座学

• Amazon VPC Black Belt(youtube)
• Amazon VPC Black Belt(slideshare)
• Amazon VPC ユーザガイド

Amazon VPCとは？

AWS上でネットワークを構成するサービス。

VPCの基本的な組み方

1. 全体的なネットワーク空間を定義する

VPCを作成し、AWSのリソースが稼働するためのネットワーク空間を定義
- VPCの作成
将来的なリソース拡張を考慮して、IPアドレス範囲は大きめに作成する。
RFC 1918に指定されているプライベート IPv4 アドレス範囲推奨
最初のアドレスブロック作成後は変更できないので注意。(2個以降は追加・削除できる)
CIRD推奨は/16 (16bit ~ 28bit)

2. サブネットを定義する

ネットワーク空間をより細かく分解する
サブネットの中でEC2等が稼働する環境にする。
サブネットを使用できる範囲も16bit ~ 28bit
- アベイラビリティゾーン
各リージョンに複数のAZが存在する。
AZは物理的なデータセンター。
このデータセンターを1つ選ぶ。
冗長を考える場合は複数のデータセンター(AZ)を利用した方がいい。
- サブネットに対してAZとアドレスを選択
各AZごとに最低ひとつのサブネットを用意する。
サブネットは/24推奨。
サブネットで利用できないIPアドレスがある。

3. インターネットへの接続経路設定

• ルートテーブル
  ルートテーブルはパケットがどこに向かえばいいのかを示すもの。
  VPC作成時にデフォルトで1つルートテーブル作成される。
  デフォルトではVPC内通信のみ許可されている。
  カスタムルートテーブルを作成し、インターネットへのルートを設定する。

• インターネットゲートウェイ作成
  インターネットゲートウェイを作成して、VPCにアタッチする。
  VPCとインターネット間の通信が可能になる。

4. VPCへのトラフィック管理

VPCの仮想ファイアウォールとして機能ものが大きく2つある。
- セキュリティグループ
ステートフルなファイアーウォール
EC2やRDS等のインスタンス対して設定する。
デフォルトでは同じセキュリティグループ内の通信のみ許可。
初期設定に必要なポートを許可する(SSHやHTTP,HTTPSなど)
- ネットワークACL
ステートレスなファイアーウォール
サブネット単位で適用される
デフォルトでVPCに設定されるACLはすべてのIn・Outトラフィックを許可。
- VPCセキュリティコントロール

• セキュリティグループとネットワーク ACL の比較
  ネットワークACL(サブネット)で外部通信を拒否していれば、
  セキュリティグループで許可していても通信できない。

ハンズオン

• AWS Hands-on for Beginners Network編#1

ハンズオン概要

ハンズオン①

• VPC作成
• サブネット作成
• インターネットゲートウェイ作成
  

ハンズオン②

• パブリックサブネットにWebサーバを設置する
• インタネットからWebサーバに接続し、画面が表示されるかを確認する。
  

ハンズオンを実際にやってみる

VPC作成

東京リージョンにVPCを作成する。
IPアドレス空間は「10.0.0.0/16」

サブネット作成

VPCのアドレス空間「10.0.0.0/16」をさらに分割、4つのサブネットを作成する。
AZをAとCに分けて、プライベート用サブネットとパブリック用サブネットを
それぞれ1つずつ作成していく。

まず、VPCを選択する。

メモ
サブネット作成後にアドレス範囲は修正できない？

インターネットゲートウェイ作成

インタネットゲートウェイを作ったばかりの状態。
どのVPCにもアタッチされていない。

VPCにアタッチする。

メモ
3回目20210622

ルートテーブルの作成

以下のルートテーブルを作成し、サブネットと関連付ける。
Public Route Table：インターネット接続
Private Route Table：インターネット接続不可

• デフォルトの設定
  以下はVPC作成時にデフォルト作成されたルートテーブル
  4つのサブネットと関連付けされていて、
  VPC内通信のみ許可されている。(Local)
  

• インターネットへのルート設定（Public Route Table）
  デフォルトゲートウェイ「0.0.0.0/0」を設定する
  
  
  

パブリックサブネットを関連付けする。

• VPC内通信のみ（Private Route Table）

ルートテーブル動作確認

• IAMロール作成
• EC2起動
  サーバをインターネットに公開するため、パブリックIPv4アドレスが必要。
  
  
  Apacheインストール、起動
  
  セキュリティグループ設定
  

ルートテーブル関連付けの変更

Pubulic-subnet-1のルートテーブルを
Public Route Table から Private Route Table に変更する。
プライベートサブネットと同じ扱いになり、インターネット接続不可になる。

NATゲートウェイの設置

プライベートサブネット上に設置したサーバをインターネット接続可能にする

• Public-subnet-c に NAT Gateway を設置
• Private Route Table編集
• Private-subnet-c に internalサーバを設置

InternalサーバからNAT Gatewayを経由してインターネット接続ができるようにする

• Public-subnet-c に NAT Gateway を設置
  サブネット選択(Private-subnet-c)
  
  Elastic IP割り当て
  
• Private Route Table編集
  
  設定確認
  
• Private-subnet-c に internalサーバを設置
  VPCとサブネットを選択する
  Webに公開しないので「自動割り当てパブリックIP」は設定しない
  
  IAMロール
  
  これでinternalサーバは外部への接続可能になる。
  

NATゲートウェイ動作確認

• NATゲートウェイを介してSSMに接続可能であることを確認

• NATゲートウェイを削除するとSSMに接続不可であることを確認
  

• NATゲートウェイを介してSSMに接続可能であることを確認
  
  接続可能
  

• NATゲートウェイを削除するとSSMに接続不可であることを確認
  NATゲートウェイ削除
  
  
  接続不可
  

補足

NATゲートウェイは複数インスタンスに紐づけ可能