AWSメモ 〜 VPC

用途

EC2などのインスタンスを配置するネットワークを定義する。

範囲

リージョン

使い方

AWSのアカウントを作成した時点で、各リージョンにデフォルトのVPCが設定される。お試しで利用する分には、デフォルトのVPCで十分であるが、本格的に利用する場合は、サブネットやセキュリティを想定通りに設定したVPCを作成することを推奨する。
VPCを作成後、その中にサブネットを定義し、その中にEC2などのインスタンスを配置する。一つのVPC内に複数のサブネットを定義することができる。サブネットは一つのAZ内に制限される。一つのAZ内に複数のサブネットを定義することもできるし、複数のAZにサブネットを配置することによりマルチAZの環境を構築することができる。

キーワード

デフォルトVPC

AWSがあらかじめ用意するVPC。インターネットとの通信が可能な状態に設定されており、EC2などを試しに配置して確認する目的には十分である。

サブネット

ネットワークの管理の単位であり、そのサブネット内に配置されたEC2などのリソースは、一つのAZ内に配置される。

パブリックサブネット

インターネットゲートウェイへルーティングされていて、インターネットとの直接の通信が可能なサブネット。インターネットとの直接な通信が可能なことから、セキュリティを強化する、重要な情報を置かないなどの注意が必要。インターネットと直接やりとりするWebサーバなどを配置する。

プライベートサブネット

インターネットとの直接の通信ができないサブネット。NATゲートウェイを設置し、ルーティングを行うことで間接的なインターネットとの通信は可能。インターネットと直接やりとりをする必要のないデータベースなどが配置される。

インターネットゲートウェイ

VPC内に配置するインターネットとの接続ポイント。IPv4, IPv6の両方の通有心が可能で、自動でスケーリングされる。

Egress-Onlyインターネットゲートウェイ

IPv6専用のアウトバウンド限定のインターネットゲートウェイ。VPC上のリソースからインターネット上のリソースへの通信とその戻りの通信は可能であるが、インターネット上のリソースからVPC上のリソースへ通信を開始することはできない。IPv6のアドレスはパブリックであるため、外部からの攻撃を守るためにはこのようなゲートウェイが必要となる。

NATゲートウェイ

パブリックサブネット内に設置され、プライベートIPを持つリソースからの通信のIPアドレスを変換することで、インターネットとの通信を可能とする。

セキュリティグループ

VPC内のリソースが通信のできる範囲を定義するルール。ステートフルのため、片側の通信を許可すると、その戻りの通信も許可される。全てのルールを評価し、ルールがマッチしなければ通信ができない。

ネットワークACL

サブネットに割り当てられるファイアウォールのルール。ステートレスのため、通信を成立させるためには、行きと戻りの両方を許可する必要がある。ルールには優先度があり、優先度順にマッチしたしたルールが適用される。

VPCピアリンク

２つのVPCをつなぐ仕組み。

トランジットゲートウェイ

複数のVPCを繋ぐための起点。

仮想プライベートゲートウェイ

オンプレの環境とVPN接続するためのVPC側のゲートウェイ。カスタマーゲートウェイとペアで利用される。

カスタマーゲートウェイ

オンプレの環境とVPN接続を行うためのゲートウェイ。仮想プライベートゲートウェイとペアで利用される。

ダイレクトコネクト

オンプレの環境と専用線を用いてVPCと接続する仕組み

VPCエンドポイント

同一リージョン内のサービス(S3, Dynamoなど)と接続するための仕組み。VPCエンドポイントを経由することで、インターネットを経由せずにサービスを利用できる。サブネット内に設置される。

VPCフローログ

VPC内のパケットの通信ログ。セキュリティグループ、ネットワークACLで許可されたのか、ブロックされたのかを確認することができる。