VPCの設定に関するメモ
VPCの設定に関する事柄についての整理用のメモ
設計のポイント
- アドレッシングや他ネットワークとの接続性も考慮。将来の拡張性を見据える。
- CIDRは既存のVPCや社内のDCやオフィスとかぶらないようにアドレス帯を設定する。 -- 将来の組織構成を見据えて設定する。
- 組織とシステムをどのように分割するかも検討する。
- 可用性を高めるために複数のAZを利用する。
- Pub/Sabのインターネット隔離をきちんと考慮する。サブネットは大きいものを利用する。
- セキュリティグループを使ってリソース間のトラフィックを適切に制御する。
- VPC Flow Logsなどでモニタリングできるように務める。
VPCエンドポイント
インターネットゲートウェイ
VPCに設置される。
ルートテーブル
サブネット内にあるインスタンス等がどこに通信にいくかのルールを定めたものです。 AWSのルートテーブルって何よ?VPCとサブネット踏まえて簡単に説明してみる - Qiita IGからpublicサブネットに通信を通す などの設定はここで行う。
トラフィック制御
セキュリティグループ
- ステートフル
- サーバー単位の設定
- 許可のみIN/Outで指定 -- 必要な通信があれば許可するスタイル
- 全ルールを適用
ネットワークALC
- ステートレス
- 戻りのトラフィックも許可設定が必要
- サブネット単位で指定可能
- 許可、拒否をIN/OUTで指定可能
- デフォルトでは全ての送信元IPを許可している
- 番号の順序通りに適用する
サブネット
publicにする方は、publicipアドレスを自動割り当てする