8/3 に開催された AWS Black Belt Online Seminar「Amazon VPC」に参加した!今まで知らなかったことも多くて VPC の奥深さを感じることができた.特に Direct Connect や CGW などオンプレミス関連の話は業務で運用する機会がなく,知識が全く無いことに気付いた.
資料
www.slideshare.net
メモ φ(..)
- Amazon VPC とは?
- 仮想的なネットワーク環境
- VPN or 専用線を使ってオンプレと接続できる
- VPC のコンポーネント
- ネットマスクは /28 - /16 の範囲で利用できる(最小は /28 で計 14 IP となる)
- 同一リージョン内の AZ は高速専用線で繋がっている
- リージョン間はインターネット経由での通信となる
- サブネットで利用できない IP アドレス
- ネットワークアドレスとブロードキャストアドレス以外にある
- .1 : VPC ルータ
- .2 : Amazon が提供する DNS
- .3 : AWS で予約されている
- Floating IP
- ENI をスタンバイの EC2 に付けてフェイルオーバーを実現できる(アクティブスタンバイ)
- VPC 内で使える Amazon が提供する DNS
- 169.254.169.253
- IGW に単一障害点や帯域幅のボトルネックは存在しない
- NAT Gateway は AZ ごとに設置する(ベストプラクティス)
- 課金形態は利用時間 + NAT を経由したデータ量
- VPC エンドポイント for S3
- プライベートサブネットから S3 にアクセスするときに NAT Gateway を使わずに通せる
- ルートテーブルに VPC エンドポイントのエントリを追加すると NAT Gateway で使ってる 0.0.0.0/0 はそのままでルーティングが変わる
- VPC Peering
- MTU に注意する
- VPC Peering は 1500
- リージョン間だと VPC peering は使えない
- MTU に注意する
- VPC のセキュリティ
- ネットワーク ACL
- サブネットごとに設定する
- ステートレス
- セキュリティグループ
- 仮想ファイアーウォール
- ステートフル
- ネットワーク ALC はサブネットの手前で制限される
- 制限するタイミングを意識してネットワーク ACL とセキュリティグループを理解する
- ネットワーク ACL
- オンプレミスとのハイブリッド構成
- VPN
- Direct Connect
- VPN
- VPC 設計
- アプリケーションによる分割
- 監査のスコープによる分割
- 本番 / 検証 / 開発フェーズによる分割
- 部署による分割
- AWS アカウントと VPC 分割パターンはお客様の運用に沿って考える
- VPC の実装
- マネジメントコンソール
- AWS API
- Terraform
- Ansible
- CloudFormation(CloudFormation デザイナーも使える)
- VPC の運用
- VPC Flow Logs
- ENI トラフィックをロギングできる