#
ドキュメント

Document

自分のための備忘録です。

VPC

構成&作成手順

  1. VPC作成
  2. インターネットゲートウェイ作成&VPCアタッチ
  3. サブネット作成&VPCアタッチ
  4. サブネットのルートテーブルにインターネットゲートウェイに対するルートを追加
  5. EC2 インスタンス作成&サブネットに配置
    • グローバルIPを設定(グローバルIPが設定されるのはインスタンス)
    • インスタンス作成時にセキュリティグループが作成
      • デフォルトのインバウンドはSSHを許可
      • アウトバウンドはすべて許可
      • セキュリティグループはステートフル
    • この時点ではEC2にSSH接続できない
  6. サブネットのルートテーブル(ルーターソフトウェア)にインターネットゲートウェイへのルーティング追加
    • VPCを作成したときにメイン(デフォルト)のルートテーブルが自動で作成
    • ルートテーブルはサブネット単位
    • VPC内の通信はデフォルト(local)で設定
    • インターネットゲートウェイのVPC側アドレスは0.0.0.0/0

セキュリティグループとネットワークACLの違い

アクセス制御を担当するセキュリティグループとネットワークACLの違い。

  • セキュリティグループはインスタンスのアクセスを制御
    • ステートフル
  • ネットワークACLはサブネットのアクセスを制御
    • ステートレス

プライベートなサブネット

プライベートなサブネットに配置したインスタンスへのSSH接続

$ ssh -oProxyCommand='ssh -W %h:%p  public@example.com' private@192.168.xxx.xxx

プライベートなサブネットに配置したインスタンスからインターネットへアクセス

NATゲートウェイ:プライベートなサブネットからインターネットに接続するためのゲートウェイ。

  • NATゲートウェイをパブリックなサブネットに設置して、それを経由してインターネットゲートウェイへアクセス
  • NATゲートウェイを設定していない場合、サブネットのインスタンスからはインターネットにアクセスできないので、sudo yum updateなども実行できない
Egress Only インターネットゲートウェイ

IP v6用のNATゲートウェイ

料金

以下サービスは有料。

  • VPN接続

  • AWS Private Link

  • NATゲートウェイ

    Appendix

  • ファイアーウォール:VPCのセキュリティーグループ

  • ネットワークACL(Access Control List)

  • AWS Private Link:インターネとを経由することなくVPCに配置された他のサービスと通信するのに必要

  • DHCP オプションセット:【要調査】