VPCメモ インターネットゲートウェイ、NATゲートウェイ、セキュリティグループなど
こんにちは。まこすけです。
今年の2月からAWSの案件に関わることになったので、AWSの学習をしています
今日はVPCに関して第2弾のメモです。
※誤った情報があればご連絡いただけると幸いです。
[:ontents]
ルートテーブル
このルートテーブルを利用するとインターネット・AWSの各サービスに対して、どのエンドポイントを経由するかというルーティング情報を管理できます。
サブネットに関連付けて使用する形になります。
具体的にはサブネットから外に出ていく通信をどのエンドポイントに向けて発信するか決める定義します。
AWSのアカウント作成された時点ではデフォルトでルートテーブルには自身のローカルのみが設定されています。
インターネットゲートウェイ
こちらのサービスを利用すれば各AWSサービスからインターネットにつなげることが可能です。
こちらはサブネットのルートテーブルを以下のように設定して使用する形になります。
送信先:0.0.0.0/0
ターゲット:Internet Gateway
NATゲートウェイ
インターネットへ接続したいがインターネットから接続されたくない時などにはこちらを利用します。
つまりNATゲートウェイはアウトバンドはできますが、インバウンドはできない設定が実現できます。
使い道としてはインターネットからパッチなどをダウンロードしたい時などが想定されます。
ENI(Elastic network interface)
仮想ネットワークインターフェースを指します。
EC2のインスタンスなどはIPアドレスごとにENIを持っています。
インスタンスに複数のENIをアタッチすることが出来て、たった1つのEC2インスタンスで2つのサイトを利用可能です。
Elastic IP
まずElastic IPの前にPublic IPですがAWSのIPアドレスプールより割り当てられるIPアドレスになります。
こちらはEC2インスタンスが停止、終了、再起動した場合には解放されてしまいます。
なのでミスして停止させてしまったらIPアドレスは変わってしまうので注意です。
そんなIPアドレスを変えたくないという時に利用されるのがElastic IPです。
こちらはEC2インスタンスが停止、終了、再起動した場合でも同じアドレスを利用し続けることが可能です。
ただこちらも注意があってインスタンスにアタッチしていないと料金が発生します。
私はこの仕様忘れていたので、アタッチしていないElastic IPが残ったままで、あまり利用してないアカウントでにも関わらず料金が発生していました‥汗
セキュリティグループ
AWSの仮想ファイアーウォールサービスです。
こちらは拒否設定はできず許可設定のみ可能です。
設定の単位はインスタンス単位にになります。
基本的にはこのセキュリティグループのインバウンドルールの方を設定しますが、よりセキュリティを強固にするためにアウトバンドルールも設定可能です。
デフォルトでは全てのトラフィックが許可されています。
またこのセキュリティグループはアウトバンドさえ許可されていれば、戻りは意識しなくても良いのが特徴です。
このことをステートフルといいます。
ネットワークのACL
サブネット単位で設定するファイアーウォールです。
サブネット内にあるインスタンスなどは全てこのACLのルールが適用されます。
各ルールには管理番号が付与されるのですが、小さい番号順に適用される仕組みです。
またネットワークACLはセキュリティグループとは異なり拒否リストを設定します。
さらにネットワークACLはステートレスであり、アウトバンドとインバウンドをそれぞれ別で設定が必要になります。
デフォルトとしてはインバウンドもアウトバンドも許可されています。
使い用途としては補助的に利用されることが多く、外部からの攻撃者がいた場合などに、その攻撃者のIPアドレスを特定し拒否設定をします。