AWSのネットワークメモ
ルートテーブル
一般的にはルーティングテーブルと呼ばれることも多い
ターゲット
ネクストホップとも呼ばれる
AWS での名称はターゲット
local は自分が所属しているネットワークを表す
通常ローカルネットワークと呼ばれる
サブネットごとにルートテーブルを設定できる
逆に複数のサブネットを1つのルートテーブルに関連づけることも可能
https://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/VPC_Route_Tables.html#route-table-assocation
デフォルトのルートテーブルはVPC領域全体のもの
変更すると他のサブネットにも影響を与えてしまうので変更してはならない
そのためルートテーブルを変更したい場合は、新しいルートテーブルを作成して明示的にサブネットへ適用する
Elastic IP
IPアドレスを固定化できる
パケットフィルタリング
ルーティングによるフィルタリング
経路を限定し無駄な通信を抑制する
VPCによるフィルタリング
ネットワークACL
ステートレス
適用対象はサブネット
インバウンド・アウトバウンドともに設定可
許可・拒否のどちらも定義可能
デフォルトでは全ての通信は許可される
適用可能なルール数はセキュリティグループと比較して少ない
セキュリティグループ
ステートフル
適用対象はネットワークインターフェイス(ENI)
1つのENIに 5 つのセキュリティグループを適用できる
セキュリティグループ 1 つあたりのルール上限数は 50
つまりルール数の上限は 250
インバウンド・アウトバウンドともに設定可
許可の定義のみ
デフォルトでは全ての通信は拒否される
適用可能なルール数はネットワークACLと比較して多い
ネットワークACLとセキュリティグループの使い分け
基本的にはセキュリティグループにのみフィルタを適用し、ネットワークACLには何もしない
拒否定義が必要な場合などにネットワークACLを検討する
セキュリティグループはサーバの機能ごとに用意する
参考
Amazon Web Services 基礎からのネットワーク&サーバー構築
Amazon Web Services 業務システム設計・移行ガイド
#AWS