VPC
Amazon Virtual Private Cloud(Amazon VPC):
AWS内で分離され、論理的にセグメント化されたネットワークを表す。
アベイラビリティーゾーン(AZ):
AZは1つ以上の独立したデータセンターで構成される。
複数のAZを使用することで、リージョン内の1つの場所で障害が発生しても、アプリケーションを保護できる。
サブネット:
VPCのセグメント。
VPCを小さく管理しやすいセクションに分割できる。
プライベートサブネット:
パブリックインターネットに直接公開してはいけないリソースを分離するように設計。
パブリックサブネット:
内部に配置されたリソースがインターネットに直接アクセスできるように設計。
インターネットにアクセスできるようにするため、VPCにインターネットゲートウェイをアタッチする。
NATゲートウェイ:
ネットワークアドレス変換(NAT)サービス。
プライベートサブネット内のインスタンスがインターネットに返信を返す際に使用する。
プライベートアドレスをパブリックアドレスに変換して、インターネットゲートウェイに連携させる。
仮想プライベートゲートウェイ:
仮想プライベートネットワーク(VPN)を使用すると、インターネット上に安全なトンネルのような接続が作成される。
仮想プライベートゲートウェイは、この保護されたトラフィックをVPCに接続できるようにするAWSクラウドのコンポーネント。
仮想プライベートゲートウェイを使用すると、VPCとプライベートネットワークの間にVPN接続が確立でき、VPCにあるプライベートリソースにアクセスできるようになる。
セキュリティグループ、ネットワークアクセスコントロールリスト
パケットはインターネットゲートウェイ経由でVPCに入る。
パケットがサブネットの境界を出入りする際、ネットワークアクセスコントロールリスト(ACL) によって監視される。これはパスポート審査官の役割のようなもの。ステートレスであり、状態を記憶せず常にチェックする。
デフォルトでは、ACLはすべてのインバウンドトラフィックとアウトバウンドトラフィックを許可する。カスタムで作成した際は、すべてのインバウンドトラフィックとアウトバウンドトラフィックを拒否する。
パケットがサブネットに入った後、Amazon EC2インスタンスなどサブネット内のリソースに出入りする際、セキュリティグループで監視される。ビルのドアマンの役割のようなもの。ステートフルであり、着信パケットに対して以前に行われた決定が記憶される。
デフォルトでは、セキュリティグループはすべてのインバウンドトラフィックを拒否し、すべてのアウトバウンドトラフィックを許可する。
VPCエンドポイント
ゲート型エンドポイント
AWSサービスを宛先とするトラフィックのルートテーブルの宛先として指定できるゲートウェイ
DynamoDBとAmazon S3に適用可能。
プライベートリンク型エンドポイント(インターフェース型)
サポートされるサービスを宛先とするトラフィックのエントリポイントとして機能するサブネットのIPアドレス範囲のプライベートIPアドレスを持つElastic Network Interface。
AWS PrivateLink
インターフェース型エンドポイントを利用したプライベート接続を実施するサービス。
インターネットを経由せずVPCとAWSサービスまたはオンプレミス間でプライベート接続を確立する。
VPC Peering
2つのVPC間でトラフィックをルーティングすることを可能にするネットワーク接続。
異なるAWSアカウント間のVPC間をピア接続可能。
AWS Transit Gateway
VPCとオンプレミスネットワークをフルマネージドサービスとして接続するためのハブアンドスポーク設計を提供。
AWSクラウドに接続するその他の方法
AWS Client VPN:
リモートワーカーとオンプレミスネットワークをクラウドに接続するために使用できるネットワークサービス。
ユーザーの需要に応じて自動的にスケールアップまたはスケールダウンする、フルマネージド型の伸縮自在なVPNサービス。
AWS Site-to-Site VPN:
データセンターまたは支社とAWSクラウドリソースとの間に安全な接続が確立される。
AWS Direct Connect:
ネットワークとAWSクラウド内のVPCとの間に専用のプライベート接続を確立できるようにするサービス。
AWS Direct Connectロケーションに物理的に自社オンプレミス環境を接続することでAWS環境との専用線接続を実現する。
ダイレクトコネクトゲートウェイ:
複数リージョンにネットワークを専用線接続したいばあいはダイレクトコネクトゲートウェイを利用する。