AWS認定ソリューションアーキテクト(SAA)試験対策 - VPCの各機能まとめ
VPCはAWSの中でも初めに抑えておくべきサービスです。
様々な機能や用語がありますが、それぞれ簡単にまとめました。
数量的な制約
| VPC | 1リージョンに5VPC CIDRは、/16から/28の範囲で指定 |
| サブネット | 1VPCに200サブネット |
| ElasticIP | 1アカウントの1リージョンに5ElasticIP |
| ルートテーブル | 100ルートテーブル |
| セキュリティグループ | 1VPCに500セキュリティグループ |
| セキュリティグループのルール | 1セキュリティグループに50ルール |
インターネットゲートウェイ
パブリックサブネットからインターネットに接続するために必要でVPCに設定します。
インターネットゲートウェイがルートテーブルに設定されているサブネットをパブリックサブネットということも覚えて起きましょう。
| 送信先 | ターゲット |
|---|---|
| 0.0.0.0/0 | インターネットゲートウェイ(igw-xxxx) |
構成例
NATゲートウェイ
プライベートサブネットからインターネットにアクセスしたい場合に利用される。
・パブリックサブネットに配置する
・インターネット側からは接続できない
データベースサーバをプライベートサブネットに設置し、パッチの適用のインターネットに接続する
構成例
VPCエンドポイント
VPCの中(例えばEC2)からS3などVPCの外部にあるサービスにアクセスする場合、インターネットを経由せずに接続するために利用される
ゲートウェイ型
サブネットに特殊ルーティングを設定し接続できるようにします。
S3、DynamoDB
費用は無料です。
実際にS3のVPCエンドポイントを作成するとルートテーブルの送信先に「pl-xxxxx」でターゲットが「vpce-xxxx」のレコードが作成される
| 送信先 | ターゲット |
|---|---|
| pl-xxxxxxxx | VPCエンドポイント(vpce-xxxx) |
インタフェース型(PrivateLink)
ネットワークインタフェース(ENI)にプライベートIPアドレス付与して接続できるようにします。
ELB、SNS、SQS、CloudWatch、CloudTrail、など
費用は有料です。
実際にSNSのVPCエンドポイントを作成するとサブネットのネットワークインタフェースIDに「eni-xxxxx」が作成される
VPCエンドポイントサービス
独自に作成したサービスをAWSネットワーク内で利用することができる。
PrivateLinkが利用されています。
NLBが必須となります。
ネットワークACLとセキュリティグループ
どちらもファイアウォールのサービスです。
試験でもよく出題されますが、実業務でもこの設定ミスで接続できなくなることもよくあります。
違いをよく覚えておきましょう。
| ネットワークACL | セキュリティグループ |
|---|---|
| ステートレス | ステートフル |
| サブネット単位 | インスタンス単位(サーバ単位) |
| 許可と拒否を設定 | 許可のみを設定 |
| デフォルトは、全ての送信元IPを許可 | デフォルトは、同じセキュリティグループ内の通信のみ許可 |
| 番号の順序通りに適用 | 全てのルールを適用 |
VPC Flow Logs
VPCのネットワークトラフィックを取得しCloudWatchでモニタリングする場合に理容します。
VPCとVPCやオンプレとの接続方法
Direct Connect
専用線でオンプレ環境と接続する場合に利用し、主に企業のデータセンターとの接続に用いられます。
ネットワーク信頼性や帯域幅が高いことが特徴です。
Direct Connect gateway
Direct Connect gatewayを利用すると複数リージョンで接続できます。
VPN接続
DirectConnectと比較して、即時に利用でき費用が安いことが特徴です。
また、Direct Connect のバックアップ回線としても利用されます。
VPC peering
2つのVPCを接続する場合に用いられます。
接続は必ず1:1である必要があります。