インフラのさいしょ

AWSのだいぶ基本的なところを見直す

図を描いてイメージをするのが良さそう

VPCを作る

AWS Cloudがまずあって、

AWSのリージョンを選んで、その中にAmazon VPCを作る

https://gyazo.com/962135bf9f5aca1b699c7bb612e894ee

VPCの中に複数のSubnetを作る

VPCは、複数のAvailability Zoneに跨ることができる

Subnetは、必ず1つのAZに属する

1つのVPCに複数のサブネットを作成し、それぞれ異なるAZに配置できる

これは後々、Public SubnetとPrivate Subnetというふうに使い分ける想定

ただ、Subnetを分けた時点では、Public/Privateのような種族はない

https://gyazo.com/1a5612cc6c3191735dedef4145f04589

現時点では、VPCはインターネットから独立している

VPCからインターネット通信できるようにする

Internet Gateway (AWS)とVPCを紐づけて、VPCからインターネット通信できるようにする

VPCにIGWをアタッチすることで、

そのVPC内のPublic IP Addressを持つリソースが、

インターネットと通信できるようになる

Route Table (AWS)の設定をする

AWSでは、subnetごとにroute tableを持つ

Route Tableを作成し、Subnetに紐づける

(2つあるうちの)1つのSubnetのrouting tableを編集して、「0.0.0.0/0の範囲の宛先パケットは、IGWに転送する」ようにする

これで、このSubnetは、インターネットと通信できることになり、

こういうSubnetのことを、Public Subnetと呼ぶ

prod/devなどはどの部分から切り分けるべきか

別のVPCを用意すべきらしい

同じVPC内にあると一方から他方へアクセス可能である

一方の環境での誤りが他方へ影響を及ぼす可能性がある

一方の環境が攻撃されると他方へ影響を及ぼす可能性がある

というかそもそも別のAWSアカウントで運用すべきらしい

public subnetにはalbを置いて、ec2とかもprivate subnet内に入れるのか

/mrsekut-book-4814400527/588.icon

cdnやs3はそもそもvpcの外なんだ(?)

Security Groupが許可しているIPアドレスがどこの話なのかわかっていない

80や443を許可すればよいのか、3000を許可するのか

NATとは