AWS ネットワーク(VPC/ELB)

構成図

VPC

Virtual Private Cloud

AWSにおける仮想プライベートネットワーク
アカウント内に1つ以上を構成するルール
各VPCにアクセス先等の制限を設定できる

アクセス制御

VPCにおけるアクセス制限サービス

セキュリティグループ

EC2、RDS、ECS等のインスタンス単位の通信制御
インスタンスには必ず1つのセキュリティグループを割り当てが必要
ENI

インバウンド/アウトバウンドルール
ルール 機能 備考
インバウンド セキュリティグループに入ってくる通信へのルール
アウトバンド セキュリティグループから出ていく通信へのルール

NACL

Network Access Control List
サブネット毎の通信制御
サブネット

サブネット

VPC内に構成する最小のネットワーク
SIDR(IPアドレス範囲)を指定
複数構成可能
EC2等のリソースをサブネット内に配置する

サブネット構成例
10.0.1.0/24…パブリックサブネット(外部アクセス可能)
10.0.2.0/24…プライベートサブネット(外部アクセス不可)

ルートテーブル

サブネット単位での通信に使用するIPアドレステーブル

サブネットの関連付け

ルートテーブルが適用されるサブネットを設定する

ルート

IPまたはSIDR形式のIP範囲毎の転送先

送信先

特定のIP、またはCIDR形式での範囲でIPアドレスを指定

ターゲット
ターゲット 機能 備考
ローカル 同一VPC内のリソースと通信する場合
インターネット
ゲートウェイ
パブリックサブネット内のリソースがインターネットと通信する場合
NAT
ゲートウェイ
プライベートサブネット内のリソースがインターネットと通信する場合
構成例

関連付け=Publicサブネットの場合

送信先 ターゲット 通信方向 備考
10.0.0.0/10 local 外部→AWSリソース 送信先にはPrivateIP
0.0.0.0/0 Internet Gateway AWSリソース→外部 上段以外のパターンを指定
PrivateIP以外が送信先の場合は外部へ転送

Privateサブネットの場合

送信先 ターゲット 通信方向 備考
10.0.0.0/10 local 外部→AWSリソース 送信先にはPrivateIP
0.0.0.0/0 NAT Gateway AWSリソース→外部 上段以外のパターンを指定
PrivateIP以外が送信先の場合は外部へ転送

ゲートウェイ

VPCがインターネット等の外部ネットワークと通信する為のサービス

インターネットゲートウェイ

インターネット用ゲートウェイ
VPCにアタッチする

NATゲートウェイ

サブネット、ElasticIPをアタッチする

IPアドレスを持たないPrivateサブネットのインスタンス(RDS等)が外部へ出ていく際に利用
外部に出ていく際、自身のPrivateIPとNAT GatewayのGlobalIPを変換する

https://office-yone.com/router/#NAT

リージョン

AWSの拠点
リージョンによってアクセス速度、価格が変わる
VPCには1つのリージョンを設定する

アベイラビリティゾーン

Availability Zone
AZ

リージョン内に2つ以上ある物理的に独立したネットワーク
冗長構成の為にネットワーク内に配置する

ENI

Elastic Network Interface
仮想ネットワークカード

EC2等リソース毎に1つ割り当てられるサービス
パブリックIPとプライベートIPの変換を行う

インスタンス起動時にサブネットに設定されたSIDRからプライベートIPアドレスが割り当てられる
外部に接続する場合はパブリックIPアドレスがAWSから自動で割り当てられる。

ロードバランサー

ELB
Elastic Load Balancing

3つの機能
・リクエストの分散処理
・SSL処理
・不正リクエスト処理

種類

種類 機能 備考
ALB HTTP/HTTPS通信用 Application Load Balancer
WEBサーバ、REST APIサーバで利用
NLB 多様な通信用 Network Load Balancer
ゲーム、チャットサービスで利用
CLB 上記サービス利用前に使用 Classic Load Balancer

リスナー

プロトコル(HTTP等)からリクエストを受け付ける機能
リクエストを更にどこへ転送するか?の設定
ターゲットグループを指定する

ターゲットグループ

振り分け先の設定
Privateサブネットを割り当てる

ロードバランサーの外部からのリクエストに対する、転送先の設定
ロードバランサー + リスナー + ターゲットグループを全てセットして初めて、外部からのリクエストがPrivagteサブネット内のインスタンスに到達する

Follow me!

前の記事

AWS セキュリティ