【AWSユーザーガイド非公式解説】[VPC]3-1.仮想プライベートクラウドを設定する(前半)
この記事はAWSユーザーガイドの以下リンクの解説記事です。
Amazon Virtual Private Cloud (VPC)ににIPアドレス範囲(CIDRブロック)を定義し、サブネット、ルーティングテーブル、ネットワーク接続等を設定することによって、ネットワーク環境を制御できます。
AWSアカウントを作成するとデフォルトVPCが自動で各リージョンに作成されます。デフォルトVPCを使用すると簡易な設定変更により、インターネット接続可能なインスタンス環境を作成できます。
デフォルトVPCはどちらかというと初心者が簡単に環境構築できるように用意された環境で、最初からインターネットウェイが関連付けられています。セキュリティ上、不要なインターネットゲートウェイを関連付けるのは望ましくないため設定変更を行うか、別途、VPCを作成して利用することが推奨されます。
システムの種類、環境(本番、ステージング、開発)等によってVPCを複数作成することで、セキュリティ設定を完全に分離して管理することができます。セキュリティ設定を完全に分離することによって「誤ったセキュリティ設定を関連付けてしまった」等のミスを防止できます。
VPC の基本
VPCはリージョン内で作成し、リージョン内の全てのアベイラビリティーゾーンを跨ぐ形で使用できます。
VPCを作成したのちに、アベイラビリティー毎にサブネットを作成します。VPCはリージョンをまたぐ形では作成できません。別リージョンでの災害対策環境が必要な場合は必ず別のVPCが必要となります。
VPC の IP アドレスの範囲
VPCを作成するときはIPv4 CIDRブロックのみとすることも、 IPv6 CIDRブロックを追加し、デュアルスタックとすることもできます。
VPC の図
次の図はリソースのないVPCのイメージ図です。VPCはリージョン内で全てのアベイラビリティーゾーンにまたがる形で作成されています。
VPC の設定オプション
VPCを作成する際は、CIDRブロックの設定のみで作成することもできますが、以下のようなオプションを設定して作成することもできます。
名前
Nameタグの値を設定します。自動生成とすることもできます。
テナンシー
このオプションで「専有(Dedicated)」を使用することにより、インスタンスはユーザー専用のハードウェアで実行されます。
機密性の高い情報を他社と共有するクラウド上で取り扱えないセキュリティポリシーがある場合など、このオプションをすることにより対応可能となります。そのような理由がなければこのオプションを使用することはあまりないと思sいます。
アベイラビリティーゾーン
一つのアベイラビリティゾーンは、一つ又は、複数のデータセンターから構成されています。
(アベイラビリティゾーンが同じでも実際に起動するリソースは別のデータセンターの可能性はsありますが、)アベイラビリティゾーンが別であれば、確実に別のデータセンターになります。
(データセンター被災などの)可用性等を考慮し、複数のアベイラビリティゾーンを使用することが推奨されています。
VPC作成時には、使用するアベイラビリティゾーンの数と、使用するアベイラビリティゾーンを設定可能です。
サブネット
VPCに設定したCIDRブロックの範囲内で、複数のサブネット(仮想ネットワーク)を作成することができます。
サブネットはアベイラビリティゾーンを指定して作成するもので、複数のアベイラビリティゾーンにまたがることはできません。複数のアベイラビリティゾーンにそれぞれサブネットを作成し、インスタンスを起動することにで可用性、耐障害性を高めることができます。
VPC作成時にパブリックサブネットの数及びプライベートサブネットの数、並びに各サブネットのCIDRブロックを指定することができます。
ルートテーブル
VPC作成時にサブネットを作成した場合は、そのサブネットにおけるルート設定がされたルートテーブルが作成され、紐づけられます。
インターネットゲートウェイ
パブリックサブネットを作成する場合、インターネットゲートウェイが作成され、トラフィックをインターネットゲートウェイに送信するルートがパブリックサブネットのルートテーブルに設定されます。
NAT ゲートウェイ
プライベートサブネットからインターネット向けのアウトバウンドの通信を行う場合に使用します。インターネットからの通信は不要なシステムで、パッチ等をインターネットから取得する場合等で使用します。
1つ又は、全てのアベイラビリティゾーンに作成することができます。
可用性等の観点から複数のアベイラビリティゾーンに作成することが推奨されますが、作成したNATゲートウェイ単位で料金が発生するため注意が必要です。
DNS オプション
- [DNS ホスト名を有効化]:このオプションによりパブリックIPアドレスを付与したEC2インスタンスにDNSホスト名が設定されます。
- [DNS 解決を有効化]:このオプションにより、DNSホスト名がRoute 53 Resolver と呼ばれる Amazon DNS サーバーに登録され、名前解決が可能となります。
詳細は後述。
デフォルト VPC
アカウントを作成すると、各リージョンにデフォルトのVPCが作成されています。
デフォルトVPCは、DNSが有効となっており、インターネットゲートウェイ、パブリックサブネットが作成されています。
デフォルト VPC は、すぐに使用を開始する場合や、ブログやシンプルなウェブサイトなど、パブリックインスタンスを起動する場合に適しています。
デフォルト VPC のコンポーネント
各リージョンには、172.31.0.0/16 のIPv4 CIDRブロックが割り当てられたデフォルトVPCがあらかじめ作成されています。
デフォルトVPCにはあらかじめ以下の設定がなされています。
- 各アベイラビリティゾーンに、/20のデフォルトサブネットが作成されています。
- インターネットゲートウェイが作成され、宛先 (0.0.0.0/0)の通信をインターネットゲートウェイにルーティングするルート設定がメインルートテーブルに設定されています。
- デフォルトのセキュリティグループ、ネットワークACLが作成されています。但し、ルールは設定されていません。
- デフォルトのDHCPオプションセットが関連付けられています。
デフォルトサブネット
デフォルトサブネットは、インターネットゲートウェイ宛のルートが設定されたメインルートテーブルが関連付けられたパブリックサブネットとして作成されています。
プライベートサブネットに変更する場合は、メインルートテーブルから送信先 0.0.0.0/0 のルートを削除します。
デフォルトサブネットは、パブリックIPv4アドレスの自動割り当てが有効化されており、インスタンスを起動すると、プライベートIPv4アドレスとDNSホスト名及びパブリックIPv4アドレスとDNSホスト名を受け取ります。パブリックIPv4ドレスが割り当てられたインスタンスを起動すると費用が発生するため、デフォルトサブネットを使用する場合は注意してください。
デフォルトの VPC とデフォルトのサブネットを使って作業する
「VPC を作成する」
VPC 内のリソースを視覚化する
CIDR ブロックを追加するまたは VPC から削除する
Discussion