Jayendra’s Blog

この記事は自己学習用に「AWS Certification – Networking Services – Cheat Sheet(Jayendra’s Blogより)」を日本語に訳した記事です。


VPC

  • AWS 内で論理的に分離された専用仮想ネットワークを定義できます。
  • CIRDR ブロックを使用して、最小/28 ~ 最大/16 ブロックサイズの IP アドレス指定を制御します。
  • コンポーネント
    • インターネットゲートウェイ (IGW) は、インターネットへのアクセスを提供します。
    • 仮想ゲートウェイ (VGW) は、VPN およびダイレクトコネクト接続を通じてオンプレミスのデータセンターへのアクセスを提供します。
    • VPC には、IGW と VGW を1つしか持つことができません。
    • ルートテーブルによって、サブネットからのネットワークトラフィックの転送場所が決まります。
    • VPC CIDR ブロックを使用してサブネットを作成できます。
    • ネットワークアドレス変換 (NAT) サーバーは、プライベートサブネット内の EC2 インスタンスに対する送信インターネットアクセスを提供します。
    • Elastic IP アドレスは、静的、永続的なパブリック IP アドレスです。
    • VPC で起動されるインスタンスにはプライベート IP アドレスがあり、パブリックまたは Elastic IP アドレスを関連付けることができます。
    • セキュリティグループと NACLs は、セキュリティを定義するのに役立ちます。
    • Flow log – VPC 内のネットワークインターフェイスとの間で送受信される IP トラフィックに関する情報を取得します。
  • インスタンスのテナントオプションを許可
    • 共有、既定では、インスタンスを共有のテナントで起動することができます。
    • 専用のハードウェアでインスタンスを起動することができます。
  • NAT
    • プライベートサブネット内のインスタンスへのインターネットアクセスを許可します。
    • アドレス変換とポートアドレス変換の両方の機能を実行します (PAT)
    • トラフィックの実際の宛先ではないため、ソース/宛先チェックフラグを無効にする必要がある
    • NAT ゲートウェイは、可用性の向上、帯域幅の向上、管理作業の手間の削減を実現する AWS マネージド NAT サービスです。
  • ルートテーブル
    • ルートと呼ばれるルールを定義し、サブネットからのネットワークトラフィックをルーティングする場所を決定します。
    • 各 VPC にはメインルートテーブルがあり、複数のカスタムルートテーブルを作成できます。
    • すべてのルートテーブルには、変更または削除できない VPC 内の通信を可能にするローカルルートが含まれています
    • ルート優先順位は、トラフィックに一致するルートテーブル内の最も特定のルートに一致させることによって決定されます。
  • サブネット
    • AZ にマップし、AZ 間をまたがることはありません。
    • VPC 全体の一部である CIDR 範囲を指定します。
    • CIDR 範囲は、VPC 内のサブネット間で重複することはできません。
    • AWS は、各サブネットの5つの IP アドレス (最初の4つと最後の1つ) を予約します。
    • 各サブネットは、その動作を定義するルートテーブルに関連付けられています。
      • パブリックサブネット – IGW 経由でのインバウンド/アウトバウンドインターネット接続。
      • プライベートサブネット – NAT または VGW を介した送信インターネット接続。
      • 保護されたサブネット - 送信接続なしで、規制ワークロードに使用します。
  • ** Elastic Network Interface (ENI)**
    • デフォルトの ENI、eth0 は、1つまたは複数の2次取り外し可能なENIs (eth1-ethn) で切り離すことができないインスタンスに接続されています。
    • プライマリプライベート、1つ以上のセカンダリプライベート、パブリック、Elastic ip アドレス、セキュリティグループ、MAC アドレス、およびソース/宛先チェックフラグ属性が関連付けられています。
    • 1つのサブネット内の ENI は、同じ AZ と同じ VPC 内の同じまたは別のサブネット内のインスタンスにアタッチできます。
    • ENI のセキュリティグループのメンバーシップを変更できます。
    • 事前に割り当てられた MAC アドレスは、特別なライセンス要件を持つアプリケーションに使用することができます
  • セキュリティグループとネットワークアクセス制御リストの比較
    • ステートフル vs ステートレス
    • インスタンスレベル vs サブネットレベル
    • Allow ルールと Deny ルールの両方を許可します。
    • 全体として評価 vs 定義された順序で評価
  • EIP
    • 動的クラウドコンピューティング用に設計された静的 IP アドレスです。
    • AWS アカウントに関連付けられており、特定のインスタンスではありません。
    • 1つのインスタンスから別のインスタンスに再マップできます。
    • 関連付けられているインスタンスまたはインスタンスにリンクされていない場合は、使用していない場合に課金されます。
  • VPC ピアリング
    • プライベート IP アドレスを使用してピア VPC 間のトラフィックのルーティングを許可し、IGW または VGW は必要ありません。
    • 単一の障害点と帯域幅のボトルネックはありません。
    • リージョン間でまたがることはできません。
    • IP スペースまたは CIDR ブロックはオーバーラップできません。
    • 2つの VPC 間の 1 ~ 1 の関係を推移性にすることはできません。
    • 任意の2つの VPC の間に1つだけを明示的に覗き込んする必要があります。
    • プライベート DNS 値は解決できません。
    • ピアグループ内のセキュリティグループは、セキュリティグループ内の入力および出力ルールでは参照できません。代わりにCIDRブロックを使用してください
  • VPC エンドポイント
    • プライベート IP アドレスを使用して、VPC と別の AWS サービス (現在は S3) 間のプライベート接続を作成できるようにします。
    • パブリック IP アドレス、インターネット経由のアクセス、NAT デバイス、VPN 接続、または AWS ダイレクトコネクトは必要ありません。
    • VPC と AWS サービス間のトラフィックは、Amazon ネットワークを離れません。
    • クロスリージョン要求はサポートしません。
    • VPC から拡張することはできませんつまり、VPN、VPC ピア、AWS ダイレクトコネクト接続では、エンドポイントを使用できません。

Direct Connect & VPN

  • VPN
    • オンプレミスのコンピュータまたはサービスからインターネット経由で AWS へのセキュリティで保護された IPsec 接続を提供する。
    • セットアップは迅速。安いが、それはインターネットの速度に依存する。
  • ダイレクトコネクト
    • プライベート専用ネットワーク接続を使用して AWS サービスを利用するためにインターネットを使用する代替手段を提供するネットワークサービスです。
    • 仮想インターフェイスを提供します
      • プライベート VIFは、VGW 経由で VPC 内のインスタンスにアクセスする。
      • パブリック VIF は、非 VPC サービスにアクセスします。
    • セットアップにはおそらく数ヶ月の時間が必要であり、ターンアラウンド時間が少ない場合はオプションとして考慮すべきではありません。
    • 冗長性を提供しない、2番目のダイレクトコネクトまたは IPsec VPN 接続を使用します。
    • 仮想プライベートゲートウェイは AWS 側にあり、カスタマーゲートウェイは顧客側にあります。
    • ルートの伝播は、CGW ではなく VGW で有効になっています。
  • ダイレクトコネクト vs VPN IPsec
    • 高価でセットアップには時間がかかる vs 価格が安く & 即時
    • 専用プライベート接続 vs インターネット
    • データ転送速度 vs インターネットデータ転送コストの削減
    • 一貫性のあるパフォーマンス vs インターネット固有の変動
    • 冗長性を提供しない vs 冗長性を提供する

Route 53

  • 高可用性とスケーラブルな DNS & ドメイン登録サービス。
  • エンドユーザーをインターネットアプリケーションにルーティングするための、信頼性とコスト効率に優れた方法です。
  • 高可用性のためのマルチリージョンおよびバックアップ・アーキテクチャをサポートします。リージョンに限定された ELB は、マルチリージョン HA アーキテクチャをサポートしていません。
  • プライベートイントラネットに面した DNS サービスをサポートします。
  • 内部リソースレコードセットは、VPC 内から発信された要求に対してのみ機能し、現在はオンプレミスに拡張することはできません。
  • DN レコードに加えられた変更をグローバルに伝播します。
  • Route 53は、ELB、S3、CloudFront を指す Alias リソースレコードセットを作成します。Alias リソースレコードセットは、DNS への Route 53 拡張です。これは、CNAME リソースレコードセットに似ていますが、ルートドメインの両方をサポートしています-ゾーン Apex などの example.com、およびサブドメインの www.example.com など。
  • CNAME リソースレコードセットはサブドメインに対してのみ作成でき、ゾーン Apex レコードにマップすることはできません。
  • ルーティングポリシー
    • シンプルなルーティング – シンプルなラウンドロビンポリシー。
    • 重み付きラウンドロビン – リソースレコードセットに重みを割り当て、たとえば 80% の割合 (20%) を指定します。
    • 遅延ベースのルーティング – 要求が最小限の待機時間で場所からサーバーに送信されるため、グローバルアプリケーションの向上に役立ち、遅延時間に基づいて、同じ地理的なユーザーが同じ場所からすべての準拠の理由で提供されることを保証することはできません。
    • 地理位置情報のルーティング – 大陸、国、州によって地理的な場所を指定する私たちに限られ、IP の精度に基づいています。
    • フェイルオーバー・ルーティング: プライマリ・サイトに障害が発生し、アクセス不能になった場合に、バックアップ・サイトへのフェイルオーバー。
  • アクティブ/パッシブ・マルチリージョン・アーキテクチャでは、フェイルオーバー・ルーティングを使用して、重み付け、レイテンシ、位置情報を有効に使用できます。