# aws-03. AWS ネットワーク機能、セキュリティ機能 ________________________________________ Amazon VPC の仕組み https://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/how-it-works.html ________________________________________ ## 1. 基本機能 ________________________________________ ### 1.1. デフォルトの構成 初期状態で、各リージョンごとに以下が用意済 そのため、何もせずEC2を立ち上げても使えるようになっている 項目 |補足 ------|------------------------------------ vpc |- subnet|そのリージョン内のAZごとに1つ rtb |0.0.0.0/0(igw), 172.31.0.0/16(local) igw |- dopt |- acl |全て許可 sg |default。全て許可 - ________________________________________ ### 1.2. 簡単な説明(基本的なネットワーク機能) インターネットゲートウェイ(igw) - 基本的にいじることはない - VPCに対してアタッチする - VPC内のノードがインターネットに繋がるためのゲートウェイ - publicサブネットを使う場合は、必ずVPCに対して設定しなくてはならない ルートテーブル(rtb) - サブネットに対してアタッチする - VPCへの設定は、サブネット作成時の初期選択肢に過ぎない - ルーティング設定 - アドレス範囲が狭い方でルーティングされる - デフォルト設定内容は、宛先がローカルならローカルへ、そうでないならigwへ、という意味 - 宛先はlocal、igwのほかに、natgw、vpgw、vpcエンドポイント、peer接続などを指定できる サブネット(subnet) - ネットワークそのもの - どのAZ内なのか指定が必須 - 各サブネットの以下のIPは予約済 - 0番目:ネットワークアドレス - 1番目:暗黙のルータ - 2番目:暗黙のDNSサーバ - 3番目:未使用 - 最後 :ブロードキャストアドレス - publicサブネット、privateサブネットのどちらにするか明示が必要 - publicサブネットに所属するノードは以下の通り - igwとやり取り可能 - public IPの割り当てが可能 - privateサブネットに所属するノードは以下の通り - igwと直接やり取り出来ない - NATゲートウェイと組み合わせることで外部とのやり取りが可能になる - public IPの割り当ても出来ない DHCPオプションセット(dopt) - 基本的にいじることはないため略 ________________________________________ ### 1.3. 簡単な説明(基本的なセキュリティ機能) ネットワーク ACL(acl) - サブネットに対してアタッチする - VPCへの設定は、サブネット作成時の初期選択肢に過ぎない - ルール番号に従って評価され、最初にマッチしたルールでAllowかDenyされる セキュリティグループ(sg) - サブネット内のノードに対してアタッチする - いずれの条件にもマッチしなければDeny ________________________________________ ### 1.4. VPCエンドポイントとAWS SaaS VPCエンドポイントの意味 - S3、RDSなどAWSのSaaSはグローバルにいる - 特に何も設定しないと、VPC内からのアクセス時、一度インターネットを経由するため遅い - VPCエンドポイントはAWS内の高速帯域を使用するための設定