SAA学習-VPC-VPCとの接続方法
今回のテーマ:VPCとの接続方法
主要サービスの公式資料
AWS Direct Connect docs.aws.amazon.com
VPC エンドポイント docs.aws.amazon.com
VPCとの接続
VPCの接続は以下2種類があります。
VPCエンドポイントと専用線との比較
| 項目 | VPCエンドポイント | 専用線 |
|---|---|---|
| コスト | 安価ベストエフォート回線が利用可能 | キャリアの専用線サービス契約が必要で割高 |
| リードタイム | クラウド上での接続設定のため即時 | 物理対応が必要になるため数週間 |
| 帯域幅 | 暗号化のオーバーヘッドにより制限 | ポートあたり1G/10Gbps |
| 品質 | インターネット経由のためネットワークの影響あり低品質 | キャリアにより高い品質 |
| 障害の切り分け | 自社保持している範囲以外は難しい | 物理的に経路が確保されているため比較的容易 |
専用線接続(Direct Connect)
借用しているデータセンターやオフィスを専用線などを介してAWSへプライベート接続するサービスとなります。
メリットは以下のものが挙げられます。
Direct Connectの接続方法
Direct Connectロケーションに物理的にオンプレ環境を接続することでAWS環境との専用線接続を実現します。
接続方法の概略図は以下のような構成となります。
Direct Connect Gateway
同一アカウントに所属する複数リージョンの複数AZから複数リージョンの複数VPCに接続します。
VPCエンドポイント
グローバルIPを持つAWSサービスに対し、VPC内から直接アクセスをする出口となります。
接続形式や特徴として以下のものが挙げられます。
Gateway型:
ルートテーブルのサブネットに特殊なルーティングを設定し、VPC内部から直接外のサービスへ通信します。- 特徴:
- アクセス制御:エンドポイントポリシーを設定
- 料金:無料
- 冗長性:AWS側が対応
- 特徴:
PrivateLink型:
サブネットにエンドポイント用のプライべートIPアドレスを生成し、DNSが名前解決しルーティングします。- 特徴:
- アクセス制御:セキュリティグループを設定
- 料金:有料
- 冗長性:マルチAZ設計
- 特徴:
NATゲートウェイ
NATゲートウェイは、プライベートサブネットのリソースよりインターネットへ通信させる際に使用します。
特徴としては以下のものが挙げられます。
VPC Flow logs
VPC Flow logsはネットワークトラフィックを取得し、CloudWatchでモニタリングできる機能となります。
特徴としては以下のものが挙げられます。
- ネットワークインターフェースを送信元/送信先とするトラフィック
- セキュリティグループとNACLのルールでaccepted/rejectされたトラフィックログを取得
- キャプチャウィンドウといわれる時間枠(10分間)で収集・プロセッシング・保存
- RDS、Redshift、ElasticCache、WorkSpacesのネットワークトラフィックも取得可能
- 追加料金なし
VPCの設定上限
VPC内でデフォルトで使用できる設定の制限は以下のようになります。
| リソース | 設定数 |
|---|---|
| リージョンあたりのVPC上限数 | 5 |
| VPC当たりおのサブネットの上限数 | 200 |
| AWSアカウント当たりの1リージョン内のElasticIP | 5 |
| ルートテーブル当たりのルート上限数 | 500 |
| セキュリティグループあたりのルール上限数 | 60 |
VPCを分割するケース
アプリサービスや組織構成などの用途に応じてVPCを分割します。
分割するケースとしては以下のものが挙げられます。
- アプリケーションによる分割
- 監査スコープによる分割
- リスクレベルによる分割
- 本番/検証/開発フェーズによる分割
- 部署による分割や共通サービスの切り出し
VPC Peering
2つのVPC間でのルーティングを実現できます。
用途は以下のものが挙げれらます。
今回のテーマは以上です。
