はじめに
- Amazon VPC (Virtual Private Cloud)は、Amazon EC2 のネットワーキングレイヤーです。
デフォルトVPC
- デフォルトVPCを作成すると、以下の内容が自動で作成され、VPC内のEC2から簡単にインターネットへアクセス出来る。
- 3つのサブネット
- ルートテーブル
- インターネットゲートウェイ
- DHCPオプション
- ネットワークACL
- セキュリティグループ
デフォルトVPCを作成する
デフォルトVPCが作成される
デフォルトVPCを削除した、まっさらな状態
EC2インスタンスを作成しようとするとVPCが無いとエラーになる
サブネット
- VPC内のネットワークを分割する機能です。
- 3つのサブネットが自動的に作成される
- ネットワーク ACL に明示的にサブネットを関連付けない場合、サブネットはデフォルトのネットワーク ACL に自動的に関連付けられる
- サブネットは一度に 1 つのネットワーク ACL にのみ関連付けることができる
ルーティング
- VPC内のサブネット(172.31.0.0/16)向けは、local
- 外部(0.0.0.0/0)向けは、IGW
セキュリティ
VPC構成図
ネットワークACL
- ネットワークACLは、サブネットのファイアウォール機能です。
- デフォルトのネットワーク ACLが自動的に設定され、すべてのInとOutを許可
- 各カスタムネットワーク ACLは、ルールを追加するまですべてのInとOutを拒否する
- 低い番号から順にルールを評価し、一致したら即適用される
- ステートレス
セキュリティグループ
- セキュリティグループは、インスタンスの仮想ファイアウォール機能です。
- インスタンスレベルで動作
- 許可ルールのみ指定できる
- ステートフル
おわりに
- VPCを理解するには、インフラの基本的な知識が必要。
- プライベートなサブネットを構成する際、NATゲートウェイを使うと課金されるので注意。