基本構成の概要
- VPCという仮想ネットワークがあり, インターネットゲートウェイを介して, インターネットとやり取りが行われる.
- サブネットという単位で複数個の領域に区切られ, インスタンスは何かしらのサブネットの中に入ることになる.
- サブネット単位でルートテーブルというものが存在し, サブネット内から特定の宛先に行くときにどこに行けば良いかを教えてくれる.
- インスタンスにはセキュリティグループというファイヤーウォールの機能を司るものがあり, インスタンスからの(に対する)アクセスを制限している.
VPCとゲートウェイ
VPC(Vertual Public Cloud)
- AWSクラウド内でプライベートな仮想ネットワークを構築するためのサービスで, 以下のような機能がある. (イメージ: 家のLANそのもので, Wi-Fiネットワークのようなもの)
- VPC内にサブネットを作成可能(いくつかの領域に分割可能)
- インターネットゲートウェイを使用してインターネットに接続可能
インターネットゲートウェイ(Internet Gateway, 略称: IGW)
- AWSのVPC内でインターネットとの通信を行うためのゲートウェイのことで, 以下のような特徴がある. (イメージ: あるLANとインターネットを接続する窓口で, 家に置いてあるルータのようなもの)
- インターネット上で固有のパブリックIPアドレスを持つ
- 1つのVPCに対して1つのインターネットゲートウェイがある
- パブリックサブネットはデフォルトゲートウェイがインターネットゲートウェイになっている
NATゲートウェイ
- AWSのVPC内でプライベートサブネットからインターネットに出るときに使われるゲートウェイで, プライベートIPアドレスとパブリックIPアドレスの変換を司る.
-
- プライベートサブネットにあるEC2のマシンからインターネットに接続する際には, NATゲートウェイを経由してパブリックIPアドレスを受け取る
サブネットとルートテーブル
サブネット
- サブネットとは, VPC内においてIPアドレスの範囲が指定されたネットワークのこと.
よくあるのは, パブリックサブネット(外部から入ってこれるし外部にも出れる)とプライベートサブネット(外部から入ってこれないが外部には出れる)の二つのサブネットに分けること- AWSではCIDRブロックというIPアドレス範囲を指定してVPCを作成するが, このCIDRブロック内で複数のサブネットを作ることができる.
- CIDRは172.168.10.0/24 みたいなIPアドレスの表記法のことで, この場合は先頭の24ビットがネットワーク部で残りの8ビットがホスト部(個々のコンピュータのアドレス)になり, 2**8 個のデバイスを同時に接続できる
ルートテーブル
- サブネット単位に設定されるもので, あるサブネットから特定のアドレスに対するルーティングを行ってくれるもの. 行きたい場所を言えばとりあえずどこに行けば良いか教えてくれる.
- 0.0.0.0/0 という全アドレスに対するルーティング先をデフォルトゲートウェイと呼ぶ.
- ルーティング先が被っている場合, 細かく指定されている方が優先される.
- パブリックサブネットの場合, 同じVPC内に対しては直接行くように, それ以外の場合はインターネットゲートウェイに行くようにされる場合が多い.
セキュリティグループ
- EC2などのネットワーク機器単位で設定されるもので, どのような通信を許可/拒否するのかを決めてくれるもの. 仮想空間上のファイアウォールサービス.
- 外部からネットワーク機器に対して通信を行うことを「インバウンド通信」, あるネットワークから外部に対して通信を行うことを「アウトバウンド通信」という.
- 通信制御の方法はIPアドレスやポート番号, 通信プロトコルなどを指定することにより実施される(インバウンド通信は443番ポートに対するhttps通信しかできませんよ〜とか).
