VPC(AWS)

Cloud
スポンサーリンク

クラウドを始める場合は最初にネットワークの動作、仕様を最初に理解したほうが後々楽になります。
クラウドサービス(AWS/Azure/GCP)によってネットワークの考え方が異なります。
AWSとGCPは似たような構想となっていますが、Azureはちょっと異なります。

VPC概要

VPCはネットワークのおおもとになります。
設定としては、ネットワークのCIDRを指定し、その中にサブネットを作成していくことになります。
VPCには色々なネットワークサービスが紐づいてくことになります。

サブネットの考え方

VPCを作成してからVPC内にサブネットを作成していきます。
一般的には「インターネット接続を許可するPublic」「Publicサブネットからのみアクセス可能なPrivate」の2種類を作ります。
Webサーバーの場合はPublicサブネットにELBを設置し、WebサーバーをPrivateサブネットに作成します。
WebサーバーはPublicサブネットにあるELBからのみHTTP/HTTPSを許可すればよいのでこういう構成にしてセキュリティを高めていきます。
大規模環境だと、Privateの他に「Protected」サブネットを作成しRDSを配置したりします。
PrivateサブネットのWebサーバー等が他のシステムと通信する場合に採用されます。
内部用のサブネットをさらに用途ごとに細分化するイメージになります。

Publicサブネット

Publicサブネットはインターネット通信を許可するサブネットになります。
では、インターネットとの通信をどのように設定するのか?というと「インターネットゲートウェイ」を作成し、「ルートテーブル」を設定します。
これをPublicサブネットにのみ許可することによってインターネット接続可能なサブネットとしています。
セキュリティグループの設定も忘れずに行っておきましょう。

Privateサブネット

Privateサブネットのサービスがインターネット通信を行いたい場合はNATゲートウェイ経由で通信を行わせるのが基本となります。

VPCエンドポイント

PrivateサブネットはVPC内部での通信のみ行う前提で作成します。
では、PrivteサブネットからS3などAWSのグローバルIPで提供されているサービスを利用する場合はどうするのでしょうか?
その場合はVPCエンドポイントを作成します。

AWSのサービスをVPCに紐づけることによりローカルIPでアクセスできるようにします。
AWSのサービスによりGateway型、Interface型の2種類があります。
Gateway型を使用する場合はルートテーブルにルーティング設定が必要となります。

VPC Flow Logs

VPCの通信記録をCloudWatch Logs/S3へ保存する設定になります。
セキュリティグループやNACLを設定した後に通信ができなくなった場合の切り分けに使用することができます。

Cloud
スポンサーリンク
スポンサーリンク
フォローする
スポンサーリンク
SEの頭の中身

コメント

タイトルとURLをコピーしました