアクセスコントロールリスト)とSG(セキュリティグループ)の違い
- 踏み台サーバとNATゲートウェイ
について説明したいと思います
図に表すと以下のようになります
Region
AWSのサービスを提供している地域のことで日本では
- 東京リージョン(ap-northeast-1)
- 大阪リージョン(ap-northeast-3)
の2種類のデータセンターが存在しますが基本的に東京リージョン(メインリージョン)を使用します
大阪リージョン(ローカルリージョン)は災害復旧対応などの緊急時に使用されます
基本的にリージョン同士は災害に備えて物理的に離れていてかつ独立しています
(ただし、隣接しているリージョン間は広帯域の専用ネットワークで接続されているのでデータのやり取りはできます
VPC
AWS上の仮想ネットワークのことです
Region内に作成します
よく設定するVPCのプライベートIPアドレスのレンジは10.0.0.0/16です
CIDRが16なので最大65536個のIPアドレスが利用可能です
AZ(アベイラビリティゾーン)
各リージョンに存在するデータセンターのことです
VPC内に作成します
東京リージョンで利用できるAZは
- ap-northeast-1a
- ap-northeast-1c
- ap-northeast-1d
の3つです
パブリックサブネットとプライベートサブネット
CIDRで分割したVPCの論理的なネットワークです
AZ内に作成します
VPCが10.0.0.0/16なので例えば
- パブリックサブネットは10.0.1.0/24
- プライベートサブネットは10.0.2.0/24
のようにのVPCのCIDRの範囲内で設定するのが一般的です
パブリックサブネットとプライベートサブネットの違いは?
インターネットと通信したいインスタンス(アプリケーションなど)はパブリックサブネットに、
インターネットと通信せずにインスタンス(RDB)はプライベートサブネットに配置します
IGW(インターネットゲートウェイ)とルートテーブル
IGW
VPCとインターネット間の通信を可能にする仕組みです
サブネットにIGWがないとプライベートサブネットになってしまうのでインターネットと通信したい場合は必須です
ルートテーブルとは?
関連付けされているサブネットのネットワークトラフィック(インバウンドとアウトバウンドトラフィック)を制御するためにルーティング規則のことです
ルートテーブルを通るトラフィックをIPアドレスで判断してIGWに送るかローカル上の別インスタンスに送るかなどの判断をします
NACL(ネットワークアクセスコントロールリスト)とSG(セキュリティグループ)
NACL
サブネットのインバウンドとアウトバウンドトラフィックを制御するためのファイアウォールとして機能する任意指定のセキュリティレイヤーです
SG
EC2インスタンスの仮想ファイアウォールのことです
後述するNACLと一緒に出題されるので注意
NACL(ネットワークアクセスコントロールリスト)とSG(セキュリティグループ)の違い
NACLのインバウンドとアウトバウンドルールはステートレス(状態を持たない)なのに対してSGはステートフルです(状態を持つ)
例えばNACLでインバウンドルールを設定したルールは同様にアウトバウンドルールも設定する必要があリます
対してSGはインバウンドルールを設定したら同様のルールはアウトバウンドでも自動的に適用されます
踏み台サーバとNATゲートウェイ
踏み台サーバ
インターネットからプライベートサブネット内のインスタンスへ接続する際に経由するインスタンスです
プライベートサブネットへインターネットからアクセスできないため、パブリックサブネット内に踏み台サーバを用意して経由します
NATゲートウェイ
プライベートサブネット内のインスタンスからインターネットゲートウェイへ返信する際に経由するのがNATゲートウェイです
NATゲートウェイはインスタンスのプライベートIPアドレスをパブリックIPアドレス(ElasticIP)に変換してインターネットゲートウェイと連携します
まとめ
最初は用語が多くてどれがどれかわからなくなりそうでしたが図にするとだいぶわかりやすくなってすんなり覚えられました
参考