[SAA資格勉強]VPCを学んでみた①

SHARE

はじめに

FundastA Inc.の鈴木です。

現在、 AWS ソリューションアーキテクトアソシエイト試験合格に向け AWS について勉強中です。

今回は VPC について勉強したことを備忘録として、記述していきます。

VPC とは

  • 自分専用の領域を切り出してくれる仮想ネットワーク
  • VPC とサブネットの組合せでネットワーク空間を構築する
  • VPC はサブネットとのセットが必須
VPCイメージ図

VPC 設定手順

  1. VPC を設定
  2. サブネットを作成
  3. インターネット経路を設定
  4. VPC へのトラフィック許可の設定

VPC 設計ポイント

  • 将来を見据えたアドレッシング
  • CIDR は組織構成やシステム構成の将来像も考えながら前持って計画する。
  • VPC 構成は自社業務に合わせた VPC 全体の関係性も視野に組織とシステム境界からどのように分割するのか興梠氏検討する。
  • 複数の AZ を利用し可用性の高いシステムをセキュリティグループを使用し、リソース間のトラフィックを適切に制御する。
  • サブネットは大きいサブネットを使用し、パブリック/プライベートサブネットへのリソースの配置をインターネットアクセス可否から検討する。
  • 実装や運用を補助するツールも有効利用し、VPCFlowLogs を使用しモニタリングする。

CIDR(Classless Inter-Dormain Routing)

CIDR を設定してプライベートネットワークをサブネットに分けることができる。
サブネットマスクの値を設定し、同じネットワークとして扱う IP アドレスの個数を調整できる IP アドレスの設定方法

VPC に関わる用語

サブネット

VPC の中にさらに小さなネットワークを作っているもの。

サブネットは VPC 内に複数設置でき、プライベートとパブリッ クに分かれています。一般的に VPC に CIDR/16 を設定し、サブネットに /24 の設定が 推奨されている。

  • パブリックサブネット
    • インターネットゲートウェイにルーティングされているサブネット
  • プライベートサブネット
    • インターネットゲートウェイにルーティングされていないサブネット

IP アドレス

インターネット上の住所のようなもの
IP アドレスは重複が許されない。
2 進法 32 ビットで表記される。
IPv4 から IPv6 も使用されつつある。

例:192.168.1.0

グローバル IP アドレス

世界で重複のない一意の IP アドレス
  • インターネット上でのやり取りに利用される IP アドレス
  • ICANN が管理する。
  • 重複不可

プライベート IP アドレス

オフィスや家庭内だけで使用されるアドレス

NAT ゲートウェイ

プライベートサブネットからの返信トラフィックは NAT ゲートウェイを介して、変換されてインターネットゲートウェイに送ることができ、インターネットへの返信が可能となる。

ネットワーク ACL

ステートレスなファイアウォールのこと。サブネット単位で適用され、デフォルトでは全ての送信元IPを許可する。

セキュリティグループ

ステートフルなファイアウォールのこと。
デフォルトで許可されているのは同じセキュリティグループ内通信のみ(外からの通信は禁止)。
・ステートレス( stateless ):前後の状態に依存しない
・ステートフル( stateful ):前後の状態を保持している

VPC イメージ図

 

こちらが VPC を作成した際のイメージ図の一例です。

ページ最初に乗せたイメージ図とは違いネットワーク ACL やNAT ゲートウェイを設定するとこのようなアーキテクチャ図になります。

おわりに

VPC の概要と関連する用語を記載しました。

私は VPC は多くの用語が出てきたり、それがアーキテクチャ図ではどこで使用するのかわからなかったためイメージ図を記載しました。

まだ記載できていない「外部接続」や「 ElasticIP 」などがありますので、また別の記事に書きたいと思います。

ご覧いただきありがとうございます。

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

CAPTCHA


前の記事

[SAA資格勉強]S3を学んでみた②

次の記事

[SAA資格勉強]EC2を学んでみた