AWS VPCについて理解する

はじめに

• Amazon VPC (Virtual Private Cloud)は、Amazon EC2 のネットワーキングレイヤーです。

デフォルトVPC

• デフォルトVPCを作成すると、以下の内容が自動で作成され、VPC内のEC2から簡単にインターネットへアクセス出来る。
  • ３つのサブネット
  • ルートテーブル
  • インターネットゲートウェイ
  • DHCPオプション
  • ネットワークACL
  • セキュリティグループ

デフォルトVPCを作成する

デフォルトVPCが作成される

デフォルトVPCを削除した、まっさらな状態

EC2インスタンスを作成しようとするとVPCが無いとエラーになる

サブネット

• VPC内のネットワークを分割する機能です。
  • 3つのサブネットが自動的に作成される
  • ネットワーク ACL に明示的にサブネットを関連付けない場合、サブネットはデフォルトのネットワーク ACL に自動的に関連付けられる
  • サブネットは一度に 1 つのネットワーク ACL にのみ関連付けることができる

ルーティング

• VPC内のサブネット(172.31.0.0/16)向けは、local
• 外部(0.0.0.0/0)向けは、IGW

セキュリティ

VPC構成図

• セキュリティグループとネットワーク ACL の比較
• ベストプラクティス

ネットワークACL

• ネットワークACLは、サブネットのファイアウォール機能です。
  • デフォルトのネットワーク ACL が自動的に設定され、すべてのInとOutを許可
  • 各カスタムネットワーク ACL は、ルールを追加するまですべてのInとOutを拒否する
  • 低い番号から順にルールを評価し、一致したら即適用される
  • ステートレス

セキュリティグループ

• セキュリティグループは、インスタンスの仮想ファイアウォール機能です。
  • インスタンスレベルで動作
  • 許可ルールのみ指定できる
  • ステートフル

おわりに

• VPCを理解するには、インフラの基本的な知識が必要。
• プライベートなサブネットを構成する際、NATゲートウェイを使うと課金されるので注意。