VPCについて
事前知識
リージョン・・・東京、香港などの地域で選べるよ
AZ(アベイラリティゾーン)・・・リージョン内のどこかにあるデーターセンターみたいなものだよ
VPCのIPアドレスレンジは/16~/28の範囲、超えるとエラーを吐く
超一般的構成図
サブネット
小さなネットワークの箱のようなもの
サブネットはAZを跨いで作成することはできない
パブリックサブネット・・・直接インターネット接続可
👉この中のインスタンスには通常パブリックIPアドレスが設定される
プライベートサブネット・・・直接インターネット接続不可
👉この中のインスタンスには通常パブリックIPアドレスが設定されない(プライベートIPアドレスのみ)
ルートテーブル
サブネットに関連づけて設定し、サブネット内から外に出る通信をどこに向けて発信するかを決めることができる
狭いIPアドレス範囲のルールが優先される
インターネットゲートウェイ(igw)
VPCとインターネットを繋げるもの
サブネットとigwを繋げるにはルートテーブルで設定する
その後そのサブネットはインターネットと繋がるようになる
つまり、
パブリックサブネット・・・ルートテーブルにインターネットゲートウェイへのルーティング(繋がり)が有
プライベートサブネット・・・ルートテーブルにインターネットゲートウェイへのルーティング(繋がり)が無
NATゲートウェイ
パブリックサブネットに設置し、プライベートサブネットからパブリックサブネットを経由してインターネット接続できるようにするもの
経由する際にプライベートサブネットにあるインスタンスからプライベートIPアドレスで通信がNATゲートウェイに送られ、NATゲートウェイでパブリックサブネットのパブリックIPアドレスに変換して、インターネットに接続することができる
上記のように内から外の通信(アウトバウンド)はできるが、外部からの通信(インバウンド)は受け入れない
セキュリティグループ
インスタンスに紐づけて設定する
インバウンド、アウトバウンドそれぞれに許可する通信を設定できるファイアーウォール
アウトバウンドで許可した通信は、インバウンドで拒否していてもレスポンスはインバウンドの拒否を無視して受信できる(ステートフル インスペクション型)
ネットワークACL
サブネット単位で設定するファイアーウォール
アウトバウンドで許可した通信をインバウンドで拒否していると、通信のレスポンスが許可されず、受信されない(ステートレス インスペクション型)
パブリックIPアドレス
デフォルトでは動的IPアドレス、インスタンスの停止などを行った際にもう1度割り振られるものになってるので静的IPアドレスに変更してあげると楽になる👉Elastic IPの割り当て
Discussion