AWS ネットワーク
目次
構成図
VPC
Virtual Private Cloud
AWSにおける仮想プライベートネットワーク
アカウント内に1つ以上を構成するルール
各VPCにアクセス先等の制限を設定できる
VPCピアリング
異なるVPC間でのネットワーク接続
異なるリージョンでも可能
VPCエンドポイント
VPC外のAWSリソースとパブリックネットワークを介さずに通信するサービス
アクセス制御
VPCにおけるアクセス制限サービス
セキュリティグループ
EC2、RDS、ECS等のインスタンス単位の通信制御
インスタンスには必ず1つのセキュリティグループを割り当てが必要
対ENI
インバウンド/アウトバウンドルール
| ルール | 機能 | 備考 |
|---|---|---|
| インバウンド | セキュリティグループに入ってくる通信へのルール | |
| アウトバンド | セキュリティグループから出ていく通信へのルール |
NACL
Network Access Control List
サブネット毎の通信制御
対サブネット
サブネット
VPC内に構成する最小のネットワーク
SIDR(IPアドレス範囲)を指定
複数構成可能
EC2等のリソースをサブネット内に配置する
サブネット構成例
10.0.1.0/24…パブリックサブネット(外部アクセス可能)
10.0.2.0/24…プライベートサブネット(外部アクセス不可)
ルートテーブル
サブネット単位での通信に使用するIPアドレステーブル
サブネットの関連付け
ルートテーブルが適用されるサブネットを設定する
ルート
IPまたはSIDR形式のIP範囲毎の転送先
送信先
特定のIP、またはCIDR形式での範囲でIPアドレスを指定
ターゲット
| ターゲット | 機能 | 備考 |
|---|---|---|
| ローカル | 同一VPC内のリソースと通信する場合 | |
| インターネット ゲートウェイ |
パブリックサブネット内のリソースがインターネットと通信する場合 | |
| NAT ゲートウェイ |
プライベートサブネット内のリソースがインターネットと通信する場合 |
構成例
関連付け=Publicサブネットの場合
| 送信先 | ターゲット | 通信方向 | 備考 |
|---|---|---|---|
| 10.0.0.0/10 | local | 外部→AWSリソース | 送信先にはPrivateIP |
| 0.0.0.0/0 | Internet Gateway | AWSリソース→外部 | 上段以外のパターンを指定 PrivateIP以外が送信先の場合は外部へ転送 |
Privateサブネットの場合
| 送信先 | ターゲット | 通信方向 | 備考 |
|---|---|---|---|
| 10.0.0.0/10 | local | 外部→AWSリソース | 送信先にはPrivateIP |
| 0.0.0.0/0 | NAT Gateway | AWSリソース→外部 | 上段以外のパターンを指定 PrivateIP以外が送信先の場合は外部へ転送 |
ゲートウェイ
VPCがインターネット等の外部ネットワークと通信する為のサービス
インターネットゲートウェイ
インターネット用ゲートウェイ
VPCにアタッチする
NATゲートウェイ
サブネット、ElasticIPをアタッチする
IPアドレスを持たないPrivateサブネットのインスタンス(RDS等)が外部へ出ていく際に利用
外部に出ていく際、自身のPrivateIPとNAT GatewayのGlobalIPを変換する
https://office-yone.com/router/#NAT
リージョン
AWSの拠点
リージョンによってアクセス速度、価格が変わる
VPCには1つのリージョンを設定する
アベイラビリティゾーン
Availability Zone
AZ
リージョン内に2つ以上ある物理的に独立したネットワーク
冗長構成の為にネットワーク内に配置する
ENI
Elastic Network Interface
仮想ネットワークカード
EC2等リソース毎に1つ割り当てられるサービス
パブリックIPとプライベートIPの変換を行う
インスタンス起動時にサブネットに設定されたSIDRからプライベートIPアドレスが割り当てられる
外部に接続する場合はパブリックIPアドレスがAWSから自動で割り当てられる。
ロードバランサー
ELB
Elastic Load Balancing
3つの機能
・リクエストの分散処理
・SSL処理
・不正リクエスト処理
種類
| 種類 | 機能 | 備考 |
|---|---|---|
| ALB | HTTP/HTTPS通信用 | Application Load Balancer WEBサーバ、REST APIサーバで利用 |
| NLB | TCP/UDP/TLS通信用 | Network Load Balancer リクエストが多い等、ゲーム、チャットサービスで利用 |
| CLB | 上記サービス利用前に使用 | Classic Load Balancer |
リスナー
プロトコル(HTTP等)からリクエストを受け付ける機能
リクエストを更にどこへ転送するか?の設定
ターゲットグループを指定する
ターゲットグループ
振り分け先の設定
Privateサブネットを割り当てる
ロードバランサーの外部からのリクエストに対する、転送先の設定
ロードバランサー + リスナー + ターゲットグループを全てセットして初めて、外部からのリクエストがPrivagteサブネット内のインスタンスに到達する
