専用線接続を行うためのサービス
当コンポーネントを用いて専用線接続が行える様にするには、併せてAPNパートナー提供するサービスを用いる必要がある。
そうしない場合は、東京リージョンの場合にはEQUINIX社に専用線接続するためのルーターを持ち込む必要がある。
(当書P56 図1-3-10にDirect Connectのイメージ図有)
Amazon Web Services完全ソリューションガイド
VPC上に設置するものを仮想プライベートゲートウェイ(VPNゲートウェイ)と呼び、社内などに設置するVPN対応ルーターをAWSではカスタマーゲートウェイと呼称している。AWSではいくつかの検証済の機器が示されており、確実に接続したいのであれば検証済機器を使う方が安全である。
仮想ゲートウェイには、冗長性確保のために二つのグローバルIPアドレスが割り当てられる。
VPNトンネルは、カスタマーゲートウェイから接続が行われる事で開始され、接続されてから一時間毎に課金される(それとは別に通信データ量に応じた従量課金も発生する)。通信が無い場合は通信が切断されるため、切断したくない場合は定期的にpingなどを送信する事で回避できる。
(参考:AWS よくある質問)
VPC配下に関するFAQであり、カスタマーゲートウェイなどの用語の解説も行われている。
https://aws.amazon.com/jp/vpc/faqs/
(参考)
VPN接続に関する説明が丁寧に行われている。
docs.aws.amazon.com
Amazon Web Services完全ソリューションガイド
当書では、「VPC」「サブネット」「インターネットゲートウェイ」「NATゲートウェイ」をそれぞれ作成する事で環境構築を行っている。
それぞれの意味を理解しているのであれば、VPCウィザードを使えば、楽に構築をする事も可能である。
Amazon Web Services完全ソリューションガイド
[セキュリティグループ]
・EC2が持つENI(Elastic Network Interface)と呼ばれる仮想ネットワークカードに対して構成する。
・最大5個まで設定可能(※1)
・通信はステートフル(ある通信を通せば、その応答は自動的に通過する)
[ネットワークACL]
・サブネットに対して構成する。
・一つのサブネットに対して、一つ設定可能である。
・デフォルトはすべての通信が許可されたルールが構成されたネットワークACLが設定されている。
・通信はステートレス(ある通信を通しても、レスポンスを通すルールを指定しておかないと遮断される(※2))
※1 セキュリティグループの上限
AWSにリクエストを投げれば、最大16個まで設定が行える。但し、設定できるルールの数が減ってしまう。
通常は、セキュリティグループ一つに対する設定できる最大ルール数が50、ENIに設定できるセキュリティグループの数が5である。
上記2つのを積算した値250が最大数となるため、セキュリティグループの数を10にすると、ルール数は25となってしまう。
(参考)
docs.aws.amazon.com
※2 エフェメラルポートの取扱い
エフェメラルポートとは、リクエスト側がレスポンスを受け取る待ち受けポート番号のため、都度ランダム的に割り当てられるポート番号のこと。
ネットワークACLにすると、このポート番号を考慮しておかないといけない。
(参考)
qiita.com
Amazon Web Services完全ソリューションガイド
VPCピアリングは、自身のアカウントのVPC同士だけではなく、他のAWSユーザーのVPCとも接続が行えるのが大きな特徴である。
但し、同じアベイラビリティゾーンであった場合でも、通信料金は別とみなされ課金される。
また、別リージョン間は当機能を用いた接続は行えない。
AWSの仮想プライベートゲートウェイを用いるなどを用いて接続を行う必要である。
当書には、VyOSというソフトをインストールする事で解決できるというTipsが掲載されている。
Amazon Web Services完全ソリューションガイド
yumなどでEC2インスタンスからインターネット経由にアクセスを行いたい場合、Elastic IPを設定せずとも、NATゲートウェイをサブネットに設定することで、EC2はプライベートIPのままインターネット接続を行わせることが可能である。
Amazon Web Services完全ソリューションガイド
