VPCメモ インターネットゲートウェイ、NATゲートウェイ、セキュリティグループなど
こんにちは。まこすけです。
今年の2月からAWSの案件に関わることになったので、AWSの学習をしています
今日はVPCに関して第2弾のメモです。
※誤った情報があればご連絡いただけると幸いです。
[:ontents]
ルートテーブル
このルートテーブルを利用するとインターネット・AWSの各サービスに対して、どのエンドポイントを経由するかというルーティング情報を管理できます。
サブネットに関連付けて使用する形になります。
具体的にはサブネットから外に出ていく通信をどのエンドポイントに向けて発信するか決める定義します。
AWSのアカウント作成された時点ではデフォルトでルートテーブルには自身のローカルのみが設定されています。
インターネットゲートウェイ
こちらのサービスを利用すれば各AWSサービスからインターネットにつなげることが可能です。
こちらはサブネットのルートテーブルを以下のように設定して使用する形になります。
送信先:0.0.0.0/0
ターゲット:Internet Gateway
NATゲートウェイ
インターネットへ接続したいがインターネットから接続されたくない時などにはこちらを利用します。
つまりNATゲートウェイはアウトバンドはできますが、インバウンドはできない設定が実現できます。
使い道としてはインターネットからパッチなどをダウンロードしたい時などが想定されます。
ENI(Elastic network interface)
仮想ネットワークインターフェースを指します。
EC2のインスタンスなどはIPアドレスごとにENIを持っています。
インスタンスに複数のENIをアタッチすることが出来て、たった1つのEC2インスタンスで2つのサイトを利用可能です。
Elastic IP
まずElastic IPの前にPublic IPですがAWSのIPアドレスプールより割り当てられるIPアドレスになります。
こちらはEC2インスタンスが停止、終了、再起動した場合には解放されてしまいます。
なのでミスして停止させてしまったらIPアドレスは変わってしまうので注意です。
そんなIPアドレスを変えたくないという時に利用されるのがElastic IPです。
こちらはEC2インスタンスが停止、終了、再起動した場合でも同じアドレスを利用し続けることが可能です。
ただこちらも注意があってインスタンスにアタッチしていないと料金が発生します。
私はこの仕様忘れていたので、アタッチしていないElastic IPが残ったままで、あまり利用してないアカウントでにも関わらず料金が発生していました‥汗
セキュリティグループ
AWSの仮想ファイアーウォールサービスです。
こちらは拒否設定はできず許可設定のみ可能です。
設定の単位はインスタンス単位にになります。
基本的にはこのセキュリティグループのインバウンドルールの方を設定しますが、よりセキュリティを強固にするためにアウトバンドルールも設定可能です。
デフォルトでは全てのトラフィックが許可されています。
またこのセキュリティグループはアウトバンドさえ許可されていれば、戻りは意識しなくても良いのが特徴です。
このことをステートフルといいます。
ネットワークのACL
サブネット単位で設定するファイアーウォールです。
サブネット内にあるインスタンスなどは全てこのACLのルールが適用されます。
各ルールには管理番号が付与されるのですが、小さい番号順に適用される仕組みです。
またネットワークACLはセキュリティグループとは異なり拒否リストを設定します。
さらにネットワークACLはステートレスであり、アウトバンドとインバウンドをそれぞれ別で設定が必要になります。
デフォルトとしてはインバウンドもアウトバンドも許可されています。
使い用途としては補助的に利用されることが多く、外部からの攻撃者がいた場合などに、その攻撃者のIPアドレスを特定し拒否設定をします。
VPCメモ VPC、アベイラビリティゾーン、リージョン、サブネット
こんにちは。まこすけです。
今年の2月からAWSの案件に関わることになったので、AWSの学習をしています。
色んな専門用語が多く中々頭に定着しません。
そこで何とか頭に定着すべく今日はVPCに関するメモを書いていこうと思います。
※誤った情報があればご連絡いただけると幸いです。
VPC
AWSアカウントを持っている各ユーザの仮想ネットワーク環境になります。
このVPCの中に各種サービスを作成していくので非常に重要なものです。
AWSアカウントを作成した時点でデフォルトVPCが作成されますが、あまりこちらは使わずに、新しくVPCを作って利用するのが基本とのこと。
VPCですが個人ではなく企業であれば複数のVPCを使うこともあります。
またクレジットカードを登録したアカウントをマスターアカウントを用意して、AWS Organizationサービスを利用し、マスターアカウントに紐づく子アカウントを複数用意することも可能です。
1リージョンにつき最大5VPCまで作成可能です。
アベイラビリティゾーン
世界各国にあるデータセンターの単位のことをAZことアベイラビリティゾーンと呼びます。
日本のAZでは東京に4つ、大阪に3つあるとのこと。
実際どこに物理的に存在しているかは分かりません。(ちょっとどこにあるのか気になりますね。)
リージョン
各AZを束ねたものをリージョンと呼びます。
日本は東京と大阪ですね。
アメリカには7つもあります。しかもアメリカ政府しか利用できないリージョンもあるとか。
日本に住んでいれば基本は東京リージョンを選ぶ形になるかと思います。
今後は名古屋とか福岡とかも都市もできるんですかね。
個人的には千葉在住なので千葉リージョンを希望します!
サブネット
VPCの中にあるさらに小さい単位のネットワーク環境をサブネットと言います。
このサブネットにもIPアドレスをあてます。
サイダー表記を使うとIPアドレスの範囲を決めることができます。
例えばですが
10.22.34.214/32であれば10.22.34.214の1つのIPアドレスのみを。
10.22.34.214/24であれば10.22.34.*/32の第4オクテッドまでを。
10.22.34.214/16であれば10.22.*.*/32の第3,4オクテッドまでが利用可能です。
計算方法としては/24であれば32-24=8で、2の8乗分である255のIPが利用可能という感じです。(実際は予約語を除くで少し減る)
ここのところ、理解するのにかなり私は苦労しました。ちゃんと冷静によめば理解できるはずなのですが‥汗
ちなみに0.0.0.0/0はすべてのIPアドレスです。
VPCのアドレスレンジは/16-/28までと決まっています。
サブネットのサイダーは/24がおススメみたいです。
/24であれば255個IPが使えるし、ちょうど第4オクテッドで区切れるからとのこと。
このサブネットにはパブリックとプライベートのサブネットの種類に分けられます。
違いはとても簡単。
パブリックはインターネットに接続できるが、プライベートはできないです。
どのような仕組みになっているかというと、パブリックはルートテーブルにインターネットゲートウェイのルーティングが有るかたちになります。
今回はここまで。
思った以上にメモだけで時間がかかりました・・。
これだけで毎回書くのはしんどいですね。
次回はもうちょっとコンパクトにまとめたいです。
ではでは。
はじめての記事
こんにちは。
現在、Sierで働くエンジニアの まこすけ です。
会社は新宿にありますが千葉県の船橋というところでリモート勤務しています。
まずこのブログの始めたきっかけですが、純粋にアウトプットしていこうと思ったからです。
今までは学んだこともそのままで、特にアウトプットをせずに過ごしてきました。
ただインプットだけではどうにも何かを習得するうえで効率が悪い。
そこで
「ブログでアウトプットしよう!」
と思いました。
(やろうと思ってから1週間は経っているのですが。。汗)
今まできちんとアウトプットしてきたことが無いような人間ですので、他の人から見たら何の役にも立たないという記事になります。
むしろカスみたいな記事を書き公開するなんて、恥ずかしいとすら思っています。
ただこのままでは一生、きちんとアウトプットする機会を設けずに終わってしまう。
それは何とか避けたいと思っているのです!
何ともだらしない文章をお前は書くなと思われるかもしれませんが、徐々に役に立てるような記事も書いてみたいと思ってたりもします。
アウトプットする内容ですが特に技術系に絞らずにやっていく予定です。
技術系だけだと正直、なかなか軽い気持ちで文章を書くのが難しい。
ですので最初は何も決めず書きたいと思ったことを書いていく。こんなゆるい感じでやっていこうかなと。
もしもいずれかのブログ記事を見ていただけたら嬉しいです。
これからよろしくお願いいたします。
ではでは。