SAA学習-VPC-VPCの概要
今回のテーマ:VPCの概要
主要サービスの公式資料
Amazon VPC: docs.aws.amazon.com
Amazon VPC Site-to-Site: docs.aws.amazon.com
VPC(Virtual Private Cloud)とは
- AWSクラウドのネットワークからユーザー専用の領域を切り出してくれる仮想ネットワークサービス
- 任意のIPアドレス範囲を選択して仮想ネットワークを構築
- サブネットの作成、ルートテーブル/ネットワークゲートウェイの設定など仮想ネットワーキング環境を制御
- 必要に応じてクラウド内外のネットワーク同士を接続
- オンプレイミス環境との接続オプションが利用可能(インターネット経由、VPC/専用線(Direct Connect))
- 単一、複数のAZにまたがった領域(AZ)でネットワーク構築が可能
サブネットとVPC
最低1つのAZ内に1つのVPCとサブネットがデフォルトで構築されます。
会社で利用する場合、アーキテクチャを実装・管理するため、
デフォルトのものを使用しないことが一般的になります。
VPCの設定(デフォルトVPC)
AWSアカウントを作成すると自動的に各リージョンに1つのデフォルトVPCとデフォルトサブネットが生成されます。
デフォルトの以下となります。
- サイズ/16のIPv4CIDRブロック(172.31.0.0/16)のVPCが作成
- 各AZにサイズ/20のデフォルトサブネットが作成
- デフォルトサブネットで作成されたアドレスのいくつかはAWSの予約アドレスとして使用
- インターネットゲートウェイが作成され、デフォルトVPCに接続
- デフォルトのセキュリティグループが作成され、デフォルトVPCに関連付け
- デフォルトのネットワークアクセスコントロールリスト(ACL)が作成されデフォルトVPCに関連付け
- デフォルトVPCを備えたAWSアカウントにはデフォルトDHCPオプションセットを関連付け
- パブリックとプライベートのDNSホスト名が付与
VPCの設定
VPCの設定できる内容と実装する領域となります。
- 1つのパブリックサブネットを持つVPC
- パブリックとプライベートサブネットを持つVPC
- パブリックとプライベートサブネットをおよびハードウェアVPNを持つVPC
- プライベートサブネットのみでハードウェアVPNアクセスを持つVPC
cf) パブリックとプライベートサブネットをおよびハードウェアVPNを持つVPC
Site-to-SiteVPCを構成する際に使用する項目となります。
新規VPCの設定概要
cf)VPCで使用できるサブネットの範囲は、「/16」~「/28」の間で飲み使用可能です。
CIDRで予約されているIPアドレス(/24の場合)
ホストアドレス | 用途 |
---|---|
.0 | ネットワークアドレス |
.1 | VPCルータ |
.2 | Amazonが提供するDNSサービス |
.3 | AWSで予約されているアドレス |
.255 | ブロードキャストアドレス |
AWSで使用するサブネット
AWSのサブネットは「パブリックサブネット」、「プライベートサブネット」が存在し、CIDR範囲で分割したネットワークセグメントとなります。
また、VPC内に複数設定でき1つのAZを指定して配置が可能です。
- パブリックサブネット:トラフィックがインターネットゲートウェイにルーティングするサブネット
- プライベートサブネット:インターネットゲートウェイのルートがないサブネット
- 1つのVPCあたりのサブネット作成上限数のデフォルトは200個までとなります。
- パブリックおよびプライベートサブネットの推奨値は「/24」がAWSの公式概要となります。
VPC外部接続
VPCの外部リソースとの接続する際、別のAWSリソースを組み合わせることで実装します。
また、接続する手法としてパブリックサブネットのAWSネットワーク(EC2など)かエンドポイント(S3)を利用し接続を実現します。
以下は、パブリックサブネットとプライベートサブネットを設けた場合での実装概要をまとめます。
- パブリックサブネットからインターネットに接続する場合、インターネットゲートウェイが必要
- プライベートサブネットからインターネットに接続する場合、パブリックサブネット内にNATゲートウェアを設置し、NATゲートウェイからインターネットゲートウェイへルーティングが必要
概略図は以下のようになります。
インターネット経路の設定
方法:ルートテーブルとCIDRアドレスでルーティングを設定
実装時の概要:
- ルートテーブルでパケットの行先を設定
- VPC内はCIDRアドレスでルーティングを実装
VPC設計ポイント
- 将来の拡張性を見据えたアドレッシングや他ネットワークとの接続性を考慮
- CIDRは既存のVPC、社内で使用しているDCやオフィスと被らないアドレス帯を設定し、システム構成の将来像を考慮しながら計画
- VPC構成は自社業務に合わせてVPC単一ではなくVPC全体の関係性を考慮
- 組織とシステム境界からVPCをどのように分割するか考慮
- 複数のAZを利用し可用性の高いシステムを構築を検討
- サブネットは大きいサブネットを使用し、パブリック/プライベートサブネットへのリソース配置をインターネットアクセス可否から検討
- セキュリティグループを使いリソース感のトラフィックを適切に制御
- 運用を補助するツールも有効活用し、VPC Flow Logsを使ってモニタリングできるようにする
今回のテーマは以上です。