AWS VPC

→Amazon Web Service

→AWS EC2

→AWSストレージ関連

→AWS その他のサービス

→IaC(Infrastructure as Code)

基本†

• VPC上で構成できる３つのサブネット
  • publicサブネット
    • publicサブネットではインターネットゲートウェイへのルーティングが設定されており、直接インターネットとのやり取りが可能です。
    • ElasticIPを割り振ることでEC2インスタンス、ELB、NATゲートウェイが外部からの通信を受け入れることが可能です。
  • privateサブネット
    • privateサブネットでは外部との通信はNATゲートウェイを介して行われます。
    • インターネットゲートウェイへのルーティングがなく、基本的にはインターネットからのアクセスはありません。
    • なので、publicサブネットを介して通信が行われることがあります。
  • isolatedサブネット
    • isolatedサブネットはローカルとの通信しかできません。
    • ここではpublic、privateとの相互通信が可能です。
    • DBなど外部への通信が不要で、ローカルなマシンとのみ通信が必要なリソースがしばしば設置されます。

• Amazon VPC とは_ - Amazon Virtual Private Cloud

Tips†

• Transit Gatewayを設定して、同一リージョン内の複数VPC間でEC2インスタンス同士の通信を行ってみた | DevelopersIO 2023.8

• VPC CIDR ブロック - Amazon Virtual Private Cloud 2023.7
  • 一部の AWS サービスは、172.17.0.0/16 CIDR 範囲を使用します。将来競合が発生しないように、VPC を作成するときはこの範囲を使用しないでください。例えば、AWS Cloud9 または Amazon SageMaker のようなサービスでは、172.17.0.0/16 IP アドレス範囲がネットワークのどこかで既に使用されている場合に、IP アドレスの競合が発生する可能性があります。詳細については、「AWS Cloud9 ユーザーガイド」の「VPC の IP アドレスを Docker が使用しているため、EC2 環境に接続できません」を参照してください。

• AWSリソース間をインターネット経由で通信したらどこ通るか見てみる - サーバーワークスエンジニアブログ 2023.5

• Amazon VPCとサブネットの設計のポイントについて - サーバーワークスエンジニアブログ 2023.4

• VPC ネットワーク内での長時間稼働 TCP 接続の実装 | Amazon Web Services ブログ 2023.4

• VPC内のサブネットやルートテーブルなどのリソースを可視化するリソースマップが追加されました | DevelopersIO 2023.2
  • VPC Resource map

• VPCピアリングを使って別アカウントにあるVPC内のRDSに接続してみた | DevelopersIO 2023.2

• VPC に AWS の DNS サーバーは何台作られるか？ - ForgeVision Engineer Blog 2023.1

• AWSのグローバルIPの空間はインターネットなのか？ - NRIネットコムBlog 2021

• AWS内の通信がインターネットを経由しない今、VPC Endpointを利用する意味はあるのか？ | フューチャー技術ブログ 2022.8

• VPCのサイジングについての失敗談 - エキサイト TechBlog. 2022.7

• 【AWS Systems Manager エンドポイント】プライベートサブネットにあるEC2インスタンスに踏台サーバを使わずにOSログインする方法 - サーバーワークスエンジニアブログ 2022.6

• [アップデート] Amazon VPCが複数のIPv6 CIDRブロックをサポートするようになりました | DevelopersIO 2022.5

• 【アップデート】VPCの作成が新コンソールで超簡単になりました！ | DevelopersIO 2022.5

• [レポート] Shared VPCでスケールネットワークを簡素化する #reinvent #NET322 | DevelopersIO 2019

• iDATEN(韋駄天)｜ やってみようシリーズ：仮想ネットワークを作ってみよう「VPCの作成中にエラーが発生しました」編
  • クォータの上限を増やす申請のやり方

• VPC CIDRブロックをRFC 1918の範囲に限定する方法 (Terraform&CloudFormation) | DevelopersIO 2022.3
  • TerraformおよびCloudFormationでは変数ないしパラメータの検証に正規表現を利用できます。
  • Terraformではconditionブロック内においてcan関数およびregex関数を使用します。
  • CloudFormationではParametersセクションのパラメータにAllowedPatternプロパティを使用します。

• 【AWS】サブネットの空きIPとENIの情報を確認する話 - BFT名古屋 TECH BLOG 2022.2

• 障害調査に備えてオンプレミスと AWS 間のネットワーク監視を行う方法を教えてください | DevelopersIO 2022.2

• AWS VPCエンドポイントについて解説！メリット・料金体系・利用シーンもご紹介 | FEnet AWSコラム 2022.2
  • VPCエンドポイントとは異なるVPCやリージョンにあるAWSサービス同士をインターネットを介さずAWSネットワーク内でつなぐサービス

• IPAMでAWS Organizationで利用しているIPv4アドレスを確認する - Qiita 2023.8
• Amazon VPC IP Address Manager による大規模なネットワークアドレス管理と監査 | Amazon Web Services ブログ 2021
  • 2021 年 12 月 1 日（米国時間）、Amazon VPC IP Address Manager を発表しました。これは、ネットワーク管理者に IP の自動管理ワークフローを提供する新機能です。IPAM を使用すると、ネットワーク管理者は、大規模なネットワークで簡単に IP アドレスの整理、割り当て、モニタリング、監査を行うことができ、管理とモニタリングの負担が軽減され、遅延や意図しないエラーの原因となる手動プロセスが排除されます。

• [アップデート] IPv6オンリーのサブネットとEC2インスタンスを作成出来るようになりました！ | DevelopersIO 2021.11

• AWS DHCP オプションセットを RFC から理解する - the world as code 2019
  • DHCP関連

• VPC内でのPrivate IPの扱いについて考えてみた 2016
  • 通常AWSのVPC内のEC2インスタンスのネットワーク設定の場合、OS側のIP設定は、DHCPにするのが基本
  • ENIの作成時に、IPアドレス指定した場合は、そのIPが固定で割り当てられます（指定しない場合は、使用可能なIPアドレスが自動的に選択されます）
  • インスタンスが停止し、再開された場合も、 IP アドレスとENIの関連付けが維持されます
  • 固定IPにすると、EC2インスタンスを横展開する目的などで、AMIを取得し、それをもとに別のサブネットにEC2インスタンスを作成する場合に問題が生じる

入門記事†

• 【初心者向け】Amazon VPCの作成方法 | DevelopersIO 2023.9
• 【ベストプラクティス】Amazon VPC の構築方法を分かりやすく解説 - Qiita 2022.8
• Amazon VPCを「これでもか！」というくらい丁寧に解説 - Qiita 2022.8
• AWS再入門2022 Amazon VPC編 | DevelopersIO 2022.1

トラフィック制御†

• やりがちなセキュリティグループの危険な設定と改善案 - APC 技術ブログ 2023.4

• 【AWS】ネットワークACLとセキュリティグループの使い分け｜櫻田貴士｜note 2020.5
  • ネットワークACLは、サブネットに対して1つのみ設定可能
  • ネットワークACLはステートレスのため、戻りのトラフィックも意識して設定する必要があります。
  • セキュリティグループはEC2インスタンスなどに適用するファイアウォール機能
  • セキュリティグループはステートフルのため、戻りのトラフィックを意識して設定する必要はありません。
  • ?ネットワークACLでは、L3レベルでのトラフィック制御のみを行う。
  • ?ネットワークACLでは、基本的にネットワークセグメント単位でトラフィック制御を行う。
  • ?セキュリティグループでは、L4レベルでのトラフィック制御を行う。
  • ?セキュリティグループでは、基本的にIPアドレスとポート番号でトラフィック制御を行う。

• SGでEC2にファイアウォールかましているのにACLでもやるっていうのは、うっかりSGに穴が開いていたときの保険という意味がある。
  • あとは対象となる範囲がサーバ単位かセグメント単位かという違い。セグメント内に無駄なパケット流したくないという考え方もあろう
  • 参考：SEC05-BP02 すべてのレイヤーでトラフィックを制御する - セキュリティの柱 2022.11

• Amazon VPC でのインターネットワークトラフィックのプライバシー - Amazon Virtual Private Cloud 2021
  • セキュリティグループ、ACL、フローログ、ミラーリング
  • セキュリティグループもACLもファイアウォールだが、前者はEC2インスタンス単位、後者はVPC単位

• VPC内をサブネットで区切った場合、通常のネットワークならサブネット間はルーティングしないとつながらないが、VPC内であればルーティングしなくてもつながるという違いがある

VPC Lattice†

• VPC Latticeを使ってEC2インスタンス間のサービスネットワークを作成してみた。 | DevelopersIO 2023.8
• Amazon VPC Lattice解説（概要および構成要素編） - サーバーワークスエンジニアブログ 2023.4
  • VPCをまたいだアプリケーション間の接続を簡略化する、マイクロサービスアーキテクチャ向けのマネージドサービス
• Amazon VPC LatticeがついにGAしたので触ってみた！ - Qiita 2023.3
• しれっと登場したVPC Latticeって何者!? よく分からんから3行で頼む！ - Qiita 2022.12

ELB(Elastic Load Balancing)/ALB†

• EC2,RDSだけなのに、ALB使い出したらすんごい重くなった・・・ - Qiita 2023.5

• ALB概念図 - Qiita 2023.4

• ELBの操作は対象によって2種類のサービスを使い分ける必要がある | DevelopersIO 2022.4
• 8月23日のAWSの大規模障害でMultiAZでも突然ALB（ELB）が特定条件で500エラーを返しはじめたという話 2019.8

Network Access Analyzer†

• AWS CLIとコンソールでVPC Network Access Analyzerをしてみた。 | DevelopersIO 2022.4
• AWS CLIを使用してEC2でVPC Reachability Analyzerをしてみた。 | DevelopersIO 2022.4
• [新機能] ネットワークがアクセス要件を満たしているか確認するのに便利な VPC Network Access Analyzer がリリースされました！ #reinvent | DevelopersIO 2021.12

最新の50件