aws VPCの説明。
パブリックサブネットとプライベートサブネットにそれぞれインスタンスを作成して、パブリックなインスタンス経由でプライベートなインスタンスにSSH接続
同じセキュリティグループに割り当てられているネットワークインターフェイス(および関連付けられているインスタンス)からのインバウンドトラフィックを許可します。 https://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/VPC_SecurityGroups.html#DefaultSecurityGroup
NAT(Network Address Translation)はIPアドレスを変換する技術です。一般的には、プライベート IPアドレスをグローバルIPアドレスに変換する技術とされています。
NATには1つ大きな問題があります。
それはNATにはブロードバンドルータが保持しているグローバルIPアドレスの
数しか同時に接続が出来ないという事です。
LAN側に接続されている複数のPCを1つのグローバルIPアドレスに変換して、
インターネットにパケットを送信した場合、そのパケットの返信はすべて
ブロードバンドルータのグローバルIPアドレス宛に返ってきます。
この時にブロードバンドルータはNATテーブルを見ても、どのPCのアドレスに
置き換えればよいのかを判断することが出来ないわけです。
そんな問題を解決するために考え出されたのが、
NAPT(IPマスカレード)という機能です。
local
が設定されたルートを持つルートテーブルが自動で作成される default
を設定default
を設定(プライベートサブネットのインスタンスに接続するため)※ NATゲートウェイはインターネットゲートウェイ作成後でなければ、作成に失敗する。
プライベートサブネットにSSHで接続するにはパブリックサブネットの踏み台サーバーを経由する
ssh -oProxyCommand='ssh -W %h:%p public@example.com' private@192.168.xxx.xxx
~/.ssh/config
# public
Host public
HostName example.com
IdentityFile /path/to/private/key
User public
# private
Host aws_web01
HostName 192.168.xxx.xxx
IdentityFile /path/to/private/key
User private
ProxyCommand ssh -W %h:%p public
NATゲートウェイを使用。
NATゲートウェイはプライベートサブネットからインターネットに接続するためのゲートウェイ。
sudo yum update
なども実行できない※ NATゲートウェイからインターネットゲートウェイに対するルートテーブルは作成しなくてもよい。
アクセス制御を担当するセキュリティ
グループとネットワークACL
の違い。
ステートフル
ステートレス
同じセキュリティグループに属したインスタンスからの接続を許可する。
※ default
セキュリティグループはVPC単位。
IP v6用のNATゲートウェイ
。
以下サービスは有料。
default
)セキュリティグループを適用しましたかdefault
)セキュリティグループを適用しましたか