VPC

オンプレで構築した場合のネットワークそのものが手に入ると言った感じ。自分用のクラウドにいくらでもコンピュータをはやせる。

table:設定項目

項目 説明 最小割り当て単位

VPC 仮想ネットワーク リージョン

サブネット VPCのIPアドレスの範囲 AZ

ルートテーブル サブネット内のEC2のルーティングを制御 サブネット

インターネットゲートウェイ VPC内とインターネットのやり取りを可能にする VPC

vpc内はプレイベートipのみ認識される

igwがプライベートipとパブリックipのnat変換的なこと

ネットワークACL サブネット

仮想プライベートゲートウェイ VPN、DX VPC

基本事項

VPCはリージョン（国）を跨げない

サブネットはアベイラビリティーゾーン（データセンター）を跨げない

サブネットCIDRの範囲(/16~28)

https://youtu.be/oBx4BYjfQGU

利用ケース

webアプリをパブリックでDBをプライベートに置く

できることの基本事項

パブリックサブネットはインターネットへアウトバウンドできる

プライベートサブネットはできない

プライベートサブネットはパブリックサブネットのnatを介してインターネットへアウトバウンドできる

パブリックサブネットとプライベートサブネットは通信できる

vpc間の接続

これからはピアリングよりもTransit Gatewayがベストプラクティス

https://gyazo.com/2b1e5d41ac4bb6c9193a03db91fbd2ee

その他機能

flow log

Reachability Analyzer

https://youtu.be/bTCIrGM5aqY

各種gateway

https://youtu.be/_kUPqFvJS8o

hiroki.icon

なんかサービスによってはVPC外に置かれるサービスとか(S3,Dynamo)セキュリティ的に不安になる時もある。

VPC内(プライベート)イコール安全といった認識だから。

リソースベースポリシー

VPCEndpointを指定したアクセスのみ許可

とかしておけば間違いないだろうけど

VPC内、外のリソースを見分ける方法はリソースの作成時にVPC,subnetを指定するかとか→VPC内に置かれるということだから

terraformで項目見てみれば分かりやすいかも

https://gyazo.com/f0e0f77ed9795180b08f71169327268f

AWS内だがVPC外をリージョンサービス

VPC内と外

https://gyazo.com/af4b46496a405e97e352d22eb9c7a442

vpc間の接続

https://gyazo.com/ef0e3312d8639631528632e36d5736b4

https://youtu.be/vePEKj2gR3k

https://youtu.be/e7fJ7mva3QI