出展:AWS認定資格試験テキスト AWS認定 クラウドプラクティショナー
#VPC
##VPCの概要
・Amazon Virtual Private Cloudの略
・隔離されたプライベートなネットワーク構成をユーザがコントロールできるサービス
・主な機能要素
・VPC/サブネット/インターネットゲートウェイ/ルートテーブル/セキュリティグループ/ネットワークACL/NATゲートウェイ
##VPCの作成
・リージョンを選択して複数のアベイラビリティゾーンをまたがって作成する
・CIDR(Classless Inter-Domain Routing)でVPCのプライベートIPアドレスを定義する
##サブネット
・アベイラビリティゾーンを選択して作成する
・CIDRでサブネットのプライベートIPアドレス範囲を定義する
・最初のIPアドレスと最後の1つのIPアドレスがAWSによって予約されている
例)・10.0.1.0:ネットワークアドレス
・10.0.1.1:VPCルータ用
・10.0.1.2:AWSで予約
・10.0.1.3:将来の利用のためにAWSで予約
・10.0.1.255:ネットワークブロードキャストアドレス
##インターネットゲートウェイ
・VPCとパブリックインターネットを接続するためのゲートウェイ
・水平スケーリングによる冗長性と高い可用性を持っているため、単一障害点(SPOF)にはならない
・帯域幅の制限なし
・作成してVPCにアタッチすることで使用できる
##ルートテーブル
・サブネット内のリソースがどこに接続できるかを定義する
・VPCを選択して作成、エントリを設定しサブネットに関連付けることで、サブネットの通信経路を決定する
##パブリックサブネットとプライベートサブネット
・パブリックサブネット:
・インターネットゲートウェイに対してのルートを持つルートテーブルに関連付けられる
・パブリックサブネット内のインスタンスなどのリソースは、外部との直接通信ができる
・プライベートサブネット:
・インターネットゲートウェイに対してのルートを持たないルートテーブルに関連付けられる
・プライベートサブネット内のインスタンスは外部アクセスから保護できる
・プライベートサブネット内のリソースはパブリックサブネット内のリソースと通信できる
##セキュリティグループ
・インスタンスに対してのトラフィックを制御する仮想ファイアウォール
・許可するインバウンドのポートと送信元を設定するホワイトリスト
・送信元には、CIDRか他のセキュリティグループIDを指定できる
##ネットワークACL
・サブネットに対して設定する仮想ファイアウォール機能
・デフォルトですべてのインバウンド(受信)とアウトバウンド(送信)が許可されている
・拒否するものだけを設定するブラックリストとして使用できる
・特に必要な要件がなければ、デフォルトのままでかまわない(追加のセキュリティレイヤー)
##外部からEC2インスタンスにアクセスするための重要ポイント
・インターネットゲートウェイをVPCにアタッチする
・インターネットゲートウェイへの経路を持つルートテーブルをサブネットに関連付ける
・EC2インスタンスをそのサブネット内で起動する
・EC2インスタンスにパブリックIPアドレスを有効にする
(またはEC2のパブリックIPアドレスを固定するElastic IPをアタッチする)
##ハイブリッド環境構成
・VPCに既存のオンプレミス環境からVPNまたは専用線で接続する
・既存のオンプレミス環境の拡張先としてAWSを使用する
###ハードウェアVPN接続
・AWSに作成した仮想プライベートゲートウェイと、オンプレミス側のカスタマーゲートウェイを指定してVPN接続を作成する
例)社内のプライベートネットワークのみで稼働する業務アプリケーションをAWSで実現する
・仮想プライベートゲートウェイはVPCに1つアタッチできる
・インターネットゲートウェイ同様に可用性、冗長性に優れる
##ダイレクトコネクト(AWS Direct Connect)
・AWSとデータセンターの間でプライベートなネットワーク接続を確立する
・帯域を確保する
・セキュリティとコンプライアンス要件を満たす
##CloudFront(Amazon CloudFront)
・世界中に150ヵ所以上あるエッジロケーションを使い、最も低いレイテンシー(遅延度)でコンテンツを配信できるコンテンツ配信ネットワーク(Contents Delivery Network、CDN)
###CloudFrontの特徴
・キャッシュによる低レイテンシー配信
・エッジロケーションにキャッシュを持つことで低レイテンシー配信を実現する
・ユーザの近くからの低レイテンシー配信
・世界中のエッジロケーションが利用できるので、ユーザへは最もレイテンシーの低いエッジロケーションから配信される
・安全性の高いセキュリティ
・CloudFrontにユーザが所有しているドメインの証明書を設定することで、ユーザからHTTPSのアクセスを受けることができ、通信データを保護できる
・証明書はAmazon Certificate Managerを使用すると、追加費用なしで作成、管理できる
・AWS Shield、AWS WAFなどのセキュリティサービスと組み合わせることで、外部からの攻撃や脅威からオリジナルコンテンツを保護できる
#Route 53(Amazon Route 53)
・DNSサービス
・ドメインに対してのIPアドレスをマッピングしてユーザからの問い合わせに回答する
・Route53はエッジロケーションで使用される
##Route 53の主な特徴
###様々なルーティング機能
・シンプルルーティング:
問い合わせに対して、単一のIPアドレス情報を回答するシンプルなルーティング
・レイテンシーベースのルーティング/Geo DNS
1つのドメインに対して複数のDNSレコードを用意しておき、地理的な場所を近くしてレイテンシー(遅延度)が低くなるようにルーティングを行う
・加重ラウンドロビン:
1つのドメインに対して複数のレコードを用意しておき割合を決め、その割合に応じて回答を返す
・複数値回答:
複数のレコードからランダムに回答する
###高可用性を実現するヘルスチェックとフェイルオーバー
・ルーティングにヘルスチェックを組み合わせることで、システム全体の可用性を高める
###ルートドメイン(Zone Apex)のエイリアスコード
・Zone Apexと呼ばれる、サブドメインのないトップレベルのルートドメインにエイリアス(別名)を設定することで、ルートドメインにも複数のリソースを設定でき、可用性の高いシステム機械を作ることができる