KDOC 476: AWSネットワーク入門

この文書のステータス

  • 作成
    • <署名>
  • レビュー
    • <署名>

概要

メモ

  • サービスの種類によって、グローバル、リージョン、アベイラビリティゾーンのどの範囲で提供されるのか異なる(p20)
    • グローバルサービス: IAM, CDN, Route53…
    • リージョンサービス: VPC, S3, …
    • アベイラビリティゾーンサービス: EC2, …
  • 非VPCサービスとVPCサービスがある(p22)
    • グローバルネットワークを利用する非VPCサービス: CloudFront, Route53, S3, …
    • プライベートネットワークを利用するVPCサービス: EC2, RDS, …
  • VPCにプライベートIPアドレスを割り当てて運用する(p22)
  • セキュリティグループはEC2インスタンスとネットワークの間にあり、パケットフィルタリング型ファイアウォールを提供する。ENIに対して設定する(p24)
  • セキュリティグループはインスタンスを対象とし、ネットワークACLはサブネットを対象としている(p26)
  • ルーターを設置する操作をしなくても、VPCには必ず1つルーターが暗黙に置かれる。サブネットが増えたとき、暗黙的な1つのルーターを経由して互いにつながる(p26)
  • VPCはリージョン全体をまたぐが、サブネットはそれぞれのアベイラビリティゾーンに属する。サブネットがアベイラビリティゾーンをまたぐことはない(p30)
  • VPCに割り当てるIPアドレス範囲は、プライベートIPアドレスのネットワーク範囲のなかから任意のものを指定する(p31)
  • VPCをインターネットに接続するときは、インターネットゲートウェイという一種のNATを構成することで、「プライベートIPアドレスに加えてパブリックIPアドレスを追加で割り当てる」という構成にする(p32)
  • VPCのIPアドレス範囲は変更できない(p32)
  • CIDER。数万台の端末は1つのネットワークに接続した運用はパフォーマンス・メンテナンス的に望ましくないので、普通はネットワークを小さい単位に分割する。なのでたとえば 10.0.0.0/16 より 10.0.0.0/24 のほうが一般的。 /24 の場合は256個のサブネット、256個のIPアドレスになる(p34)
  • それぞれのリージョンには契約者ごとにVPCが1つ作られている。この用意されているVPCはデフォルトのVPCと呼ばれていて、他のVPCと少し構成が異なる。デフォルトのVPCはすぐにインターネットに接続できるようにする目的に作られた特別なVPCである(p36)
  • VPC > アベイラビリティゾーン > サブネット
  • AWSのサブネット上ではDHCPサーバ機能が動作している。そのためサブネットにEC2インスタンスを設置して起動すると、そのDHCPサーバからENIに対してサブネットで利用可能なプライベートIPアドレスが動的に割り当てられる(p48)
  • AWSにおけるパブリックIPアドレスは、NATによる運用がなされている。パブリックIPアドレスを割り当てたとしても、EC2インスタンスにはプライベートIPアドレスしか割り当てられない。そのかわりにNATでプライベートIPアドレスとパブリックIPアドレスを相互変換している(p78)
  • メインのルートテーブルの初期状態は 送信先: 10.0.0.0/16 ターゲット: local である。なので、VPCで用いているネットワーク範囲のものはlocal(このネットワーク内)で処理されるが、それ以外はルートの登録がないのですべて破棄される。つまりインターネットに出ていけない。インターネットにつなぐにはルートテーブルを作成し、インターネットゲートウェイをデフォルトゲートウェイとする必要がある(p90)
  • ルートテーブルで送信先: 0.0.0.0/0 ターゲット: インターネットゲートウェイとすることで、ほかのルート情報でターゲットの定まらないパケットは破棄されずにインターネットゲートウェイにルーティングされる。0.0.0.0は「すべての宛先」を表す特別なルート(p93)
  • EC2のパブリックIPアドレスに対してpingコマンドを実行しても応答はない。デフォルトのセキュリティグループでICMP通信を遮断する設定になっているため(p96)
  • AWSネットワーク上には 169.254.169.254 というIPアドレスが付けられた特別なサーバがある。アクセスしたEC2インスタンスに関するさまざまな情報を返すメタデータサーバである(p102)
  • インスタンスにElastic IPアドレスを割り当てても、OSから見えるのはプライベートIPアドレスだけなのは変わらない(p112)
  • ENIとセキュリティグループは多対多の関係である(p120)
  • プライベートサブネットからインターネットに接続したいとき(p145)
    • NATゲートウェイをパブリックサブネットに配置する
    • プライベートサブネットのデフォルトゲートウェイをNATゲートウェイに向けるようにルートテーブルを編集する
  • ポートフォワードの利点は、SSHの鍵を踏み台のサーバに置く必要がないので、鍵が盗まれるおそれがない点(p168)
  • IPアドレスとホスト名を関連付けるには、ゾーンを作成してAレコードとして登録する。ELBなど、DNS名が登録されているものへの別名を設定するにはエイリアスとして設定する(p243)
  • S3はパブリックIPで提供されているサービスなので、プライベートIP環境からは利用できない。パブリックIPが割り当てられていないとVPC外に出られないから(p265)

関連

なし。