はじめに
AWS認定資格「AWS Certified Advanced Networking - Specialty」の勉強はとても難しかった。
なぜか?
専門的な知識が必要なのもありますが、文字だけをみてもなかなかイメージをつかみにくいところがありました。
ということで、ネットワークを徹底的に図解してみました!
ネットワークのわからないを終わらせましょう。
対象ネットワーク
すべてのネットワークを網羅するのは大変なので、イメージしにくい以下のネットワーク構成に絞りました。
- オンプレミスとAWS Cloudを接続
- 接続の構成( Direct Connect / Transit Gateway / PrivateLink )
- VIF( Private VIF / Public VIF / Transit VIF )
それでは見ていきましょう!
(間違い等ありましたらご指摘いただけると幸いです
)
オンプレミスとAWS Cloudの接続
オンプレミスとAWSとでネットワークを構成するやり方はいくつかあります。
いちばんシンプルなのは、インターネット経由で接続すること。
AWS側は「Internet gateway」で通信をインターネット経由にします。
インターネット経由にするということはセキュリティを確保するために通信の暗号化が必要になります。
そこで、インターネット経由でかつ暗号化されたプライベートなネットワークであるVPN接続にしてみます。
オンプレミス側は「Customer gateway」、AWS側は「VPN gateway」でVPN接続を構築します。
しかしながら、会社は機密情報を扱っており、要件としてインターネット経由の通信は許可されない場合もあるかもしれません。
そんなときはどうすればよいでしょう?
接続の構成( Direct Connect / Transit Gateway / VPN )
Direct Connectを使って専用線経由で通信できるようにします。
Direct ConnectはVPCに接続できます。
実際は、1つのVPCだけではなく、複数のVPCに接続することになると思います。
その場合、Direct Connect Gateway を使うと良いでしょう。
Direct Connect Gatewayで複数のVPCの接続を集約できます。
VPCでは「Virtual Private Gateway」をDirect Connect Gatewayに関連付けします。
また、Direct Connect Gatewayはリージョンをまたぐことが可能です。
ただし、Direct Connect Gatewayが関連付けられるVPCは最大20個となります。
さらに、VPC間同士の通信はできません。
20個より多くのVPCと関連付けしたり、VPC間同士の通信をできるようにするにはどうしたらよいでしょうか。
Transig Gateway を使いましょう。
Direct Connect GatewayにTransit Gatewayを接続します。
そして、接続したいVPCをTransit Gatewayにアタッチします。
Transit Gatewayは最大5000のVPCと接続することが可能です。
また、VPC間の通信も可能です。
ただし、Transit Gatewayはリージョンをまたぐことができません。
リージョンをまたいで接続する場合は、Transit Gatewayの ピアリング を利用します。
リージョンをまたいで接続する必要がない場合は、Direct Connect Gatewayに別リージョンのTransit Gatewayを接続することもできます。
ちなみに、Direct Connectを利用せずにTransit Gatewayに直接接続することも可能です。
専用線を必要とするかどうかですね。
では、ここからは通信の暗号化をするVPN接続をすることを考えてみましょう。
Direct Connectで専用線を用意できますが、通信は暗号化されていません。
そこで、Direct Connect + VPN で通信を暗号化するとよりセキュアになります。
オンプレミス側は「Customer gateway」、AWS側は「VPN gateway」でVPN接続を構築します。
ここでの Site-to-Site VPN は、異なる2つのネットワーク(オンプレミスのネットワークとAWS環境)をインターネットを介して安全に接続することを表しています。
では、Direct Connectを使わないまでも、インターネット経由でかつ暗号化されたプライベートなネットワークであるVPN接続したい場合を考えてみましょう。
VPN接続は1つのVPCのVPN gatewayにつながります。
複数のVPCとVPN接続したい場合は、複数のVPN gatewayが必要となります。
VPCの数が多くなるとリソースが増え、管理が大変になります。
そこで、 Transit Gateway でネットワークを集約しましょう。
こうすることで、オンプレミスとAWSのセキュアな接続ができるようになります。
VIF( Private VIF / Public VIF / Transit VIF )
VIF(Virthal Interface:仮想インタフェース)には以下の種類があります。
| VIF | 簡単な説明 |
|---|---|
| Public VIF | AWSのパブリックサービス(例:S3、DynamoDBなど)へのアクセスを提供します。 |
| Private VIF | VPC(Virtual Private Cloud)へのアクセスを提供します。 |
| Transit VIF | Transit Gatewayを介して複数のVPCをと接続する際に使用します。 |
Public VIF(パブリック仮想インタフェース)
オンプレミスとAWS環境との接続においてPublic VIFを使用します。
ただし、パブリックのため通信の暗号化など考慮する必要があります。
AWSのパブリックサービス(例:S3、DynamoDBなど)へのアクセスするときにも使用します。
AWS環境は通信の暗号化がデフォルトでなされています。
Private VIF(プライベート仮想インタフェース)
VPCへのアクセスをプライベートにしたいときに構成します。
VPCには「Virtual Private Gateway」を用意します。
Transit VIF(トランジット仮想インタフェース)
Transit Gatewayを介して複数のVPCと接続する際に使用します。
Transit Gatewayが出てきたらTransit VIFを使うんだなーと覚えましょう。
さいごに
- ネットワークは図を描いてみないと理解ができない!
- 「AWS Certified Advanced Networking - Specialty」の勉強の助けになりますように!
お読みいただきありがとうございました。