見出し画像

AWSネットワーク入門 第2版|クラウドインフラとネットワーク入門(勉強メモ:2023/11/15)

◆はじめに

●AWSに関して思っている事
・AWSはコスト管理が手間だし怖いので学習といっても気軽に手を出せない。
・iam設定のややこしさ、サービス毎の設定項目の多さ、各項目をサラっとでも理解しておかないといけない。
・AWSは本運用前提じゃないと学習コストが高くて手を出しづらい。
・実運用はインフラ専門チームやベンダーが入ってAWSアカウントに触れる機会は少ない。
・専門性が高く他人任せにしないといけないがサービス仕様への依存性が高く知らないとシステム・運用が詰む事になる。

◆基本情報

出版:2022年10月19日
著者:大澤 文孝
出版社:インプレス
https://www.amazon.co.jp/dp/4295015423

◆ネットワーク設定

・オンプレミスはパブリックIPアドレスとプライベートIPアドレスでネットワークを構築して、ファイアウォールを構成する。
・AWSは「ネットワーク全体」「サーバー」「ファイアウォールとセキュリティ」の3つの要素がポイント
・AWSのサービスは「グローバルサービス」「リージョンサービス」「アベイラビリティゾーンサービス」の3つに分かれる
・VPCに接続するサービスと、非VPCのサービスに分かれる(非VPC:CloudFront、Route53、S3、etc)

◆EC2の構築

・EC2:セキュリティグループ(パケットフィルタリング型ファイアウォール)(インすんタンスを対象としたフィルタリング)
・デフォルトはインバウンドが全て「拒否」
・VPCにサブネットネットワークを作成する
・ネットワークACLでパケットフィルタリングを構築する(サブネットを対象とするフィルタリング)
・インターネットゲートウェイをVPCに対して接続してインターネットへの経路を作る
・サブネットはDHCPサーバー機能が動作している(止める事はできない)
・サブネットに予約されてるIPアドレスは 先頭(ネットワークアドレス)・先頭+1(VPCルーター)・先頭+2(DNSマッピング用に予約)・先頭+3(将来用の予約)・末尾(ブロードキャストとして予約、但しブロードキャストの機能は無い)
・EC2のセカンダリプライベートIPアドレスは手動で設定できるがAWSのDHCP割り当てによって割り付けが行われるため、OSはDHCPを使う設定となる。
・EC2にSSH接続するためにパブリックIPアドレスを割り当ててインターネットから到達できるようにしないといけない。
・パブリックIPアドレスは「動的なパブリックIPアドレス」と「Elastic IP(静的)」がある。
・「動的なパブリックIPアドレス」はEC2のインスタンス作成前に設定する必要がある。インスタンス作成後は設定できない。
・「静的なパブリックIPアドレス:Elastic IP」それぞれのリージョンで最大5個まで(AWSへの申請で拡張は可能)EC2インスタンス1個につきElastic IP1個まで無料(関連づけていない場合、別途の費用がかかる)
・Elastic IPはEC2インスタンスのENI(ネットワーク設定)に割り当てる。割り当てを変えると付け替えができる
・OS割り当てのプライベートIPアドレスは変わらない

◆セキュリティグループとネットワークACL

・両方ともファイアウォール機能
・セキュリティグループはEC2インスタンスのENIごとに設定する
・ネットワークACLはサブネットごろに設定する
・1つのENIに対してセキュリティグループを5つまで設定できる
・同じセキュリティグループが設定されているEC2インスタンス同士が通信できるようにする構成が作れる
・ネットワークACLはインバウンドルール・アウトバウンドルールを編集する。それぞれ最大20個まで設定できる。
・ネットワークACLの既定は「すべての通信が通る」構成となっている。
・1つのサブネットに設定できるネットワークACLは1つだけ。
・ネットワークACLは順序の若い番号から順に適用される
・ステートレス(応答を返すポートが1024~65535)のためアウトバウンドが許可されていないと応答パケットが通らなくなる。
・ルールは最後に全て拒否が必ず入るため許可ルールを明示しないとパケットは通らない
・ネットワークACLはサブネットに対するアクセス制限(IP制限など)を設定したい時に利用する。


◆VPCと他のネットワークとの接続

・非VPCのサービス(S3やDynamoDBなど)との通信はインターネットゲートウェイ・NATゲートウェイ・VPCに穴を開けるなどして接続する。
・S3バケットにaws:SourceVpceポリシーを構成すると特定のVPNエンドポイントからしかアクセスdけいないように構成できる(パブリックなIPからのアクセスを禁止できる)
・ゲートウェイエンドポイントをVPCに設定する事でプライベートIPアドレスしか割り当てられていないネットワークからもS3に接続できる。追加の費用もかからない。
・ゲートウェイエンドポイントに対応しているのはS3とDynamoDBのみ
・他のネットワークからVPCを経由してゲートウェイエンドポイントに接続はできない。
・インターフェイスエンドポイントを使うと、さまざまなサービスに接続する事ができる(NATみたいに利用できる)
・インターフェイスエンドポイントは費用がかかる(0.014USD/時間+0.01USD/1GB (1PBを超えると金額があがる)
・VPC同士を接続する事が可能
・VPCピアリングは同じAZ内であれば無料
・AWS Transit Gateway は3つ以上のVPCを接続するのに向いている。時間単位+1GB通信単位で費用がかかる。
・VPN接続でVPC同士を接続する。

◆まとめ

リファレンス本ではなく学習本。この書籍を読んだからって本番運用できるAWS環境が作れるかというと疑問はありますが、オンプレでサーバー運用している人がAWSに切り替えるのに勉強するのに関しては、とても向いていると思いました。

以上、「AWSネットワーク入門 第2版|クラウドインフラとネットワーク入門(勉強メモ)」でした。


この記事が気に入ったらサポートをしてみませんか?