Amazon VPCって何?
- GUIですべての設定が可能なAWS上で構築される仮想ネットワーク
- ファイアウォールやスイッチといった従来のNW機器は必要なく、同等の設定を行うことができる
参考・リンクまとめ
出題傾向
VPCは作成の流れや、VPCを構成する各部品(インターネットゲートウェイ、NATインスタンス、NATゲートウェイなど)の役割について抑えておく必要があります。
出題される内容としては、現状の環境の改善(オンプレミスと接続したい、インターネットと接続したい/接続したくない、など)や、トラブルシューティング系の問題(~と通信ができない。なぜか。)が大半です。VPCを構成する部品について知識があればこたえられるので、確実に正解していきましょう。
また、最低限のNWに関する用語についても理解をしておく必要があります。例えば、「とあるIPからSSHを行うためには、どのようにネットワークACLやセキュリティグループを設定する必要がありますか」という問いが出題されます。この問いには、SSHが22番ポートを使う、といった基本的なNWに関する知識が必要です。CIDR、サブネットマスク、ポート番号、IPアドレスをバイナリ表示に変換できるようにしておく、といった基本的知識は押さえておきましょう。
出題ポイント
リージョンとアベイラビリティゾーン(AZ)
- アベイラビリティゾーン(AZ)はある程度近接するデータセンターの集まり
- リージョンはアベイラビリティゾーンを地域ごとにグループ分けしたもの
参考・リンクまとめ
このあたりが問われます!!
VPCを説明する前に、アベイラビリティゾーンとリージョンについて理解をしておく必要があります。
アベイラビリティゾーンは、ある程度近接してるが、地域的な災害や停電が発生しても、ほかのアベイラビリティゾーンに影響が出ない距離に立地しています。各アベイラビリティゾーンの具体的な距離については公開されていませんが、各アベイラビリティゾーンは2ミリ秒以内のレイテンシとなるように立地しています。(公表されているのは「すべて 100 km 以内 (互いに 60 マイル) に配置されています。」ということだけです。)
2~4個程度のアベイラビリティゾーンを地域ごとに分けたものをリージョンと呼びます。東京リージョンではa~dの4つのアベイラビリティゾーンがあります。(ただし、bは現在、使えないようになっています。)
複数のAZにまたがりリソースを配置する構成をマルチAZ構成、複数のリージョンにリソースを配置する構成をマルチリージョン構成といい、可用性の担保を行うために重要な設計の考え方となっています。
エッジロケーション
- リージョンやAZとは別に、世界中に存在する比較的小規模なデータセンター
参考・リンクまとめ
このあたりが問われます!!
AZやリージョンとは別に、全世界に100か所以上のエッジロケーションと呼ばれるデータセンターが配置されています。
目的は、レイテンシの低下やDNSサービス、セキュリティサービスの負荷分散です。例えば、北海道のユーザが東京リージョンのサーバにアクセスすると、多少のレイテンシが生じてしまいます。そこで、エッジロケーションに東京リージョンのサーバの静的コンテンツ等をキャッシュし、北海道からの通信をエッジロケーションに送れば、負荷分散とレイテンシの改善が可能になります。エッジロケーションの役割は以下の通りです。
- コンテンツキャッシュ
- セキュリティ機能の提供
- DNSサービス機能の提供
VPCの作成
- 作成するリージョンと、CIDRブロックに気を付ける
このあたりが問われます!!
VPCはリージョンをまたいで作成することができません。したがって、作成したい1つのリージョンを選択し、VPCを作成していくことになります。
VPCを作成する為に必要な項目は、IPアドレスのレンジです。VPCでは、IPアドレスのレンジは、CIDRブロックの16-28の範囲で設定ができます。ただし、後述するVPCピアリングなどを行うために、他のシステムで使われていないか、将来的に使うつもりがないアドレス帯か、といったことを考慮してIPアドレスのレンジを設定しましょう。
パブリックサブネットとプライベートサブネット
- パブリックサブネット:インターネットと通信するネットワーク(サブネットにインターネットゲートウェイを持っている)
- プライベートサブネット:インターネットから遮断するネットワーク(サブネットにインターネットゲートウェイを持ってない)
- VPCで設定したIPアドレス帯を、さらに細かくサブネットに分ける
このあたりが問われます!!
サブネットを作成するにあたり必要な点は以下の2点です。
- アベイラビリティゾーンをまたいだサブネットは作成できない
- VPCで設定されているIPアドレス帯の範囲内で作成が可能
サブネットには、インターネットへの通信経路がないプライベートサブネットと、インターネットへの通信経路があるパブリックサブネットがあります。
各ゲートウェイとルートテーブル
- サブネット外への通信は、ルートテーブルによって設定が行われます。ルートテーブルにて、宛先のネットワークおよびゲートウェイを指定したください。
参考・リンクまとめ
- AWS公式:NAT
- AWS公式:NAT インスタンスと NAT ゲートウェイの比較
- AWS公式:インターネットゲートウェイ
- AWS公式:Egress-Onlyインターネットゲートウェイ
このあたりが問われます!!
各ゲートウェイの役割については暗記しておきましょう。また、ルートテーブルを読めるようになっておき、どこにどのような通信が行われるように設定されているかを確認できるようになっておくことも重要です。
絶対暗記!!
下記の各ゲートウェイの役割をしっかりと覚えましょう。
| 種類 | 用途 |
| インターネットゲートウェイ(IGW) | インターネットと通信をするために必要なゲートウェイです。IGWに向けたルーティングが存在するサブネットはパブリックサブネットになります。 |
| NATゲートウェイ(NGW) | プライベートサブネットからインターネットにアクセスする際に必要なゲートウェイです。これを経由してインターネットへ通信をすることで、インターネットから直接プライベートサブネットへの通信が行われないようにできます。プライベートサブネットからインターネットにアクセスするために、プライべートIPアドレスからパブリックIPアドレスに変換を行います。 同じ機能を有するNATインスタンスというものも有りますが、現在はNATゲートウェイが主流です。こちらは、インスタンス上で動く為に、パフォーマンスに限界があります。パフォーマンスのみならず、可用性、コストの観点からもNATゲートウェイが勝っています。問題でも「NATインスタンスのパフォーマンスに問題がある」との文脈でNATゲートウェイが回答となる場合があります。 |
| 仮想プライベートゲートウェイ | ほかの拠点(オンプレミスのデータセンターなど)とVPN接続を行うために、VPC側で作成が必要なゲートウェイです。 |
| カスタマーゲートウェイ | ほかの拠点(オンプレミスのデータセンターなど)とVPN接続を行うために、クライアント側で作成が必要なゲートウェイです。 |
IPv6では、すべてのIPアドレスがパブリックIPアドレスの役割を持っています。
そのため、EC2インスタンスに対し、インターネットからアクセスをさせず、インターネットへのアクセスを許可するためには、Egress-Only インターネットゲートウェイを利用する必要があります。
VPCエンドポイント
- AWS内部から各サービスへ直接通信を行う
参考・リンクまとめ
このあたりが問われます!!
S3やDynamoDBなど、インターネット経由で利用するAWSサービスを、VPC内部から直接アクセスするにはどうすればいいか、といった文脈で問われます。
以下のようなイメージで、VPCから直接S3にアクセスできます。
エンドポイントには、ゲートウェイ型とインターフェース型の2種類があります。SAPなどでは出題されることがあります。
- ゲートウェイ型・・・VPC内部から直接サービスと通信を行う(S3とDynamoDBのみ)
- インターフェース型・・・サブネットにエンドポイント用のIPアドレスが作成され、そのIPアドレス経由でサービスとの通信が行われる(S3とDynamoDB以外でVPCエンドポイントを使うサービスは全てこちら)
VPCピアリング
- VPCピアリングにより、2つのVPC同士の通信が可能になる。
参考・リンクまとめ
このあたりが問われます!!
VPCピアリング接続は、VPC同士が接続できる便利な機能ですが、制約があります。制約について問われることが多いので、しっかりと覚えておきましょう。
VPCピアリング接続のメリットは以下の通りです
- 他リージョンのVPCにも接続が行える
- 他のAWSアカウントのVPCにも接続が行える
一方で制約は以下の通りです。
- 2ポップ以上のVPCに対しては接続できない。つまり、自分のVPC(VPC Aとする)が、ピアリング先のVPC(VPC Bとする)とピアリング接続しているほかのVPC(VPC Cとする)に対して、VPC Bを踏み台として、VPC Cに接続することはできません。
- IPアドレスがかぶってしまう同じCIDR帯のVPCとはピアリング接続ができない
VPCフローログ
- VPC内で行き来するIPトラフィックに関する情報を取得する機能
- 出力先はAmazon CloudWatch LogsかAmazon S3
参考・リンクまとめ
このあたりが問われます!!
SAAの場合は基本的に、上記2点について把握していればOKです。
ただし、SAPの場合はさらに、S3に保存したVPCフローログをAmazon Athenaで分析し、さらにはその分析結果をAmazon QuickSightで可視化するユースケースも出題されます。
の役割について抑えておく必要があります。出題される内容としては、現状の環境の改善や){kind=link}