AWSを勉強する - VPC

Last updated at 2024-05-24Posted at 2020-11-17

#Virtual Private Cloud(VPC)

AWSクラウド内に論理的に分離されたセクションを作り、ユーザーが定義した仮想ネットワークを構築するサービス

単一のVPCを構築すると単一のAZの範囲に設定される。
同一リージョン内では、VPCは複数のAZにリソースを含めることができる。
VPCとサブネットの組み合わせでネットワーク空間を構築する。VPCはサブネットとのセットが必須。

#CIDR

VPC内ではサブネット数は200までが最大とされている

既に利用されていて設定できないアドレス

#サブネット

CIDR範囲で分割したネットワークセグメント
インターネットアクセス範囲を定義するために利用数

パブリックサブネット

トラフィックがインターネットゲートウェイにルーティングされるサブネット
インターネットと接続が必要なリソースを揃える
パブリックサブネットからインターネットに接続するにはインターネットゲートウェイが必要

インターネットゲートウェイへのルートがないサブネット
インターネットから隔離することでセキュリティを高める
プライベートサブネットからインターネットに接続するにはNATゲートウェイがパブリックサブネットに必要（NATゲートウェイに接続してからインターネットに接続する）

#VPC外部接続
VPCの外側にあるリソースとの通信にはパブリックのAWSネットワークかエンドポイントを利用する。
例）S3を使う時、エンドポイントを利用してVPC外にあるS3とつなげる

#インターネット経路を設定
ルートテーブルとCIDRアドレスでルーティングを設定する

#VPCトラフィック設定

##セキュリティグループ
インスタンス単位の通信制御に利用する。
インバウンド（内向き、外部からVPCへ）とアウトバウンド（外向き、内部から外部へ）の両方の制御が可能。

制御項目

セキュリティグループは、デフォルトでアクセスを拒否されていて、設定された項目のみにアクセスを許可する。
応答トラフィックはルールに関係なく通信が許可される。

##ネットワークACL
サブネットごとの通信制御に利用する。
インバウンド（内向き、外部からVPCへ）とアウトバウンド（外向き、内部から外部へ）の両方の制御が可能。

ネットワークACLは、デフォルトでアクセスが許可されている。
応答トラフィックであろうと明示的に許可設定しないと通信遮断される。

#用語まとめ

##ゲートウェイ
VPCの内部と外部との通信をやり取りする出入り口。

VPCとインターネットとを接続するためにゲートウェイ。
各VPCに1つだけアタッチすることができる。

###仮想プライベートゲートウェイ
VPCがVPNやDirect Connectと接続するためのゲートウェイ。
各VPCに1つだけアタッチすることができる。

##VPCエンドポイント
S3やDynamoDBと接続する際に利用するゲートウェイエンドポイントと
それ以外の大多数のサービスで利用するインターフェイスエンドポイントがある。

###ゲートウェイエンドポイント
ルーティングを利用したサービス。
S3、DynamoDBへの通信は、エンドポイントを通じて行われる。

##ピアリング接続
２つのVPC間でプライベートな接続をするための機能。
AWSアカウントをまたがっての接続も可能。

VPCピアリングでの通信相手は、VPC内のEC2インスタンス。

##VPCフローログ
VPC内の通信の解析に利用。
ENI(Elastic Network Interface)単位で記録される。
送信元・送信先アドレス、ポート、プロトコル番号、データ量、許可／拒否が記録される。

#参考