AWS認定ソリューションアーキテクト(SAA)試験対策 - VPCの各機能まとめ

2020年2月12日AWS認定試験

VPCはAWSの中でも初めに抑えておくべきサービスです。

様々な機能や用語がありますが、それぞれ簡単にまとめました。

数量的な制約

VPC1リージョンに5VPC
CIDRは、/16から/28の範囲で指定
サブネット1VPCに200サブネット
ElasticIP1アカウントの1リージョンに5ElasticIP
ルートテーブル100ルートテーブル
セキュリティグループ1VPCに500セキュリティグループ
セキュリティグループのルール1セキュリティグループに50ルール

インターネットゲートウェイ

パブリックサブネットからインターネットに接続するために必要でVPCに設定します。

インターネットゲートウェイがルートテーブルに設定されているサブネットをパブリックサブネットということも覚えて起きましょう。

ルートテーブル

送信先ターゲット
0.0.0.0/0インターネットゲートウェイ(igw-xxxx)

構成例

NATゲートウェイ

プライベートサブネットからインターネットにアクセスしたい場合に利用される。

ポイント

パブリックサブネットに配置する
・インターネット側からは接続できない

利用シーン

データベースサーバをプライベートサブネットに設置し、パッチの適用のインターネットに接続する

構成例

VPCエンドポイント

VPCの中(例えばEC2)からS3などVPCの外部にあるサービスにアクセスする場合、インターネットを経由せずに接続するために利用される

 

ゲートウェイ型

サブネットに特殊ルーティングを設定し接続できるようにします。

対象のサービス

S3、DynamoDB

費用は無料です。

実際にS3のVPCエンドポイントを作成するとルートテーブルの送信先に「pl-xxxxx」でターゲットが「vpce-xxxx」のレコードが作成される

ルートテーブル

送信先ターゲット
pl-xxxxxxxxVPCエンドポイント(vpce-xxxx)

 

インタフェース型(PrivateLink)

ネットワークインタフェース(ENI)にプライベートIPアドレス付与して接続できるようにします。

対象のサービス

ELB、SNS、SQS、CloudWatch、CloudTrail、など

費用は有料です。

実際にSNSのVPCエンドポイントを作成するとサブネットのネットワークインタフェースIDに「eni-xxxxx」が作成される

VPCエンドポイントサービス

独自に作成したサービスをAWSネットワーク内で利用することができる。

PrivateLinkが利用されています。

ポイント

NLBが必須となります。

ネットワークACLとセキュリティグループ

どちらもファイアウォールのサービスです。

試験でもよく出題されますが、実業務でもこの設定ミスで接続できなくなることもよくあります。

違いをよく覚えておきましょう。

ネットワークACLセキュリティグループ
ステートレスステートフル
サブネット単位インスタンス単位(サーバ単位)
許可と拒否を設定許可のみを設定
デフォルトは、全ての送信元IPを許可デフォルトは、同じセキュリティグループ内の通信のみ許可
番号の順序通りに適用全てのルールを適用

VPC Flow Logs

VPCのネットワークトラフィックを取得しCloudWatchでモニタリングする場合に理容します。

VPCとVPCやオンプレとの接続方法

Direct Connect

専用線でオンプレ環境と接続する場合に利用し、主に企業のデータセンターとの接続に用いられます。

ネットワーク信頼性や帯域幅が高いことが特徴です。

 

Direct Connect gateway

Direct Connect gatewayを利用すると複数リージョンで接続できます。

VPN接続

DirectConnectと比較して、即時に利用でき費用が安いことが特徴です。

 

また、Direct Connect のバックアップ回線としても利用されます。

VPC peering

2つのVPCを接続する場合に用いられます。

接続は必ず1:1である必要があります。