→Amazon Web Service
→AWS EC2
→AWSストレージ関連
→AWS その他のサービス
→IaC(Infrastructure as Code)
- VPC上で構成できる3つのサブネット
- publicサブネット
- publicサブネットではインターネットゲートウェイへのルーティングが設定されており、直接インターネットとのやり取りが可能です。
- ElasticIPを割り振ることでEC2インスタンス、ELB、NATゲートウェイが外部からの通信を受け入れることが可能です。
- privateサブネット
- privateサブネットでは外部との通信はNATゲートウェイを介して行われます。
- インターネットゲートウェイへのルーティングがなく、基本的にはインターネットからのアクセスはありません。
- なので、publicサブネットを介して通信が行われることがあります。
- isolatedサブネット
- isolatedサブネットはローカルとの通信しかできません。
- ここではpublic、privateとの相互通信が可能です。
- DBなど外部への通信が不要で、ローカルなマシンとのみ通信が必要なリソースがしばしば設置されます。
Tips†
- VPC CIDR ブロック - Amazon Virtual Private Cloud 2023.7
- 一部の AWS サービスは、172.17.0.0/16 CIDR 範囲を使用します。将来競合が発生しないように、VPC を作成するときはこの範囲を使用しないでください。例えば、AWS Cloud9 または Amazon SageMaker のようなサービスでは、172.17.0.0/16 IP アドレス範囲がネットワークのどこかで既に使用されている場合に、IP アドレスの競合が発生する可能性があります。詳細については、「AWS Cloud9 ユーザーガイド」の「VPC の IP アドレスを Docker が使用しているため、EC2 環境に接続できません」を参照してください。
VPCエンドポイント†
IPAM(IP Address Manager)†
DHCPオプションセット†
- VPC内でのPrivate IPの扱いについて考えてみた 2016
- 通常AWSのVPC内のEC2インスタンスのネットワーク設定の場合、OS側のIP設定は、DHCPにするのが基本
- ENIの作成時に、IPアドレス指定した場合は、そのIPが固定で割り当てられます(指定しない場合は、使用可能なIPアドレスが自動的に選択されます)
- インスタンスが停止し、再開された場合も、 IP アドレスとENIの関連付けが維持されます
- 固定IPにすると、EC2インスタンスを横展開する目的などで、AMIを取得し、それをもとに別のサブネットにEC2インスタンスを作成する場合に問題が生じる
入門記事†
トラフィック制御†
- 【AWS】ネットワークACLとセキュリティグループの使い分け|櫻田貴士|note 2020.5
- ネットワークACLは、サブネットに対して1つのみ設定可能
- ネットワークACLはステートレスのため、戻りのトラフィックも意識して設定する必要があります。
- セキュリティグループはEC2インスタンスなどに適用するファイアウォール機能
- セキュリティグループはステートフルのため、戻りのトラフィックを意識して設定する必要はありません。
- ?ネットワークACLでは、L3レベルでのトラフィック制御のみを行う。
- ?ネットワークACLでは、基本的にネットワークセグメント単位でトラフィック制御を行う。
- ?セキュリティグループでは、L4レベルでのトラフィック制御を行う。
- ?セキュリティグループでは、基本的にIPアドレスとポート番号でトラフィック制御を行う。
- SGでEC2にファイアウォールかましているのにACLでもやるっていうのは、うっかりSGに穴が開いていたときの保険という意味がある。
- VPC内をサブネットで区切った場合、通常のネットワークならサブネット間はルーティングしないとつながらないが、VPC内であればルーティングしなくてもつながるという違いがある
VPC Lattice†
ELB(Elastic Load Balancing)/ALB†
Network Access Analyzer†