[レポート] NET201: VPCの基礎と接続オプション #reinvent

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

re:Invent 2018では自分のようなAWS初心者向けのセッションも多く開催されています。その中からAmazon Virtual Private Cloud (VPC)について基礎的な内容を丁寧に解説してくれたセッションについてレポートします。

NET201

なおVPCについての詳細は公式ドキュメントをご参照いただくのが確実です。

概要

In this session, we walk through the fundamentals of Amazon VPC. First, we cover build-out and design fundamentals for VPCs, including picking your IP space, subnetting, routing, security, NAT, and much more. We then transition to different approaches and use cases for optionally connecting your VPC to your physical data center with VPN or AWS Direct Connect. This mid-level architecture discussion is aimed at architects, network administrators, and technology decision makers interested in understanding the building blocks that AWS makes available with Amazon VPC. Learn how you can connect VPCs with your offices and current data center footprint.

以下の内容について解説されました。

  • get familier with VPC concepts
  • walk through a basic VPC setup
  • Learn about the ways in which you can tailor your virtual network to meet your needs
  • Understand the options for Connectivity
    • between VPCs
    • to your own corporate networks
    • to aws services

VPCのセットアップ

セッションではまずVPCのセットアップ手順が順を追って解説されました。

  • アドレス範囲の選択
    VPCのネットワークアドレスをCIDR形式で指定します。ちなみに本セッションではRFC1918準拠で 172.31.0.0/16 がオススメとのことでした。
  • サブネットの作成
    • オススメは、VPCが /16 (65,536アドレス)、サブネットは最低でも /24 (251アドレス)とのこと
    • 冗長性のため、1つのVPCに複数のAZ, サブネットを入れることが推奨
  • ルートテーブルの設定
  • セキュリティグループの設定
    • "最小特権の原則(principle of least privilege)"に従い、極力権限を絞ることが推奨されます。
    • セキュリティグループではアウトバウンド(egress)とインバウンド(ingress)の両方の設定が可能です。
  • インターネット接続の制御
    • サブネットによるルーティング
      インターネットと接続するパブリックサブネットと接続しないプライベートサブネットを分けて構築する方法です。
    • NATゲートウェイの使用
      VPCからインターネットへの外向けの接続のみ必要なケースで使われます。詳細はこちらを参照するのが良さそうです。

VPCの各種接続オプション

インターネットとの接続以外にも、様々な接続オプションがあります。

  • VPC間の接続
    VPCピアリング接続により、VPC間を接続することができます。異なるリージョンやアカウントの間でも接続可能です。ただし互いのCIDRブロックが重なっていないことが条件です。詳細はこちら
  • オンプレミスネットワークとの接続: 以下の2つの方法があります。
  • 他のAWSサービスとの接続
    • Route 53を利用する
    • VPC内に他のサービスを構築する
      RDSのインスタンスを同じVPC内に置くなどが例として挙げられます。
    • VPCエンドポイントサービス
    • ログの送信
      VPCフローログにより、CloudWatch LogsまたはS3へログを送ることができます。

まとめ

VPCの基礎を解説したセッションについてレポートしました。本セッションは初心者を強く意識したものになっていて、例えばCIDR形式についても以下のように丁寧にスライド付きで解説してくれていました。

CIDR notation review

初心者である自分にとってはとても良い勉強になったセッションで、本稿をまとめることもまた良い勉強になりました。本稿を参考にしつつ個別の公式ドキュメントを読み進めると、より理解が深められるのではないかと思います。AWS初学者の方の参考になれば幸いです。