LoginSignup
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@yuzen-yk(Yoshiki Kaneko)

【個人用】AWS Solution Architect Associate 自分用ノート(VPC編)(随時更新)

Last updated at Posted at 2024-12-29

VPCの基礎知識

・一つのリージョン内に複数作成できる
・一つのVPCは、リージョン内のすべてのAZにまたがる
・デフォルトでは、他のVPCやインターネットと通信できない

サブネットの基礎知識

・VPC内のネットワーク空間を論理的に分割したもの
・各サブネットは、1つのAZに属し、1つのAZ内に複数のサブネットを作れる

VPCからインターネットへの接続に使うもの

VPCからインターネットにつなぐには以下のものを使う

NATゲートウェイ

・プライベートサブネットからインターネットへのアクセスを可能にする
・マネージド型である
・AWSによってAZ内で冗長化されている
・プライベートIPアドレスをElastic IPアドレスに変換してくれる
・パブリックサブネットに配置する

NATインスタンス

・プライベートサブネットからインターネットへのアクセスを可能にする

アンマネージド型である(EC2インスタンスから作成するため)

・AWSによってAZ内で冗長化されていない

・プライベートIPアドレスをElastic IPアドレスに変換してくれる

・パブリックサブネットに配置する

・ポート転送機能の設定ができる
→ポート転送とは、インターネットから送信された特定のポート番号あてのデータを、プライベートサブネット内のインスタンスの別のポートへ転送すること

・VPC外からプライベートサブネット内へ接続する際の踏み台サーバーとしても使える


・踏み台サーバーとは
たとえば、インターネットからプライベートサブネット内のサーバーの保守をしたいときに、いったんNATインスタンス(踏み台サーバー)にSSH接続をした後、そのNATインスタンスから保守したいサーバーへ再度SSH接続をすることで、外から直接接続できないプライベートサブネット内のサーバーへの接続を可能にするもの

IPアドレス

Erastic IPアドレス

・インターネットと通信可能な固定のパブリックIPアドレス
・AWSリソースに手動で割り当てる
・AWSリソースが停止・削除されても、IPアドレスは変わらない。そのかわり、利用料金が発生し続ける。

パブリックIPアドレス

・AWSリソースを削除するとIPアドレスが解放されるので、変化する

プライベートIPアドレス

・インターネットと通信不可のIPアドレス
・VPC内のAWSリソースに自動で割り当てられる
・AWSリソースが停止・起動されても、IPアドレスは変わらないが、削除されると解放される

VPCエンドポイントについて

プライベートサブネット内のAWSリソースから、インターネットゲートウェイを経由せずに外のAWSサービスに接続するにはVPCエンドポイントをつかう

VPCエンドポイントからどこに接続するかを、VPCエンドポイントポリシーで設定できる

VPCエンドポイントは2種類ある
ゲートウェイ型

AWS Private Link(インターフェース型)
CloudwatchやS3への接続にはこっちを使う

インターネットゲートウェイについて

プライベートサブネット内のAWSリソースとインターネットを接続する機能
インターネットゲートウェイへのルーティングが設定されたサブネットは、パブリックサブネットになる

Egress-Onlyインターネットゲートウェイ

NATゲートウェイとインターネットゲートウェイの特徴を併せ持つ、IPv6専用の機能
VPCからインターネットへの接続はできるようにする(egress)が、インターネットからVPCへの接続はできないようにする

CIDRについて

CIDR(Classless Internet Domain Routing)とは、ネットワークの範囲を指定するIPアドレスの指定方法のこと

CIDRは、IPアドレスを「172.16.0.100/24」のように表記する
この「/24」をプレフィックス長といい、IPアドレスとプレフィックス長によって、どのネットワークに所属するのかが決まる
IPアドレスが「172.16.0.100/24」だった場合、IPアドレスを2進数表記にしたとき、左から24ビット目までの範囲がプレフィックスになる
image.png

プレフィックスに該当するIPアドレスの部分をネットワークアドレスと呼び、このネットワークアドレスの範囲のことを「CIDRブロック」と呼ぶ

VPCとサブネットのCIDRブロックは、/16から/28のプレフィックス長を指定する

IPv4アドレスの範囲

・10.0.0.0 ~ 10.255.255.255
・172.16.0.0 ~ 172.31.255.255
・192.168.0.0 ~ 192.168.255.255

VPCのファイアウオールについて

セキュリティグループ

・VPC上で、ネットワークアクセスをインスタンスごとに制御するファイアウオール
許可ルールのみ指定でき、拒否ルールは指定できない
・デフォルトでは、すべてのインバウンド通信を拒否、すべてのアウトバウンド通信を許可している
・送信元や送信先にIPアドレスの範囲や、別のセキュリティグループを指定できる

ネットワークACL

・VPC上で、ネットワークアクセスをサブネットごとに制御するファイアウオール
・許可ルール、拒否ルールどちらも設定可能
・デフォルトでは、すべてのインバウンド通信とアウトバウンド通信が許可されている
・送信元や送信先にIPアドレスの範囲のみ指定できる。別のACLやセキュリティグループは指定できない。
・通信の状態を管理しないステートレスである

0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?