はじめに
こんにちは、SCSKの中村です。
今回は、AWSのネットワークについて、試験対策に役立ちそうなポイントをまとめていきたいと思います。各サービスの概要についてはご存じの体で記事を書かせていただきます。
AWSのネットワークについて覚えておくべきポイント
VPC(リージョンサービス)
①特徴
- AWSクラウドのプライベートNW空間
- ワークロードの論理的分離を提供
- リソースのアクセスコントロールとセキュリティ設定が可能
- リソースで占有する特定のCIDR(クラスレスドメイン間ルーティング)範囲の作成が可能
- アカウントごと・リージョンごとに5VPCが上限
②単一かマルチか
1つのVPCが適切なユースケース(限定的)
- 一人または非常に小規模で管理される小型のシングルアプリケーション
- ハイパフォーマンスコンピューティング
- アイデンティティ管理
マルチVPC
- 単一のチームもしくは単一の組織
- 標準の維持とアクセス管理を容易にする限定された規模のチーム
※ガバナンスやコンプライアンス標準によって組織の複雑さに関わらず、さらなるワークロードの分離が必要になることがある
マルチアカウント戦略
- 大規模な組織や複数のITチームがある組織
- 急成長が見込まれる中規模の組織
- 1アカウントに1VPCで本番・開発・検証など全環境を分離するパターンも増えてきている
※アクセス管理は組織の複雑さが増すほど難しくなる可能性がある
Subnet(AZサービス)
①プライベートサブネットの用途
通常はNATゲートウェイを使用して、アウトバウンドのパブリックインターネットへの制限付きアクセスをサポート
②パブリックサブネットとプライベートサブネットの使い分け
- データストアインスタンス:データベース(Private subnet)
- バッチ処理インスタンス:社内業務(Private subnet)
- バックエンドインスタンス:裏方作業、非機能要件(Private subnet)
- ウェブアプリケーションインスタンス(Public Subnet/Private subnet)
③Subnet利用の原則
- 小さいサブネットより大きいサブネットを検討する(/24以上)
- ワークロードの配分を簡素化(※小さいものを複数管理するのは困難なため)
- IPが余ったり不足したりする可能性を軽減(※サブネットでIPが不足しても、あとで追加は不可)
- 1つのAZに1つのパブリックサブネットと1つのプライベートサブネットから始める
- IPの数:パブリックサブネット<プライベートサブネット
ENI(Elastic Network Interface)
①特徴
- 同じAZのEC2インスタンス間で移動可能
- 以下の内容を保持
- プライベートIPアドレス
- ElasticIPアドレス
- MACアドレス
②NICを分けるメリット
- セキュリティグループを分けられる
Elastic IPアドレス
特徴
- 関連付けを変更することでトラフィックの経路を制御できる
- AWSリージョンあたり上限5つまで利用可能
セキュリティグループ
原則
- セキュリティグループ管理はインスタンス別ではなく役割別で行うべき
アクセスコントロールリスト(ACL)
①用途
- 特定のネットワークアドレス以外を拒否する場合に使用される
オンプレミス環境-AWS環境の接続
仮想プライベートゲートウェイ(VGW)
①用途
- インターネットを使用可能な場合に利用
①ユースケース
- オンプレミスネットワークをAWSに拡張:VPN接続
- オンプレミスネットワークをAWSに拡張:複数のVPN接続(VGWは1つで可能)
AWS Direct Connect(DX)
①用途
- インターネットを使用しない場合に利用
②ユースケース
- ハイブリッドアーキテクチャ
- 大規模なデータセットをオンプレミス
→AWSへ継続的に転送
- 予測可能なネットワークパフォーマンス
- セキュリティとコンプライアンスを維持
VPC間接続
※基本的にVPCによりワークロードを分離するのがベストプラクティス。ただし複数のVPC間でデータ転送が必要になる場合もある
1. VPCピア接続
①特徴
- プライベートIPを使用
- リージョン内およびリージョン間接続をサポート
- IP空間は重複不可
- 推移的なピア関係はサポートされていない(受け取る側の受諾が必要)
- 1ホップのみ(1対1)
- 異なるAWSアカウント間で確立できる
- インターネットゲートウェイも仮想ゲートウェイも不要
- 高可用性接続(単一障害点ではない)
②ベストプラクティス
- CIDRブロックが重複しない
- 最小限のVPCのみ
- ソリューションがスケールできることを確認
2. Transit Gateway
①特徴
- 単一のゲートウェイで最大5000台のVPCとンプレミス環境を接続
- ネットワーク間を通過するすべてのトラフィック用のハブとして機能する
3. VPCエンドポイント
①特徴
- VPC内インスタンスからVPC外のサービスにプライベートに接続する
- インターネットゲートウェイ、VPN、NATデバイス、ファイアウォールプロキシは不要
- インターネット経由の転送が不要
- 同一リージョン内に限る
- スケーリングが水平方向であり、冗長性に優れ、可用性が高い
②種類
②-1. インターフェイスエンドポイント
- S3
- DynamoDB
②-2. ゲートウェイエンドポイント
- Cloudwatch Logs
- EC2 API
- ELB API
- Amazon SNS
ELB(Elastic Load Balancing)
①特徴
- 外部内でも内部でも接続可能
- 各LBにDNS名が付与される
- 異様なインスタンスを認識して対応(ヘルスチェック)
- 高可用性、ヘルスチェック、セキュリティ機能、TLSターミネーション
- リージョンをまたがない
②種類
②-1. ALB(Application Load Balancing)
- レイヤー7
- 柔軟なアプリケーション管理
- パスベースルーティング可能
②-2. NLB(Network Load Balancing)
- レイヤー4
- パフォーマンス、スループットが高い
③Connection Draining
- ELBからインスタンスを削除する必要があるが、ユーザーに影響を与えたくない場合に利用
- スケールインの際、影響を受けるバックエンドインスタンスは、登録解除前に進行中のリクエストを完了する
Route53
①特徴
- 可用性と拡張性に優れたクラウド型DNSサービス
- SLA100%
- マルチリージョンにはRoute53、リージョン内にはELB
まとめ
サービス数が多く、似ていて混同しやすい要素も多いため長くなってしまいましたが、ネットワークに関して試験で問われることの多いポイントをまとめさせていただきました。
少しでもお役に立てれば幸いです。
以上