VPC
VPCの概要
Virtual Private Cloud(VPC) VPCはAWSクラウド内に論理的に分離されたセクションを作り、ユーザーが定義した仮想ネットワークを構築するサービス
・任意のIPアドレス範囲の選択して仮想ネットワークを構築 ・サブネット作成、ルートテーブルやネットワークゲートウェイの設定など仮想ネットワーキング環境を完全に制御可能 ・必要に応じてクラウド内外のネットワーク同士を接続することも可能 ・複数の接続オプションが利用可能
VPCとの接続
Direct Conect
お客様のデータセンターやオフィスを専用線などを介してAWSへプライベートに接続するサービス
◾️メリット ・安価なアウトバウンドトラフィック料金 ・ネットワーク信頼性の向上 ・ネットワーク帯域幅の向上
Direct Connectロケーションに物理的に自社オンプレ環境を接続することでAWS環境との専用線接続を実現する
Direct Connect gateway
同一アカウントに所属する複数リージョンの複数AZから複数リージョンの複数VPCに接続
VPNとDirect Connect
VPNの方が安く素早く利用できるが、信頼性や品質は専用線が勝る
VPCエンドポイント
グローバルIPをもつAWSサービスに対して、VPCないから直接アクセスするための出口
Gateway型
サブネットに特殊なルーティングを設定し、VPC内部から直接外のサービスと通信する ◾️特徴 ・アクセス制御:エンドポリシーを設定 ・料金:無料 ・冗長性:AWS側が対応
PrivateLink型
サブネットにエンドポイント用のプライベートIPアドレスを生成し、DNSが名前解決でルーティングする ◾️特徴 ・アクセス制御:セキュリティグループを設定 ・料金:有料 ・冗長性:マルチAZ設計
NATゲートウェイ
プライベートサブネットのリソースがインターネットまたはAWSクラウドと通信が可能になる ◾️特徴 ・AWSによるマネージドNATサービス ・EIPの割り当て可能 ・最大10Gbpsの高パフォーマンス ・ビルトインで冗長化されている高可用性 ・アベイラビリティーゾーン毎に設置する
VPC Flow logs
ネットワークトラフィックを取得しCloudWatchでモニタリングできるようにする機能 ・ネットワークインターフェースを送信元 / 送信先とするトラフィックが対象 ・セキュリティグループとネットワークACLのルールでaccepted / rejectされたトラフィックログを取得 ・キャプチャウィンドウと言われる時間枠(約10分間)で収集、プロセッシング、保存する ・RDS、Redshift、ElasticCache、WorkSpacesのネットワークインタフェーストラフィックも取得可能 ・追加料金はなし
VPCの設定上限
・リージョンあたりのVPCの上限数 5 ・VPC当たりのサブネットの上限数 200 ・AWSアカウント当たりの1リージョン内のElasticIP数 5 ・ルートテーブル当たりのルート上限数 100 ・VPC当たりのセキュリティグループの上限数 500 ・セキュリティグループ当たりのルールの上限数 50
VPCを分割するケース
・アプリケーションによる分割 ・監査のスコープによる分割 ・リスクレベルによる分割 ・本番/ 検証 / 開発フェーズによる分割 ・部署による分割 共通サービスの切り出し
VPC Peering
・異なるAWSアカウント間のVPC間をピア接続可能 ・一部リージョン間の異なるVPC間のピア接続も可能 ・単一障害点や帯域幅のボトルネックは存在しない