春が近づいているのか寒暖の差があって体調管理しずらいここ最近です。
寒い日は鍋が食べたくなるので冷え込む金曜は鳥団子鍋を作ろうかなぁと
レシピ検討中でございます。
今回のテーマ:VPCの概要
VPC(Virtual Private Cloud)とは
- AWSクラウドのネットワークからユーザー専用の領域を切り出してくれる仮想ネットワークサービス
- 任意のIPアドレス範囲を選択して仮想ネットワークを構築
- サブネットの作成、ルートテーブル/ネットワークゲートウェイの設定など仮想ネットワーキング環境を制御
- 必要に応じてクラウド内外のネットワーク同士を接続
- オンプレイミス環境との接続オプションが利用可能(インターネット経由、VPC/専用線(Direct Connect))
- 単一、複数のAZにまたがった領域(AZ)でネットワーク構築が可能
サブネットとVPC
- 最低1つのAZ内に1つのVPCとサブネットがデフォルトで構築される
会社で利用する場合、
アーキテクチャを実装・管理するため、
デフォルトのものを使用しないことが一般的になります。
VPCの設定(デフォルトVPC)
AWSアカウントを作成すると自動的に各リージョンに1つのデフォルトVPCとデフォルトサブネットが生成されます。
デフォルトの以下となります。
- サイズ/16のIPv4CIDRブロック(172.31.0.0/16)のVPCが作成される
- 各AZにサイズ/20のデフォルトサブネットが作成される
- デフォルトサブネットで作成されたアドレスのいくつかはAWSの予約アドレスとして使用される
- インターネットゲートウェイが作成され、デフォルトVPCに接続される
- デフォルトのセキュリティグループが作成され、デフォルトVPCに関連付けられる
- デフォルトのネットワークアクセスコントロールリスト(ACL)が作成されデフォルトVPCに関連付けられる
- デフォルトVPCを備えたAWSアカウントにはデフォルトDHCPオプションセットを県連つけられる
- パブリックとプライベートのDNSホスト名が付与される。
VPCの設定
VPCの設定できる内容と実装する領域
- 1つのパブリックサブネットを持つVPC
- パブリックとプライベートサブネットを持つVPC
- パブリックとプライベートサブネットをおよびハードウェアVPNを持つVPC
- プライベートサブネットのみでハードウェアVPNアクセスを持つVPC
cf)
パブリックとプライベートサブネットをおよびハードウェアVPNを持つVPC
Site-to-SiteVPCを構成する際に使用する項目
新規VPCの設定概要
cf)
VPCで使用できるサブネットの範囲
「/16」~「/28」の間で飲み使用可能
CIDRで予約されているIPアドレス(/24の場合)
ホストアドレス | 用途 |
---|---|
.0 | ネットワークアドレス |
.1 | VPCルータ |
.2 | Amazonが提供するDNSサービス |
.3 | AWSで予約されているアドレス |
.255 | ブロードキャストアドレス |
AWSで使用するサブネット
CIDR範囲で分割したネットワークセグメントで、AWSのサブネットは「パブリックサブネット」、「プライベートサブネット」が存在します。
また、VPC内に複数設定でき1つのAZを指定して配置が可能です。
- パブリックサブネット:トラフィックがインターネットゲートウェイにルーティングするサブネット
- プライベートサブネット:インターネットゲートウェイのルートがないサブネット
- 1つのVPCあたりのサブネット作成上限数のデフォルトは200個までとなります。
- パブリックおよびプライベートサブネットの推奨値は「/24」がAWSの公式概要となります。
VPC外部接続
VPCの外部リソースとの接続する際、別のAWSリソースを組み合わせることで実装します。
また、接続する手法としてパブリックサブネットのAWSネットワーク(EC2など)かエンドポイント(S3)を利用し接続を実現します。
以下は、パブリックサブネットとプライベートサブネットを設けた場合での実装概要をまとめます。
パブリックサブネットからインターネットに接続する場合、インターネットゲートウェイが必要
プライベートサブネットからインターネットに接続する場合、パブリックサブネット内にNATゲートウェアを設置し、 NATゲートウェイからインターネットゲートウェイへルーティングが必要
概略図は以下のようになります。
インターネット経路の設定
方法:ルートテーブルとCIDRアドレスでルーティングを設定
手順概要:
- ルートテーブルでパケットの行先を設定
- VPC内はCIDRアドレスでルーティングを実装
VPC設計ポイント
- 将来の拡張性を見据えたアドレッシングや他ネットワークとの接続性を考慮する
- CIDRは既存のVPC、社内で使用しているDCやオフィスと被らないアドレス帯を設定し、システム構成の将来像を考慮しながら計画する
- VPC構成は自社業務に合わせてVPC単一ではなくVPC全体の関係性を考慮する
- 組織とシステム境界からVPCをどのように分割するか考慮する
- 複数のAZを利用し可用性の高いシステムを構築を検討する
- サブネットは大きいサブネットを使用し、パブリック/プライベートサブネットへのリソース配置をインターネットアクセス可否から検討する
- セキュリティグループを使いリソース感のトラフィックを適切に制御する
- 運用を補助するツールも有効活用し、VPC Flow Logsを使ってモニタリングできるようにする