VPC - Virtual Private Cloud
前提(IPアドレス、サブネットマスク)
IPアドレス→ネットワーク機器に付与される
ICANNが管理
IPアドレスは重複が許されない
32ビットの数値データ
0.0.0.0〜255.255.255.255
IPアドレスは、NIC(ネットワークインターフェースカード)に割り当てられる
172.16.0.10
↓
10101100 10000 0 1010
↓
10101100 00010000 00000000 00001010
IPv4形式
枯渇しつつある
IPv6
2001:268:c05f:c20e:e0f5:fd5c:9cf4:d7d
グローバルIP
プライベートIP
IPアドレス+サブネットマスク=IPの範囲
CIDR
classless inter-domain routing
/◯で32進数の範囲を前からロックしていく
/16 推奨レンジ
サブネットマスクで指定している範囲の末尾の数字をかえることで、サブネットを作成する
10.0.0.0/24
10.0.1.0/24
10.0.2.0/24
VPCとは
Virtual Private Cloud
仮想ネットワークを作るためのAWSサービス
AWSクラウドのネットワーク空間内に自分用のネットワークを作る
同一リージョン内ではVPCは複数のAZにリソースを含めることが可能
VPCはサブネットの知識が必要
VPCウィザード(VPCの設定)を利用することで、ひんぱんにりようされるVPC構成を瞬時に構成することができる
パブリックとプライベートサブネットを持つVPC
パブリックとプライベートサブネット及びハードウェアVPNアクセスを持つVPC
プライベートのサブネットのみでハードウェアVPNアクセスを持つVPC
これらを選択して作る
ウィザードを使わなくても作れる
VPC作成
サブネット作成
インターネット経路を設定
VPCへのトラフィック許可の設定
CIDR
/24の場合、.0, .1, .2, .3, .255は利用できない
VPCの外部にあるリソースとの通信には、パブリックネットワークかエンドポイントを利用する
エンドポイントの方が安全
VPCの機能
VPC 最も主要な機能
サブネット AZに対してデフォルトのサブネットが配置される
ルートテーブル ルーティング インターネットテーブルとの関連付け
インターネットゲートウェイ
Egress Only インターネットゲートウェイ ipv6用
キャリアゲートウェイ wavelengthという5g専用のサービスを立ち上げて、それとやり取りすることが出来る
DHCオプションセット TCPIPネットにホストの情報を渡す 名前解決
Elastic IP 固定的なIP付与
マネージドプレフィックスリスト CIDR範囲
エンドポイント VPCとの外の接続
エンドポイントのサービス 他のアカウントから今のAWSのVPCに接続させる為
NATゲートウェイ インターネットからの直接のアクセスを防ぎつつインターネットにアクセスする
ピアリング接続
ネットワークACL VPCやサブネットの許可を行うファイアーウォール的なやつ
セキュリティグループ
Reachability Analyzer ネットワークに到達できるかどうか
NetWorkAccess Analyzer VPCがセキュリティの基準にあっているかどうか
ルールグループ Route53の機能だが、DNSFireWALLの許可
ドメインリスト ドメインの許可、
ネットワークファイアーウォール ポリシーとグループを設定して、脅威を削除
仮想プライベートネットワーク
AWSCloudWAN
トランジットゲートウェイ
トラフィックのミラーリング トラブルシューティングの機能
VPCを構築する
VPCウィザードの起動
パブリックとプライベート サブネットを持つ VPC
Elastic IPを設定し、固定IPを割り振る
サブネットのルートテーブルにルーティングし、VPCと連携、VPCとインターネットの連携もルートテーブルが必要
VPCの作成が完了すると、サブネット、ルートテーブル、インターネットゲートウェイ、NATゲートウェイが作成される
NATは有料のため、削除する
NATとは
Network Address Translationの略
IPアドレスを変換する技術。
一般的には、プライベートIPアドレスをグローバルIPアドレスに変換する技術とされている。
企業ネットワークはプライベートIPアドレスを使用して構築されたネットワークなので、企業LANネットワークのクライアントPCがインターネット接続を行う場合、プライベートIPをグローバルIPに変換する必要があり、ここでNATが使われる。
内部から外部への通信は、送信元IPアドレスが変換され、外部から内部への通信は、宛先IPが変換される
nat gateway インターネットゲートウェイ 違い
IGW→主な機能:NAT。VPCとインターネット間の接続
NATGW→主な機能NAT。インターネットとの接続にはIGWが必要
IGWはプライベートIPとグローバルIPを1対1で変換する
NATGWはプライベートIPとグローバルIPを多対1で変換する
ただし、複数のプライベート IP を 1 つのパブリック IP に変換してしまうと、戻りの通信においてどの通信がどのプライベート IP に変換すればいいか一意に定まらなくなってしまうので、TCP/UDP ポート番号も変換することでそれを回避しています。このような NAT 方式を「動的 NAPT (ナプトNetwork Address and Port Translation )=Dynamic NAPT」と呼びます。
IPマスカレードは、NAPTと同じ。Linux 上での NAPTの実装をIPマスカレードと呼ぶ。
IPアドレスを自動付与がDHCP(Dynamic Host Configuration Protocol)サーバ
最近のルーターは、NAT、IPマスカレード、DHCPが導入されている。
プライベートサブネット
パブリックサブネットから踏み台サーバを利用して、プライベートサブネットにアクセス可能
返信のトラフィックはNATゲートウェイが必要
実際の利用について
パブリックサブネット、プライベートサブネットをVPCで設定後、
ec2インスタンスに対し、それらを付与していく
ターミナルからアクセス
ssh ec2-user@グローバルIP -i 秘密鍵
アクセス後、プライベートサブネットのec2インスタンスにアクセスするためには、
パブリック側からさらにsshを利用する
秘密鍵の内容をコピーしたpemファイルをnanoやviで作成する
その後、ssh ec2-user@プライベートIP -i 秘密鍵
sudo su後
yum update -y
としてもNATゲートウェイを削除していると出来ない
NATゲートウェイを通すために、NAT作成後
サブネットからルートテーブルを選択し、NATを選択することで、プライベートネットにあるec2インスタンスも
ネットワークにアクセスすることが出来る
VPCとのオンプレミス接続
VPN接続
専用線接続(Direct Connect)
Direct Connect
安価
ネットワーク信頼性の向上
Direct Connect ゲートウェイをつなぐ
VPCエンドポイント
サブネットの外側にあるネットワークにつなげる時に利用
VPC Peering
2つのVPC間のトラフィック設定
改めて入門
マネージメントコンソールでVPCを選択
VPCダッシュボードにて、VPCウィザードを起動を選択
作成するリソースはそのまま
自動生成にチェックを入れ、任意の名前をつける
IPv4 CIDRブロックに10.0.0.0/16 を入力
IPv6 CIDRブロックなしを選択(デフォルト)
テナンシーもデフォルト
AZは2
パブリックサブネット数、プライベートサブネット数ともに2
パブリック、プライベートのそれぞれCIDRブロックを設定
1a パブリック 10.0.0.0/24
1a サブネット 10.0.2.0/24
1c パブリック 10.0.1.0/24
1c サブネット 10.0.3.0/24
NATゲートウェイは、AZ内に1
VPCエンドポイント S3ゲートウェイ
DNSオプション DNSホスト名を有効化にチェック
VPCを作成