VPC
AWS Virtual Private Cloud (VPC) ノート。
IP Addresses in AWS
IPv4
- Public IPv4: EC2 は停止 →起動 のたびに新 しいパブリック IP を取得 (デフォルト)
- Private IPv4: 停止 /起動 しても EC2 インスタンスに固定 (例 : 192.168.1.1)
- Elastic IP: EC2 インスタンスに固定 パブリック IPv4 を接続 (未接続 またはインスタンス停止時 は継続 コストが発生 )
IPv6
- 全 ての IP アドレスはパブリック
- 例 : 2001:db8:333:4444:cccc:dddd:eeee:ffff
VPC Overview
リソースをデプロイするためのプライベートネットワーク(リージョナルリソース)
- Subnets: VPC 内
でネットワークを分割
(アベイラビリティゾーンリソース)
- パブリックサブネット: インターネットからアクセス可能
- プライベートサブネット: インターネットからアクセス不可
- Route Tables: インターネットおよびサブネット間 のアクセスを定義
Internet Gateways & NAT Gateways
- Internet Gateway: VPC インスタンスのインターネット接続 を支援
- Public Subnets: インターネットゲートウェイへのルートを持 つ
- NAT Gateway (AWS マネージド) & NAT Instances (自己 管理 ): プライベートサブネット内 のインスタンスがプライベートを維持 しながらインターネットにアクセス
Network ACL & Security Groups
| 機能 | Network ACL | Security Groups |
|---|---|---|
| 状態 | ステートレス | ステートフル |
| レベル | サブネットレベル | EC2 インスタンスレベル |
| ルール | ALLOW と DENY | ALLOW のみ |
| ルール内容 | IP アドレスのみ | IP アドレスと他 の SG |
| 戻 りトラフィック | 明示的 な許可 が必要 | 自動的 に許可 |
| ルール処理 | 番号順 | 全 てのルールを評価 |
| 適用 | サブネット内 の全 てのインスタンスに自動 | 明示的 な指定 が必要 |
VPC Flow Logs
インターフェースに入 る IP トラフィック情報 をキャプチャ:
- VPC Flow Logs
- Subnet Flow Logs
- Elastic Network Interface Flow Logs
接続 問題 の監視 とトラブルシューティングに役立 つ:
- サブネット→インターネット
- サブネット→サブネット
- インターネット→サブネット
AWS マネージドインターフェースからもキャプチャ: ELB, ElastiCache, RDS, Aurora
VPC Peering
- AWS ネットワークを使用 して 2 つの VPC をプライベートに接続
- CIDR の重複 は不可 (IP アドレス範囲 )
- 推移的 ではない(各 VPC ペアに確立 が必要 )
VPC Endpoints
- パブリックインターネットではなくプライベートネットワークで AWS サービスに接続
- メリット: セキュリティ強化 と低 レイテンシー
