• イメージ図
• 用語
  • VPC（Amazon Vertual Private Cloud）
    • 作成
  • サブネット
    • サブネットの分割基準
      • パブリックサブネット
      • プライベートサブネット
    • サブネット間通信
  • インターネットゲートウェイ
  • ルートテーブル
  • セキュリティグループ
    • セキュリティグループの作成
  • ネットワークACL
  • NATゲートウェイ（NATインスタンス）
  • ダイレクトコネクト
  • VPCピアリング接続

AWSクラウド上にシステムを構成する際の、ネットワーク設定の基本を調べてみました。

イメージ図

用語

VPC（Amazon Vertual Private Cloud）

• AWSクラウド内に構築する、プライベートなネットワーク環境のこと
  • 標準的なネットワーク構成の設定ができる
  • ネットワーク構成やトラフィックを完全にコントロールすることができる

作成

• 選択したリージョン内に複数のAZ（アベイラビリティーゾーン）を横断して作成することができる。
• IPアドレスの範囲をCIDR（Classless Inter-Domain Routing）で定義します。

サブネット

• VPCで設定したアドレス範囲をサブネットに分けて定義します。

• 作成するときにアベイラビリティーゾーンのIPアドレス範囲を定義する。

  • IPアドレス範囲はVPCで定義した範囲内で定義する必要がある。
  • 同一VPC内のほかのサブネットと重複してはいけない。

• 以下はAWSによって予約されているIPアドレスです

  IPアドレス	用途
  **.**.**.0	ネットワークアドレス
  **.**.**.1	VPCルーター用
  **.**.**.2	AWSで予約
  **.**.**.3	AWSで予約
  **.**.**.n（最後）	ネットワークブロードキャストアドレス

サブネットの分割基準

• インスタンスなどのリソースの役割に応じて分ける
  • 特別な要件がない限り、以下の二つのサブネットに分割する
    • パブリックサブネット： インターネットに対して直接ルートを持つ
    • プライベートサブネット： インターネットに対して直接ルートを持たない

パブリックサブネット

• インターネットゲートウェイへのルートを持つルートテーブルに関連付けられている
• 内部のインスタンスなどのリソースは、外部と直接通信ができる

プライベートサブネット

• インターネットゲートウェイへのルートを持たないルートテーブルに関連付けられている
• 内部のインスタンスは外部アクセスから保護できる

サブネット間通信

• 各サブネットの間にはローカル接続のルートがある
  • プライベートサブネット内のリソースはパブリックサブネット内のリソースと通信できる

インターネットゲートウェイ

• VPCとパブリックインターネットを接続するためのゲートウェイ。
• VPC1つに1つだけ作成可能。

ルートテーブル

• サブネットの経路を設定するテーブル
• サブネット内のリソースがどこに接続できるかを管理する

セキュリティグループ

• 仮想ファイアウォール機能
  • VPC内のリソースのトラフィックを制御する
  • 1つのセキュリティーグループを複数のインスタンスに設定できる

セキュリティグループの作成

• VPCを指定して作成する
• デフォルトではインバウンド（受信）のアクセスがすべて拒否
  • 許可するインバウンドポートと送信元を設定するホワイトリスト
  • 送信元にはCIDRか他のセキュリティーグループIDを指定する

ネットワークACL

• サブネットに対して設定する仮想ファイアウォール機能
• サブネット内のすべてのリソースに対してのトラフィックに影響がある
• デフォルトですべてのインバウンドとアウトバウンドが許可されている
  • 拒否するインバウンドポートと送信元を設定するブラックリスト

NATゲートウェイ（NATインスタンス）

• VPC内に構成したプライベートサブネットからインターネットに接続するためのゲートウェイ
• プライベートサブネットに配置したシステムが、これを経由することでインターネットに安全に出れるようになる

ダイレクトコネクト

• AWSとデータセンターの間でプライベートなネットワーク接続を確立する
  • 帯域を確保する
  • セキュリティ要件、コンプライアンス要件を確保する

VPCピアリング接続

• 複数のVPCを接続する