グローバル展開
AWSリージョンの選択
AWSグローバルインフラストラクチャをさらに深く理解する
クラウドリソースを複数のリージョン、複数のアベイラビリティーゾーンにデプロイすることで高可用性を実現できる。
エッジロケーション
Amazon CloudFrontはコンテンツ配信ネットワーク (CDN) およびキャッシュシステム。
エンドユーザーに近い場所からコンテンツを配信できるように設計されている。
インフラストラクチャとオートメーション
複数のリソースを作成および管理する必要があり、それが複数のリージョンや複数のアカウントにまたがる可能性があり、そのすべてに一貫性と再現性が必要である場合の自動化は、Infrastructure as Code(IaC) を利用する。
IaCを使うことで、インフラストラクチャをコードで定義でき、リソースを自動的に構築および設定できる。
CloudFormation:
CloudFormationテンプレートと呼ばれるテキストベースのドキュメントを作成することで、さまざまなAWSリソースを定義できるIaCサービス。
ネットワーク
Amazon Virtual Private Cloud(Amazon VPC):
AWS内で分離され、論理的にセグメント化されたネットワークを表す。
アベイラビリティーゾーン(AZ):
AZは1つ以上の独立したデータセンターで構成される。
複数のAZを使用することで、リージョン内の1つの場所で障害が発生しても、アプリケーションを保護できる。
サブネット:
VPCのセグメント。
VPCを小さく管理しやすいセクションに分割できる。
プライベートサブネット:
パブリックインターネットに直接公開してはいけないリソースを分離するように設計。
パブリックサブネット:
内部に配置されたリソースがインターネットに直接アクセスできるように設計。
インターネットにアクセスできるようにするため、VPCにインターネットゲートウェイをアタッチする。
仮想プライベートゲートウェイ:
仮想プライベートネットワーク(VPN)を使用すると、インターネット上に安全なトンネルのような接続が作成される。
仮想プライベートゲートウェイは、この保護されたトラフィックをVPCに接続できるようにするAWSクラウドのコンポーネント。
仮想プライベートゲートウェイを使用すると、VPCとプライベートネットワークの間にVPN接続が確立でき、VPCにあるプライベートリソースにアクセスできるようになる。
AWSクラウドに接続するその他の方法
AWS Client VPN:
リモートワーカーとオンプレミスネットワークをクラウドに接続するために使用できるネットワークサービス。
ユーザーの需要に応じて自動的にスケールアップまたはスケールダウンする、フルマネージド型の伸縮自在なVPNサービス。
AWS Site-to-Site VPN:
データセンターまたは支社とAWSクラウドリソースとの間に安全な接続が確立される。
AWS PrivateLink:
サービスやリソースがVPC内にあるかのように、それらにVPCをプライベートに接続できる。
ゲートウェイやサイト間VPNをセットアップする手間を省くことができる。
AWS Direct Connect:
ネットワークとAWSクラウド内のVPCとの間に専用のプライベート接続を確立できるようにするサービス。
サブネット、セキュリティグループ、ネットワークアクセスコントロールリスト
パケットはインターネットゲートウェイ経由でVPCに入る。
パケットがサブネットの境界を出入りする際、ネットワークアクセスコントロールリスト(ACL) によって監視される。これはパスポート審査官の役割のようなもの。ステートレスであり、状態を記憶せず常にチェックする。
パケットがサブネットに入った後、Amazon EC2インスタンスなどサブネット内のリソースに出入りする際、セキュリティグループで監視される。ビルのドアマンの役割のようなもの。ステートフルであり、着信パケットに対して以前に行われた決定が記憶される。
デフォルトでは、セキュリティグループはすべてのインバウンドトラフィックを拒否し、すべてのアウトバウンドトラフィックを許可する。
グローバルネットワーク
Amazon Route 53:
ドメインネームシステム(DNS)サービス。
URLをIPアドレスに変換する。
Amazon CloudFront:
コンテンツ配信ネットワーク(CDN)サービス。
ユーザーに近い場所にコンテンツのコピーを保存する。
ロード時間の短縮、コスト削減、高い信頼性を実現しつつコンテンツを配信できる。