VPC

構成＆作成手順

1. VPC作成
2. インターネットゲートウェイ作成＆VPCアタッチ
3. サブネット作成＆VPCアタッチ
4. サブネットのルートテーブルにインターネットゲートウェイに対するルートを追加
5. EC2 インスタンス作成＆サブネットに配置
   • グローバルIPを設定（グローバルIPが設定されるのはインスタンス）
   • インスタンス作成時にセキュリティグループが作成
     • デフォルトのインバウンドはSSHを許可
     • アウトバウンドはすべて許可
     • セキュリティグループはステートフル
   • この時点ではEC2にSSH接続できない
6. サブネットのルートテーブル（ルーターソフトウェア）にインターネットゲートウェイへのルーティング追加
   • VPCを作成したときにメイン（デフォルト）のルートテーブルが自動で作成
   • ルートテーブルはサブネット単位
   • VPC内の通信はデフォルト（local）で設定
   • インターネットゲートウェイのVPC側アドレスは0.0.0.0/0

セキュリティグループとネットワークACLの違い

アクセス制御を担当するセキュリティグループとネットワークACLの違い。

• セキュリティグループはインスタンスのアクセスを制御
  • ステートフル
• ネットワークACLはサブネットのアクセスを制御
  • ステートレス

プライベートなサブネット

プライベートなサブネットに配置したインスタンスへのSSH接続

$ ssh -oProxyCommand='ssh -W %h:%p  public@example.com' private@192.168.xxx.xxx

プライベートなサブネットに配置したインスタンスからインターネットへアクセス

NATゲートウェイ：プライベートなサブネットからインターネットに接続するためのゲートウェイ。

• NATゲートウェイをパブリックなサブネットに設置して、それを経由してインターネットゲートウェイへアクセス
• NATゲートウェイを設定していない場合、サブネットのインスタンスからはインターネットにアクセスできないので、sudo yum updateなども実行できない

Egress Only インターネットゲートウェイ

IP v6用のNATゲートウェイ。

料金

以下サービスは有料。

• VPN接続

• AWS Private Link

• NATゲートウェイ

  Appendix

• ファイアーウォール：VPCのセキュリティーグループ

• ネットワークACL（Access Control List）

• AWS Private Link：インターネとを経由することなくVPCに配置された他のサービスと通信するのに必要

• DHCP オプションセット：【要調査】