セクション６：VPC
-----------------------------------------------------------

 

 

 

VPCの概要②

 

IPアドレスとサブネットマスク

IPアドレスは３桁（０～２５５）✕４つの組み合わせで、各桁が８つのバイナリ値の集合を表す。

 

 

サブネットマスクはIPアドレス表記の後ろに／数値でくっついている。

 

【表記方法】

１０．０．０．２５５／２４

 

 

 

 

 

 

VPCとの接続

 

 

 

VPCとのオンプレミス接続

• VPN接続
• 専用線接続
  （Direct connect）

 

 

Direct Connect

お客様のデータセンターやオフィスを専用線などを介してAWSへプライベートに接続するサービス。

 

【Direct connect のメリット 】

• 安価なアウトバウンドトラフィック料金。
• ネットワーク信頼性の向上。
• ネットワーク帯域幅の向上。

 

 

Direct Connect ロケーションに物理的に自社オンプレ環境を接続することでAWS環境との専用線接続を実現する。

 

 

 

Direct Connect gateway

Direct Connect gatewayにより、同一アカウントに所属する複数リージョンの複数AZから複数リージョンの複数VPCに接続。

 

 

 

VPNとのDirect Connect

VPNの方が安く素早く利用できるが、信頼性や品質は専用線が勝る。

 

 

 

VPCエンドポイント

VPCエンドポイントはグローバルIPを持つAWSサービスに対して、 VPC内から直接アクセスするための出口。

 

 

Gateway型はサブネットに特殊なルーティングを設定し、VPC内部から直接外のサービスと通信する。

 

【特徴】

• アクセス制御：エンドポイントポリシーを設定
• 料金：無料
• 冗長性： AWS側が対応

 

PrivateLink型はサブネットにエンドポイント用のプライベートIPアドレスを生成し、 DNSが名前解決でルーティングする。

 

【特徴】

• アクセス制御：セキュリティグループを設定
• 料金：有料
• 冗長性：マルチAZ設計

 

 

 

 

NATゲートウェイ

NATゲートウェイによりプライベートサブネットのリソースがインターネットまたは AWSクラウドと通信が可能になる。

 

【特徴】

• AWSによるマネージドNATサービス。
• EIPの割り当て可能。
• 最大10Gbpsの高パフォーマンス。
• ビルトインで冗長化されている高可用性。
• アベイラビリティゾーン毎に設置する。

 

 

 

VPC Flow logs

VPC Flow Logsはネットワークトラフィックを取得しCloudWatchでモニタリングできるようにする機能。

 

• ネットワークインタフェースを送信元 / 送信先とするトラフィックが対象。
• セキュリティグループとネットワークACLのルールでaccepted/rejectされたトラフィックログを取得。
• キャプチャウインドウと言われる時間枠約10 分間で収集・プロセッシング・保存する
• RDS 、Redshift 、ElasticCache 、WorkSpacesのネットワークインタフェーストラフィックも取得可能。
• 追加料金はなし。

 

 

 

VPCの設定上限

VPCの各種設定においては上限数があるため、大規模に利用する場合は考慮する必要がある。

 

 

 

 

VPCを分割するケース

アプリサービスや組織構成などの用途に応じてVPCを分割する。

 

• アプリケーションによる分割。
• 監査のスコープによる分割。
• リスクレベルによる分割。
• 本番／検証／開発フェーズによる分割。
• 部署による分割共通サービスの切り出し。

 

 

 

VPC Peering

VPC peering により2つのVPC間でのトラフィックルーティングが可能。

 

• 異なるAWSアカウント間のVPC間をピア接続可能。
• 一部のリージョン間の異なるVPC間のピア接続も可能。
• 単一障害点や帯域幅のボトルネックは存在しない。