クラウド,

2018年11月合格!AWS認定SAAに向けた勉強⑥ネットワーク(VPC)について

クラウドを利用したシステムの設計構築がすっかり当たり前になってきて、ユーザ側でもある程度専門的な知識をつけてきている方が増えてきました。

フルスタックテクノロジーコンサルタントとしては、ユーザ側と同レベルの知識だけでは、クライアントにより良い提案をしていくことはできないので、クライアントよりも新しくかつ深い知識を習得することは、必要不可欠です。

ここでは、その知識を証明できるよう、代表的な資格である、AWS 認定 Solutions ArchitectのAssociate levelの取得に向け、私が勉強した内容を公開していきます!

AWSのサービスは百数十を数え、いったい何をどこから手を付けていいかわかりづらいと思いますので、カテゴリごとに体系的に情報を整理したので、是非情報整理の参考にしていただければと思います。なお、ここで書いてあることのみを丸暗記することで試験合格を保証するものではありません。また、AWSのブラックベルトやホワイトペーパーなどの資料もきちんと確認もしてくださいね。

⑥VPC

VPCについてです。仮想のプライベートクラウドという名前ですが、いわゆる仮想ネットワークです。

目次
  1. VPCとは
  2. VPCにまつわる主な機能
  3. ファイアウォール機能
  4. その他機能
これが、私のまとめ資料です。(誤字脱字誤謬ご容赦ください)

1.VPCとは

VPCは、Virtual Private CloudAWSアカウント専用の仮想NW

2.VPCにまつわる主な機能

  • パブリックサブネット…デフォルトゲートウェイをインターネット側に向け(IGWに向ける)、インターネットと通信するためのセグメント。
  • プライベートサブネットインターネットと通信せず、VPC内部、VPNやDirectConnectとプライベートな通信をする(デフォルトゲートウェイをVGVにむける)ためのセグメント
  • IGW(Internet Gateway)…インターネットとVPCをつなぐためのゲートウェイ。
  • VGV(Virtual Private Gateway)…オンプレミス側(クライアント側)でVPN接続、DirectConnectと接続するためのゲートウェイ。
  • VPCエンドポイント…グローバルIPをもつマネージドサービス(S3やDynamoDBなど)へ、VPCの内側から直接アクセスするための仕組み
  • カスタマーゲートウェイ…オンプレミス側(クライアント側)でVPN接続のためにユーザ自信が用意するゲートウェイ
  • NATインスタンス…プライベートサブネット内からのトラフィックを受け付け、プライベートIPをNATインスタンスのグローバルIPに変換し、外との通信をおこなう。
    • インスタンス:実態はEC2インスタンス。AWSが提供するAMI(NATインスタンスとして実行されるように設定された Amazon Linux AMI)を利用してインスタンスを起動。セキュリティグループ セキュリティグループをインスタンスに関連づけることが可能。
    • メンテナンス:インスタンスでソフトウェアアップデートやオペレーティングシステムのパッチをインストールはユーザで実施。冗長性を持たせないと単一障害点になってしまう。
    • IPアドレス:NATインスタンスにグローバルIPの割り当てが必要(EIPまたはPublic IP)。
    • その他:NATインスタンスの送信元/送信先チェック(Change Source/Dest.Check)を無効化する必要がある。
  • NATゲートウェイマネージドサービスのNAT機能
    • マネージドサービス:高可用性。各アベイラビリティーゾーンの NAT ゲートウェイは冗長性を持たせて実装される。セキュリティグループを関連付けることはできない。
    • メンテナンス:AWS によって管理されます。ユーザーがメンテナンスを行う必要はありません。
    • IPアドレス:作成時に NAT ゲートウェイに関連付ける Elastic IP アドレスを選択

3.ファイアウォール機能

セキュリティグループという仕組みと、ネットワークACLという仕組みがあります。

セキュリティグループ

  • EC2インスタンス単位
  • ステートフル(戻りのトラフィックに対する設定は不要)
  • デフォルトでインバウンドはDeny、アウトバウンドは許可
  • ホワイトリスト(許可する通信を設定する)

ネットワークACL

  • サブネット単位
  • ステートレス(戻りのトラフィックに対しても設定が必要)
  • デフォルトでインバウンド許可、アウトバウンド許可
  • ブラックリスト(拒否する通信を設定する)

4.その他機能

VPC Flow Logs

VPC Flow Logs:ネットワークトラフィックをキャプチャし、Cloud Watch Logsへ転送

VPCピア接続

VPCピア接続:異なるVPC間を接続する仕組み。同一リージョン内でのVPC間の接続。異なるVPCでアドレス重複はできない。

繰り返しになりますが、ここで書いてあることのみを丸暗記することで試験合格を保証するものではありません。また、AWSのブラックベルトやホワイトペーパーなどの資料もきちんと確認もしてくださいね。


0 件のコメント :

コメントを投稿