TxKxZxWx's blog

AWS SAA、Javaの学習

AWS SAA取得に向けて 19日目 「VPCの概要②、VPCとの接続」 セクション6:VPC

セクション6:VPC
-----------------------------------------------------------

 

 

 

VPCの概要②

 

IPアドレスサブネットマスク

IPアドレスは3桁(0~255)✕4つの組み合わせで、各桁が8つのバイナリ値の集合を表す。

 

 

サブネットマスクIPアドレス表記の後ろに/数値でくっついている。

 

【表記方法】

10.0.0.255/24

 

 

 

 

 

 

VPCとの接続

 

 

 

VPCとのオンプレミス接続

 

 

Direct Connect

お客様のデータセンターやオフィスを専用線などを介してAWSへプライベートに接続するサービス。

 

【Direct connect のメリット 】

  • 安価なアウトバウンドトラフィック料金。
  • ネットワーク信頼性の向上。
  • ネットワーク帯域幅の向上。

 

 

Direct Connect ロケーションに物理的に自社オンプレ環境を接続することでAWS環境との専用線接続を実現する。

 

 

 

Direct Connect gateway

Direct Connect gatewayにより、同一アカウントに所属する複数リージョンの複数AZから複数リージョンの複数VPCに接続。

 

 

 

VPNとのDirect Connect

VPNの方が安く素早く利用できるが、信頼性や品質は専用線が勝る。

 

 

 

VPCエンドポイント

VPCエンドポイントはグローバルIPを持つAWSサービスに対して、 VPC内から直接アクセスするための出口。

 

 

Gateway型はサブネットに特殊なルーティングを設定し、VPC内部から直接外のサービスと通信する。

 

【特徴】

  • アクセス制御:エンドポイントポリシーを設定
  • 料金:無料
  • 冗長性: AWS側が対応

 

PrivateLink型はサブネットにエンドポイント用のプライベートIPアドレスを生成し、 DNSが名前解決でルーティングする。

 

【特徴】

  • アクセス制御:セキュリティグループを設定
  • 料金:有料
  • 冗長性:マルチAZ設計

 

 

 

 

NATゲートウェイ

NATゲートウェイによりプライベートサブネットのリソースがインターネットまたは AWSクラウドと通信が可能になる。

 

【特徴】

  • AWSによるマネージドNATサービス。
  • EIPの割り当て可能。
  • 最大10Gbpsの高パフォーマンス。
  • ビルトインで冗長化されている高可用性。
  • アベイラビリティゾーン毎に設置する。

 

 

 

VPC Flow logs

VPC Flow Logsはネットワークトラフィックを取得しCloudWatchでモニタリングできるようにする機能。

 

  • ネットワークインタフェースを送信元 / 送信先とするトラフィックが対象。
  • セキュリティグループとネットワークACLのルールでaccepted/rejectされたトラフィックログを取得。
  • キャプチャウインドウと言われる時間枠約10 分間で収集・プロセッシング・保存する
  • RDS 、Redshift 、ElasticCache 、WorkSpacesのネットワークインタフェーストラフィックも取得可能。
  • 追加料金はなし。

 

 

 

VPCの設定上限

VPCの各種設定においては上限数があるため、大規模に利用する場合は考慮する必要がある。

 

 

 

 

VPCを分割するケース

アプリサービスや組織構成などの用途に応じてVPCを分割する。

 

  • アプリケーションによる分割。
  • 監査のスコープによる分割。
  • リスクレベルによる分割。
  • 本番/検証/開発フェーズによる分割。
  • 部署による分割共通サービスの切り出し。

 

 

 

VPC Peering

VPC peering により2つのVPC間でのトラフィックルーティングが可能。

 

  • 異なるAWSアカウント間のVPC間をピア接続可能。
  • 一部のリージョン間の異なるVPC間のピア接続も可能。
  • 単一障害点や帯域幅ボトルネックは存在しない。