当書では、「VPC」「サブネット」「インターネットゲートウェイ」「NATゲートウェイ」をそれぞれ作成する事で環境構築を行っている。
それぞれの意味を理解しているのであれば、VPCウィザードを使えば、楽に構築をする事も可能である。
Amazon Web Services完全ソリューションガイド
- 作者: 大澤文孝,川上明久,大嶋和幸
- 出版社/メーカー: 日経BP社
- 発売日: 2016/12/27
- メディア: Kindle版
- この商品を含むブログを見る
当書では、「VPC」「サブネット」「インターネットゲートウェイ」「NATゲートウェイ」をそれぞれ作成する事で環境構築を行っている。
それぞれの意味を理解しているのであれば、VPCウィザードを使えば、楽に構築をする事も可能である。
Amazon Web Services完全ソリューションガイド
[セキュリティグループ]
・EC2が持つENI(Elastic Network Interface)と呼ばれる仮想ネットワークカードに対して構成する。
・最大5個まで設定可能(※1)
・通信はステートフル(ある通信を通せば、その応答は自動的に通過する)
[ネットワークACL]
・サブネットに対して構成する。
・一つのサブネットに対して、一つ設定可能である。
・デフォルトはすべての通信が許可されたルールが構成されたネットワークACLが設定されている。
・通信はステートレス(ある通信を通しても、レスポンスを通すルールを指定しておかないと遮断される(※2))
※1 セキュリティグループの上限
AWSにリクエストを投げれば、最大16個まで設定が行える。但し、設定できるルールの数が減ってしまう。
通常は、セキュリティグループ一つに対する設定できる最大ルール数が50、ENIに設定できるセキュリティグループの数が5である。
上記2つのを積算した値250が最大数となるため、セキュリティグループの数を10にすると、ルール数は25となってしまう。
(参考)
docs.aws.amazon.com
※2 エフェメラルポートの取扱い
エフェメラルポートとは、リクエスト側がレスポンスを受け取る待ち受けポート番号のため、都度ランダム的に割り当てられるポート番号のこと。
ネットワークACLにすると、このポート番号を考慮しておかないといけない。
(参考)
qiita.com
Amazon Web Services完全ソリューションガイド
VPCピアリングは、自身のアカウントのVPC同士だけではなく、他のAWSユーザーのVPCとも接続が行えるのが大きな特徴である。
但し、同じアベイラビリティゾーンであった場合でも、通信料金は別とみなされ課金される。
また、別リージョン間は当機能を用いた接続は行えない。
AWSの仮想プライベートゲートウェイを用いるなどを用いて接続を行う必要である。
当書には、VyOSというソフトをインストールする事で解決できるというTipsが掲載されている。
Amazon Web Services完全ソリューションガイド
yumなどでEC2インスタンスからインターネット経由にアクセスを行いたい場合、Elastic IPを設定せずとも、NATゲートウェイをサブネットに設定することで、EC2はプライベートIPのままインターネット接続を行わせることが可能である。
Amazon Web Services完全ソリューションガイド
・ELBを利用するには、配置するサブネットに対して最低8個の空きIPアドレスが必要
・サブネットで予約されているIPアドレス、先頭~先頭+3、末尾は利用できない。
(P16 表1-1-3に理由を記載)
Amazon Web Services完全ソリューションガイド
[リージョン]
ap-northeast-1が東京、ap-northeast-2がソウル、us-east-1が北バージニアというように、地域のことを指す。
[アベイラビリティゾーン]
ap-northeast-1a、ap-northeast-1bの様に同一地域ではあるが、物理的に別データセンターである。
アベイラビリティゾーンを分けると、多少のレイテンシーの低下と通信コストの上昇は発生するが、耐障害性を考慮するのであればオンプレで行う事を考えると非常に低コスト(作業コスト・メンテコスト含め)で対応が行える。
Amazon Web Services完全ソリューションガイド
「ap-northeast-1a」や「ap-northeast-1c」などの名称は仮想的なものであり、地域に明確な紐づきはしていない。
そのため、あるユーザーで1aと指しているデータセンターがαであっても、違うユーザーでは1aの指しているデータセンターはβかもしれない。
Amazon Web Services完全ソリューションガイド