TxKxZxWx's blog

AWS SAA、Javaの学習

AWS SAA取得に向けて 18日目 「VPCの概要①-3」 セクション6:VPC

セクション6:VPC
-----------------------------------------------------------

 

セクション6概要(続き)

 

 

 

 

VPCにサブネットを設定

一般的にVPCにCIDR/16を設定し、サブネットに/24の設定が推奨されている。

 

 

 

VPC外部接続

パブリックサブネットからインターネットに接続するにはインターネットゲートウェイが必要。

 

プライベートサブネットからインターネットに接続するにはNATゲートウェイがパブリックサブネットに必要。

 

VPCの外側にあるリソースとの通信にはパブリックのAWSネットワークかエンドポイントを利用する。

 

 

 

インターネット経路を設定

ルートテーブルとCIDRアドレスでルーティングを設定する。

 

  • ルートテーブルでパケットの行き先を設定。
  • VPC作成時にデフォルトで1つルートテーブルを作成。
  • VPC内はCIDRアドレスでルーティング。

 

 

 

VPCトラフィック設定

トラフィック設定はセキュリティグループまたはネットワークACLを利用する。

 

セキュリティグループ設定

  • ステートフル : 戻りトラフィックの設定はできるが、インバウンドのみ設定すれば戻りは自動で対応される。
  • サーバー単位で適用。
  • 許可のみをIn/outで指定。
  • デフォルトでは同じセキュリティグループ内通信のみ許可。
  • 必要な通信は許可設定が必要。
  • 全てのルールを適用。

ネットワークACLs設定

  • ステートレス : 戻りトラフィックも許可設定が必要。
  • サブネット単位で適用。
  • 許可と拒否をIn/outで指定。
  • デフォルトでは全ての送信元IPを許可。
  • 番号の順序通りに適用。

 

 

 

VPC設計ポイント

 

  • 設計時には将来の拡張も見据えたアドレッシングや他ネットワークとの接続性も考慮する。

  • CIDR(IPアドレス)は既存のVPC、社内のDCやオフィスと被らないアドレス帯を設定し、組織構成やシステム構成の将来像も考えながら前もって計画する。

  • VPC構成は自社業務に合せたVPC単体ではなくVPC全体の関係性も視野に入れる。

  • 組織とシステム境界からVPCをどのように分割するか将来構成も考慮して検討する。

  • 複数AZを利用して可用性の高いシステムを構築。

  • サブネットは大きいサブネットを使い、パブリック/プライベートサブネットへのリソースの配置をインターネットアクセス可否から検討する。

  • セキュリティグループを使ってリソース間のトラフィックを適切に制御する。

  • 実装や運用を補助するツールも有効利用し、VPC Flow Logsを使ってモニタリングできるようにする。