VPC

VPCの料金

無料。NATはかかる。

 

●ネットワークASLとセキュリティグループ

○ネットワーク ACL 

☆サブネットに適用され、初期設定がインバウンド、アウトバウンド全て許可。

☆ルールは番号で評価されており、『小さい順』から評価されていく。

100番が全てのトラフィックを許可。

どの許可ルールにもマッチしない場合は✳︎DENYが存在して拒否される。

外部からパブリックサブネットに攻撃を受けている時にサブネット単位でブロックする。

インバウンド、アウトバウンドで設定ができるためステートレス

 

○セキュリティグループ

 EC2 、ELB、RDS等のインスタンスにセットされ、

☆初期設定ではインバウンドが全て拒否、アウトバウンドが全て許可。

SSHの設定を2つしたのならより広い範囲の設定が反映される。

通信をアウトバウンドで許可したならインバウンドも許可される。

CIDRでのアクセス制御が可能

インバウンドもアウトバウンドも同じ設定となるためステートフル

 

○セキュリティグループのソースにセキュリティグループ

プロコトル指定後、ソースを指定してCIDRブロックが記載できるほかに、

「セキュリティグループそのもの」を送信元として記載できます。

ENIにセキュリティグループが関連付いているため、

☆送信元セキュリティグループに関連付けられたネットワークインターフェイスからのトラフィックが許可される。

そのためそのセキュリティグループを設定されているインスタンスからのみ設定が可能。

パブリックIP(EIPは固定)は可変である。

auto scaling時に手動で設定などはしていては話にならないため、この設定を行う。

 

○使い分けのベストプラクティス

EC2インスタンス間のトラフィック制御にはセキュリティグループが適しています。

セキュリティグループで対策していって大きなところはネットワークACLを使用する。

 

VPCDNS

DNS Hostname

有効にすると起動されるインスタンスにパブリックDNSホスト名が付与される。

Route 53 Resolver サーバーが名前解決してくれるためDnsSupportもオンにする。

・DnsSupport

Route 53 Resolver サーバー

 (パブリック DNS ホスト名を IP アドレスに解決します) が有効になる。

 

● Direct Connect

※APN=AWS Partner Network(AWSが契約している企業)

オンプレ環境から専用線を返してDirect Connectロケーション(ユーザが契約したキャリアとAWSが接続する場所)に接続してAWSへプライベートに接続するサービス

これはAWSへの申請と設定などが必要不可欠

ポートあたり1G/10Gbps

 

○接続方法

・Direct Connectロケーションに自身で機器を設置する場合

ハウジングでルーターなどの機器を設置する
・Direct ConnectロケーションからAPNパートナーの専用線で接続する場合(これが多い)
・APNパートナーの閉域網(IP-VPN網、モバイル網等)経由で接続する場合です。

複数拠点からAWSクラウドに接続することができます。

 

○Direct Connect gateway

Direct Connectを契約してDirect Connect GatewayをいずれかのAWSリージョンに作成すると、

AWSの全リージョン に複製され、相互接続できる。

AWSのプライベートネットワークを経由するので、高速でセキュア

☆同一リージョン内に複数の VPC がある場合は Transit Gatewayを選択

☆ひとつのDirect Connectロケーションを指定して複数のリージョンにアクセスする

参考:

https://dev.classmethod.jp/articles/direct-connect-gateway/

 

○VIF

物理接続の中に、AWSリソースにアクセスするための論理インターフェイスをひく必要があり、これをVIF

Public VIF=AWSのパブリックサービスへパブリックIPを介した接続を提供する

Private VIF=VPCへプライベートアドレスを介した接続を提供する

Transit VIF=Direct Connect Gateway経由でTransit Gateway への接続を提供する

 

○耐障害性の高いソリューション

複数のDirect Connectロケーションを使い、1つのロケーションに問題があった場合の対策が可能。

 

VPNとDirect Connectの比較

VPNの方が安く素早く利用できるが、信頼性や品質は専用線が勝る

 

全体参考:

https://dev.classmethod.jp/articles/re-introduction-2020-direct-connect/

 

VPCエンドポイント

グローバルIPを持つAWSサービスに対して、VPC内から直接アクセスするための出口

Gateway

ルートテーブル(ルーティング設定)を書き換えてのゲートウェイ経由でサービスへアクセスする。

アクセス制御はアクセスポリシーで行う

S3とDynamoDBのみ

・PrivateLink型(インターフェイス型)

PrivateLink の実体はVPC内のENI(Elastic Network Interface) になります。

PrivateLink自体がIPアドレスを持ってVPCの中にエンドポイントが出来ます。

アクセス制御はセキュリティーグループで行う

S3・DynamoDB『以外』のAWSプリンシパルサービスや独自サービスにアクセス可能

 

VPC Peering

異なるVPCを接続することが出来ます。

☆異なるAWSアカウント間のVPC間を接続可能

一部のリージョン間の異なるVPC間の接続も可能

VPC内でのEC2アクセス間での通信が可能

VPC-B   VPC-C

  ↓    ↑

            VPC-A

上記のピアリング接続が存在したとして、B-C間の接続はできない。

オンプレ、AWSサービスでも同様。

 

VPC フローログ

ネットワークトラフィックをキャプチャし、データをCloudWatch Logs、S3でモニタリングできるサービス

・リアルタイムのログストリームはキャプチャされません。

・ネットワークインタフェースを送信元/送信先とするトラフィックが対象

VPC、サブネット、あるいはネットワークインターフェイス(ENI)のいずれかに作成します

・他の AWS のサービスによって作成されたENIのフローログを作成可能

☆異なるAZまたは異なるアカウントでログを管理する際に使う。複数のvpcフローログを1つのs3バケットへ集約する。

 

●ENI(ネットワークインターフェイス

インスタンスがネットワークにアクセスするための情報が記載されている。

紐付いているVPC、サブネットなどが表示されている。

セキュリティグループもここに付与されている。

☆ネットワークインターフェイスにIPが付与されている。

そのためENIを2つインスタンスにアタッチするとプライベートIPが二つになる。

アタッチの呼び名

・実行中のアタッチ=ホットアタッチ

・停止中のアタッチ(ウォームアタッチ)

インスタンスが起動中のアタッチ(コールドアタッチ)

 

●Transit Gateway

https://recipe.kc-cloud.jp/archives/16886

Transit Gatewayは複数のVPCと複数のオンプレミス環境同士の連結を束ねる

中央ネットワークハブのような役割を果たしています。

 

●NAT Gateway

NATは1対1にプライベートIPをプライベートIPに変換している

NTAグローバルなIPをもつ必要が存在する。

NATは外部と通信するため0.0.0.0に構成する。

0.0.0.0/0はすべてのIPアドレスからの接続を許可する。

☆プライベートサブネットからインターネットへ接続(アウトバウンド接続)できますが、

インターネットからサブネットへのインバウンド接続はできません。

NATはパブリックサブネットにつける。

プライベートサブネットのアウトバウンド通信を制御するものなのでパブリックサブネットにつける。

パブリックモードの場合はElasticIPを割りあてることが可能

☆プライベートモードは他のVPCやオンプレ環境に届ける役割で使用される。

 

●Virtual Private GatewayとCustomer Gateway

 

・Virtual Private Gateway

AWS側のVPCの出入り口

☆Direct Connectと組み合わせて使用することで、Direct Connect回線を通過するすべてのデータを暗号化することができます.

Virtual Private GatewayVPCにアタッチしてルートテーブルにアタッチする。

 

・Customer Gateway

☆オンプレ側のゲートウェイ

☆オンプレミス環境のルーターのIPやAS番号、暗号化のための証明書を記入する画面が出てくる。

AWSで設定する。

 

ゲートウェイ参考資料

https://blog.serverworks.co.jp/aws-gateways-1

 

●ElasticIP

・料金が発生しない場合

起動しているEC2インスタンスで、EIPを1つだけ使用している場合は料金が発生しない。

☆ 1つ目のEIPのみが無料、2つ目以降は有料となる。

関連付けたEC2が動作中は無料、動作していなければ有料。

EC2に割り当てしなくても料金は発生する。

最大5個まで取得可能。

・IPフローティング

パブリックIPの付け替えを自動で行う機能

数秒のダウンタイムが起きる。

AZを超えて設定可能

EIP付け替えはAPIで行えるため、これか監視ソフトと組みあわせて、自動化を行うこともできる。

 

●IPの基礎(復習)

IPアドレスは重複の許されない32ビットデータ

IPの利用範囲は0.0.0.0〜255.255.255.255

10進数で明記

255の理由は8桁2進数のMAX値

2進数32ビット 4*8

 

サブネットマスク(CIDR)

AWSVPC内で設定できるCIDR範囲として、/16(65536個)から/28(16個)までが利用可能

☆外部のIPを指定する場合は/32を指定して一意のものとする

サブネットではネットワーク部を変える。プライベートIPをEC2等に振り分ける。

○概要

IPアドレス(10.0.0.0)+サブネットマスク(/16)がIPの範囲を決める。

10.0.1.0/16と10.0.1.0/24はサブネットが違うためネットワークの範囲が違う。

・10.0.1.0/8の場合

10.のIPアドレス部のロックして他の数だけプライベートIPをロック

・10.0.1.255/24の場合、

10.0.1. までロックされているため、256のプライベートIPが使用可能

10.0.1.    までがサブネットマスクに固定されているネットワーク部

          . 255が利用可能なホスト部

 

●用語

フォールトトレランス=問題が発生した時も常に動く仕組みを構成すること

静的IPアドレス=常に変化しないIPアドレス