VPCについて
VPCの概要
Virtual Private Cloud(VPC) VPCはAWSクラウド内に論理的に分離されたセクションを作り、ユーザーが定義した仮想ネットワークを構築するサービス
・任意のIPアドレス範囲の選択して仮想ネットワークを構築 ・サブネットの作成、ルートテーブルやネットワークゲートウェイの設定など仮想ネットワーキング環境を完全に制御可能 ・必要に応じてクラウド内外のネットワーク同士を接続することも可能 ・複数の接続オプションが利用可能 →インターネット経由 →VPN / 専用線(Direct Connect)
VPNとのDirect Connect
VPNの方が安く素早く利用できるが、信頼性や品質は専用線が勝る
◾️コスト ・VPN 安価なベストエフォート回線が利用可能
・専用線 キャリアの専用線サービス契約が必要となりVPNより割高
◾️リードタイム ・VPN クラウド上での接続設定で可能なため即時
・専用線 物理対応が必要なため数週間
・専用線 ポートあたり1G / 10Gbps
◾️品質 ・VPN インターネット経由のためネットワーク状態の影響を受ける
・専用線 キャリアにより高い品質が保証される
◾️障害切り分け ・VPN インターネットベースのため自社で保持している範囲以外の確認は難しい
・専用線 物理的に経路が確保されているため比較的容易
VPCエンドポイント
VPCエンドポイントはグローバルIPをもつAWSサービスに対して、VPC内から直接アクセスするための出口
Gateway型はサブネットに特殊なルーティングを設定し、VPC内部から直接外のサービスと通信する ◾️特徴 ・アクセス制御:エンドポイントポリシーを設定 ・料金:無料 ・冗長性:AWS側が対応
PrivateLink型はサブネットにエンドポイント用のプライベートIPアドレスを生成し、DNSが名前解決でルーティングする
◾️特徴 ・アクセス制御:セキュリティグループを設定 ・料金:有料 ・冗長性:マルチAZ設計
VPC Flow logs
VPC Flow Logsはネットワークトラフィックを取得しCloudWatchでモニタリングできるようにする機能
・ネットワークインターフェイスを送信元 / 送信先とするトラフィックが対象
・セキュリティグループとネットワークACLのルールでaccepted / rejectされたトラフィックログを取得
・キャプチャウインドウと言われる時間枠(約10分間)で収集、プロセッシング、保存する
・RDS、Redshift、ElasticCache、WorkSpacesのネットワークインタフェーストラフィックも取得可能
・追加料金はなし
VPCの設定上限
VPCの各種設定においては上限数があるため、大規模に利用する場合は考慮する必要がある
・リージョンあたりのVPCの上限数 5 ・VPCあたりのサブネットの上限数 200 ・AWSアカウントあたりの1リージョン内のElasticIP数 5 ・ルートテーブルあたりのルート上限数 100 ・VPCあたりのセキュリティグループの上限数 500 ・セキュリティグループあたりのルールの上限数 50
VPCを分割するケース
アプリサービスや組織構成などの用途に応じてVPCを分割する
・アプリケーションによる分割 ・監査のスコープによる分割 ・リスクレベルによる分割 ・本番、検証、開発フェーズによる分割 ・部署による分割、共通サービスの切り出し
VPC Peering
VPC Peeringにより2つのVPC間でのトラフィックルーティングが可能
・異なるAWSアカウント間のVPC間をピア接続可能 ・一部のリージョン間の異なるVPC間のピア接続も可能 ・単一障害点や帯域幅のボトルネックは存在しない