おっさん社内SEエンジニアの勉強ブログ

勉強記録のブログとなります。

SAA学習-VPC-VPCの概要

今回のテーマ:VPCの概要

主要サービスの公式資料

Amazon VPC docs.aws.amazon.com

Amazon VPC Site-to-Site: docs.aws.amazon.com

VPC(Virtual Private Cloud)とは

  • AWSクラウドのネットワークからユーザー専用の領域を切り出してくれる仮想ネットワークサービス
  • 任意のIPアドレス範囲を選択して仮想ネットワークを構築
  • サブネットの作成、ルートテーブル/ネットワークゲートウェイの設定など仮想ネットワーキング環境を制御
  • 必要に応じてクラウド内外のネットワーク同士を接続
  • オンプレイミス環境との接続オプションが利用可能(インターネット経由、VPC/専用線(Direct Connect))
  • 単一、複数のAZにまたがった領域(AZ)でネットワーク構築が可能

サブネットとVPC

最低1つのAZ内に1つのVPCとサブネットがデフォルトで構築されます。
会社で利用する場合、アーキテクチャを実装・管理するため、
デフォルトのものを使用しないことが一般的になります。

VPCの設定(デフォルトVPC)

AWSアカウントを作成すると自動的に各リージョンに1つのデフォルトVPCとデフォルトサブネットが生成されます。
デフォルトの以下となります。

  • サイズ/16のIPv4CIDRブロック(172.31.0.0/16)のVPCが作成
  • 各AZにサイズ/20のデフォルトサブネットが作成
  • デフォルトサブネットで作成されたアドレスのいくつかはAWSの予約アドレスとして使用
  • インターネットゲートウェイが作成され、デフォルトVPCに接続
  • デフォルトのセキュリティグループが作成され、デフォルトVPCに関連付け
  • デフォルトのネットワークアクセスコントロールリスト(ACL)が作成されデフォルトVPCに関連付け
  • デフォルトVPCを備えたAWSアカウントにはデフォルトDHCPオプションセットを関連付け
  • パブリックとプライベートのDNSホスト名が付与

VPCの設定

VPCの設定できる内容と実装する領域となります。

  • 1つのパブリックサブネットを持つVPC
  • パブリックとプライベートサブネットを持つVPC
  • パブリックとプライベートサブネットをおよびハードウェアVPNを持つVPC
  • プライベートサブネットのみでハードウェアVPNアクセスを持つVPC

cf) パブリックとプライベートサブネットをおよびハードウェアVPNを持つVPC
Site-to-SiteVPCを構成する際に使用する項目となります。

新規VPCの設定概要

  • 1.VPCを作成(CIDR設定)
  • 2.サブネットを作成
  • 3.インターネット経路を設定(Gatewayの設定)
    1. VPCへのトラフィック許可の設定

cf)VPCで使用できるサブネットの範囲は、「/16」~「/28」の間で飲み使用可能です。

CIDRで予約されているIPアドレス(/24の場合)

ホストアドレス 用途
.0 ネットワークアドレス
.1 VPCルータ
.2 Amazonが提供するDNSサービス
.3 AWSで予約されているアドレス
.255 ブロードキャストアドレス

AWSで使用するサブネット

AWSのサブネットは「パブリックサブネット」、「プライベートサブネット」が存在し、CIDR範囲で分割したネットワークセグメントとなります。
また、VPC内に複数設定でき1つのAZを指定して配置が可能です。

  • パブリックサブネットトラフィックがインターネットゲートウェイにルーティングするサブネット
  • プライベートサブネット:インターネットゲートウェイのルートがないサブネット
  • 1つのVPCあたりのサブネット作成上限数のデフォルトは200個までとなります。
  • パブリックおよびプライベートサブネットの推奨値は「/24」がAWSの公式概要となります。

VPC外部接続

VPCの外部リソースとの接続する際、別のAWSリソースを組み合わせることで実装します。
また、接続する手法としてパブリックサブネットのAWSネットワーク(EC2など)かエンドポイント(S3)を利用し接続を実現します。
以下は、パブリックサブネットとプライベートサブネットを設けた場合での実装概要をまとめます。

  • パブリックサブネットからインターネットに接続する場合、インターネットゲートウェイが必要
  • プライベートサブネットからインターネットに接続する場合、パブリックサブネット内にNATゲートウェアを設置し、NATゲートウェイからインターネットゲートウェイへルーティングが必要

概略図は以下のようになります。

f:id:In-houseSE:20210223081248p:plain

インターネット経路の設定

方法:ルートテーブルとCIDRアドレスでルーティングを設定

実装時の概要:

  • ルートテーブルでパケットの行先を設定
  • VPC内はCIDRアドレスでルーティングを実装

VPC設計ポイント

  • 将来の拡張性を見据えたアドレッシングや他ネットワークとの接続性を考慮
  • CIDRは既存のVPC、社内で使用しているDCやオフィスと被らないアドレス帯を設定し、システム構成の将来像を考慮しながら計画
  • VPC構成は自社業務に合わせてVPC単一ではなくVPC全体の関係性を考慮
  • 組織とシステム境界からVPCをどのように分割するか考慮
  • 複数のAZを利用し可用性の高いシステムを構築を検討
  • サブネットは大きいサブネットを使用し、パブリック/プライベートサブネットへのリソース配置をインターネットアクセス可否から検討
  • セキュリティグループを使いリソース感のトラフィックを適切に制御
  • 運用を補助するツールも有効活用し、VPC Flow Logsを使ってモニタリングできるようにする

今回のテーマは以上です。