AWS VPC の履歴(No.1) - 技術情報Wiki

[ トップ ] [ 新規 | 一覧 | 検索 | 最終更新 | ヘルプ | ログイン ] [ Twitter ]

→Amazon Web Service

→AWS EC2とS3

→AWS その他のサービス

→IaC(Infrastructure as Code)

基本
Tips
入門記事
トラフィック制御
Network Access Analyzer

基本†

VPC上で構成できる３つのサブネット
- publicサブネット
  - publicサブネットではインターネットゲートウェイへのルーティングが設定されており、直接インターネットとのやり取りが可能です。
  - ElasticIPを割り振ることでEC2インスタンス、ELB、NATゲートウェイが外部からの通信を受け入れることが可能です。
- privateサブネット
  - privateサブネットでは外部との通信はNATゲートウェイを介して行われます。
  - インターネットゲートウェイへのルーティングがなく、基本的にはインターネットからのアクセスはありません。
  - なので、publicサブネットを介して通信が行われることがあります。
- isolatedサブネット
  - isolatedサブネットはローカルとの通信しかできません。
  - ここではpublic、privateとの相互通信が可能です。
  - DBなど外部への通信が不要で、ローカルなマシンとのみ通信が必要なリソースがしばしば設置されます。

Amazon VPC とは_ - Amazon Virtual Private Cloud

Tips†

AWSのグローバルIPの空間はインターネットなのか？ - NRIネットコムBlog 2021

AWS内の通信がインターネットを経由しない今、VPC Endpointを利用する意味はあるのか？ | フューチャー技術ブログ 2022.8

VPCのサイジングについての失敗談 - エキサイト TechBlog. 2022.7

【AWS Systems Manager エンドポイント】プライベートサブネットにあるEC2インスタンスに踏台サーバを使わずにOSログインする方法 - サーバーワークスエンジニアブログ 2022.6

[アップデート] Amazon VPCが複数のIPv6 CIDRブロックをサポートするようになりました | DevelopersIO 2022.5

【アップデート】VPCの作成が新コンソールで超簡単になりました！ | DevelopersIO 2022.5

[レポート] Shared VPCでスケールネットワークを簡素化する #reinvent #NET322 | DevelopersIO 2019

iDATEN(韋駄天)｜やってみようシリーズ：仮想ネットワークを作ってみよう「VPCの作成中にエラーが発生しました」編
- クォータの上限を増やす申請のやり方

VPC CIDRブロックをRFC 1918の範囲に限定する方法 (Terraform&CloudFormation) | DevelopersIO 2022.3
- TerraformおよびCloudFormationでは変数ないしパラメータの検証に正規表現を利用できます。
- Terraformではconditionブロック内においてcan関数およびregex関数を使用します。
- CloudFormationではParametersセクションのパラメータにAllowedPatternプロパティを使用します。

【AWS】サブネットの空きIPとENIの情報を確認する話 - BFT名古屋 TECH BLOG 2022.2

障害調査に備えてオンプレミスと AWS 間のネットワーク監視を行う方法を教えてください | DevelopersIO 2022.2

AWS VPCエンドポイントについて解説！メリット・料金体系・利用シーンもご紹介 | FEnet AWSコラム 2022.2
- VPCエンドポイントとは異なるVPCやリージョンにあるAWSサービス同士をインターネットを介さずAWSネットワーク内でつなぐサービス

Amazon VPC IP Address Manager による大規模なネットワークアドレス管理と監査 | Amazon Web Services ブログ 2021
- 2021 年 12 月 1 日（米国時間）、Amazon VPC IP Address Manager を発表しました。これは、ネットワーク管理者に IP の自動管理ワークフローを提供する新機能です。IPAM を使用すると、ネットワーク管理者は、大規模なネットワークで簡単に IP アドレスの整理、割り当て、モニタリング、監査を行うことができ、管理とモニタリングの負担が軽減され、遅延や意図しないエラーの原因となる手動プロセスが排除されます。

[アップデート] IPv6オンリーのサブネットとEC2インスタンスを作成出来るようになりました！ | DevelopersIO 2021.11

AWS DHCP オプションセットを RFC から理解する - the world as code 2019
- DHCP関連

VPC内でのPrivate IPの扱いについて考えてみた 2016
- 通常AWSのVPC内のEC2インスタンスのネットワーク設定の場合、OS側のIP設定は、DHCPにするのが基本
- ENIの作成時に、IPアドレス指定した場合は、そのIPが固定で割り当てられます（指定しない場合は、使用可能なIPアドレスが自動的に選択されます）
- インスタンスが停止し、再開された場合も、 IP アドレスとENIの関連付けが維持されます
- 固定IPにすると、EC2インスタンスを横展開する目的などで、AMIを取得し、それをもとに別のサブネットにEC2インスタンスを作成する場合に問題が生じる

入門記事†

トラフィック制御†

しれっと登場したVPC Latticeって何者!? よく分からんから3行で頼む！ - Qiita 2022.12

【AWS】ネットワークACLとセキュリティグループの使い分け｜櫻田貴士｜note 2020.5
- ネットワークACLは、サブネットに対して1つのみ設定可能
- ネットワークACLはステートレスのため、戻りのトラフィックも意識して設定する必要があります。
- セキュリティグループはEC2インスタンスなどに適用するファイアウォール機能
- セキュリティグループはステートフルのため、戻りのトラフィックを意識して設定する必要はありません。
- ①ネットワークACLでは、L3レベルでのトラフィック制御のみを行う。
- ②ネットワークACLでは、基本的にネットワークセグメント単位でトラフィック制御を行う。
- ③セキュリティグループでは、L4レベルでのトラフィック制御を行う。
- ④セキュリティグループでは、基本的にIPアドレスとポート番号でトラフィック制御を行う。

SGでEC2にファイアウォールかましているのにACLでもやるっていうのは、うっかりSGに穴が開いていたときの保険という意味がある。
- あとは対象となる範囲がサーバ単位かセグメント単位かという違い。セグメント内に無駄なパケット流したくないという考え方もあろう
- 参考：SEC05-BP02 すべてのレイヤーでトラフィックを制御する - セキュリティの柱 2022.11

Amazon VPC でのインターネットワークトラフィックのプライバシー - Amazon Virtual Private Cloud 2021
- セキュリティグループ、ACL、フローログ、ミラーリング
- セキュリティグループもACLもファイアウォールだが、前者はEC2インスタンス単位、後者はVPC単位

VPC内をサブネットで区切った場合、通常のネットワークならサブネット間はルーティングしないとつながらないが、VPC内であればルーティングしなくてもつながるという違いがある

Network Access Analyzer†