Amazon VPC(Virtual Private Cloud)
■Amazon VPC の特徴
- AWS クラウド内に論理的に分離された仮想ネットワーク
- IP アドレスの範囲の選択、サブネットの作成、ルートテーブルやネットワークゲートウェイの設定など仮想ネットワーク環境を構築管理できます。
目次
VPC エンドポイント
■VPC エンドポイントの特徴
- 通常 EC2 インスタンスから S3 へアクセスする場合は、一旦インターネットを経由しなければいけませんが、VPC エンドポイントを利用することによりインターネットゲートウェイを経由せずに ①PlivateLink を使用する AWS サービスや ②VPC エンドポイントサービスにプライベート接続ができます。
- VPC エンドポイントは、インターネットゲートウェイ、NAT デバイス、VPN 接続、または AWS Direct Connect 接続を必要としません。
- EC2 インスタンス ← VPC 内のサービス
- S3 ← リージョンに設置するので VPC 外のサービス
VPCエンドポイントは2種類があります。
■VPCエンドポイント
- ゲートウェイ型【最初にできた】
- インターフェイス型(PlivateLink 型)【後にできた】
■VPC エンドポイント ゲートウェイ型の特徴
- サポートされる AWS のサービスを宛先とするトラフィックのルートテーブルで、ルートのターゲットとして指定するゲートウェイです。
- サポートされる AWS のサービスは、Amazon S3 と DynamoDB です。
- 追加料金なしで使用できます。
- サブネットに特殊なルーティングを設定し、AWS リソースが VPC 内部から直接外のサービスと通信することを可能にします。
■VPC エンドポイント インターフェイス型の特徴
- サポートされるサービスを宛先とするトラフィックのエントリポイントとして機能するサブネットの IP アドレス範囲のプライベート IP アドレスを持つ Elastic Network Interface です。
■ネットワーク ACL の基本
- VPC には、変更可能なデフォルトのネットワーク ACL が自動的に設定されます。
- カスタムネットワーク ACL を作成し、サブネットと関連付けることができます。
- ネットワーク ACL はステートレス(Stateless)です。(ステートレスなのでアウトバウンドも考慮する必要があります)
※ネットワーク的にステートレス(Stateless)とは、今までの状態を持たないという意味です。
※ステートフル(Steteful)とは、今までの状態を保持してコンテキストに沿って動作をするという意味です。
■ネットワーク ACL のルール
- ルールは、最も低い番号を持つルール番号から評価されます。
VPC ピアリング接続
■VPC ピアリング接続の特徴
- 接続したい VPC と直接 VPC ピアリング接続をする必要があります。
- 異なる AWS アカウントでも VPC ピアリング接続が可能です。
- 中国を除く全リージョンの VPC と VPC ピアリング接続が可能です。
- 通信の単一障害点や帯域幅のボトルネックはありません。
DNS hostnames(DNS ホスト名)オプション
- DNS hostnames(DNS ホスト名)オプションを有効化するとパブリック IP アドレスを持つインスタンスが、パブリック DNS ホスト名を取得できます。
オンプレミス環境からグローバルIPをAWSに移行することが可能
データセンターなどのオンプレ環境で利用しているグローバルIPをAWSに移行することが可能です。(グローバルIPアドレスを変更することなくそのままのグローバルIPをAWSに持ってこれます)
最近はないと思いますが、例えば非常に古いシステムだとFQDNやドメインではなくグローバルIPでサーバにアクセスをさせているようなシステムがあります。
その場合、グローバルIPが変わってしまうとクライアントからアクセスができなくなるので移行は難しかったのですが、AWSの場合はグローバルIPを地域インターネットレジストリ (RIR、Regional internet registry) に登録して、Registry Data Access Protocol(RDAP)を利用して自己署名付きの X.509証明書を発行することでグローバルIPをAWSに移行することが可能になります。
VPN 接続でオンプレと VPC 間で接続が可能
VPN 接続でデータセンターなどのオンプレと VPC 間で接続が可能になります。(DirectConnectでも可能になります。)
- オンプレ側のアンカー ← カスタマーゲートウェイ
- AWS 側のアンカー ← 仮想プライベートゲートウェイ
この構成を冗長化するためにはさらにもう1セット(カスタマーゲートウェイと仮想プライベートゲートウェイ)を構築します。
H/W 障害で通信ができなくなった場合、もう1つの VPN接続の方にフェイルオーバーします。
IPv6を利用する場合
IPv6 アドレスはグローバルに一意であるため、デフォルトではパブリックアドレスになっています。
インスタンスにインターネットにアクセスさせる場合で、インターネット上のインスタンスにインスタンスとの通信を開始させないようにする場合は、Egress-Only インターネットゲートウェイを使用できます。
NATゲートウェイ、NATインスタンス
NATインスタンスをマルチAZ構成にして、NATインスタンスに障害が発生した際にフェイルオーバーさせることができます。
ただし、スクリプトの作りこみが必要になります。
ちなみに NAT インスタンスは数にあるように NAT AMI のサポートが終了しています。その為、NAT ゲートウェイの使用もしくは Amazon Linux 2 で独自の NAT インスタンスの構築を推奨されています。
ただし、独自で構築する NAT インスタンスは運用管理が発生するので、どうしても NAT インスタンスでなければいけない要件がないなら、NAT ゲートウェイの利用を推奨されています。
AWS 認定試験の勉強方法
最近はコロナ禍という状況が影響しているのかどうか分かりませんが、勉強や学習意欲が非常に高くなっています。
インフラエンジニアとして AWS をメインに業務を行っていることもあり、毎日 AWS 認定試験の試験勉強をしています。
資格について IT エンジニアの場合は実績が重要なので資格は必要ないという意見もありますが、個人的には資格取得の勉強をすることにより
- 自分が知らない分野の知識やスキルが身につく
- 食わず嫌いで今まで取り組んでこなかった知識が身につくので業務を改善する新しいアイデアが生まれる
- 業務が捗る
というメリットを感じています。
AWS 認定試験についは、Udemy を利用して飽きずに楽しく勉強しています。
■Udemy のメリット
大量に問題があるので、飽きずに楽しく勉強ができます。
私の場合はテキストを読んで勉強することが非常に苦手ですぐに飽きてしまします。
しかし Udemy の大量の模擬試験問題集を解き、解答を確認して、不明な点は AWS の公式サイトを確認して学習しているので、集中して学習を続けることができます。
とにかく大量の問題を解くことが私にとって学習を続けられる唯一の方法のような気がします。
ちなみに Udemy ではたまにプレゼント企画もやっています。
先日は1つの講座を申し込んだ際に「How to Learn: Effective Approaches for Self-Guided Learning」の講座を無料で受講することが出来ました。
コメントを残す