AWSの学習メモ

• AWSのblackbaltの動画を15分以上毎日見る
  • AWS Aws VPC
  • https://www.youtube.com/watch?v=aHEVvsk6pkI&list=PLzWGOASvSx6FIwIC2X1nObr1KcMCBBlqY&index=23
• 動画を簡単にまとめる

Amazon VPC

クラウドで仮想ネットワークを構築（NFV）

VPC
    - AWS上にプライベートネットワーク空間を構築
        - 任意のIPアドレスレンジが利用可能
    - 論理的なネットワーク分離が可能
        - 逆にネットワーク同士をつなげることも可能
    - ネットワーク環境のコントロールが可能
        - ルートテーブルや各種ゲートウェイ、各種コンポーネント
    - 複数のコネクティビティオプションが選択可能
        - インターネット経由
        - VPC/専用回線

全体
    - 全体のネットワーク空間をVPCで定義
    - 実際に稼働するネットワークをサブネットという
    - InternetGatewayをVPCにアタッチするとインターネットにアクセス可能

    - インターネットに接続しないプライベートサブネットも可能
    - VPNや専用線を使ってオフィスやデータセンターとつなぐ

アドレスレンジ
    - 172.31.0.0/16など
        - RFC1918レンジ
        - /16（65534アドレス）
VPC CIDRブロック
    /16で設定した場合

    - /18：サブネット4つ、IP数：16379
    - /20：サブネット16、IP数：4091
    - /22：サブネット64、IP数：1019
    - /24：サブネット256、IP数：251 <- 推奨
    - /26：サブネット1024、IP数：59
    - /28：サブネット16384、IP数：11
        ※VPCあたりのサブネット作成上限はデフォルトで200個まで

AZは1つ以上のIDCで構成されている
サブネットで/24の際の予約ホストアドレス
    .0：ネットワークアドレス
    .1：VPCルータ
    .2：Amazonが提供するDNSサービス
    .3：AWSで予約
    .255：ブロードキャストアドレス

セキュリティグループ = ステートフルFirewall
  - EC2インスタンスもしくはRDSインスタンスで設定
  - サーバレベルで行う

Network ACLs = ステートレスFirewall
  - サブネット単位で関連づけ
  - デフォルトは全ての送信元IPを許可

Route 53 Resolver for Hybrid Clouds
  今まではオンプレからVPC-Provided DNS（VPCで設定したCIDRアドレス）へ
  アクセス不可制限があった
    => オンプレからDirectConnect/VPNによるVPC Provided DNSへ直接アクセス可能な、
        DNSエンドポイントを提供

Amazon Time Sync Service
  VPC内で稼働する全てのインスタンスからNTPで利用できる高精度NTP
  169.254.169.123で可能
  leap smearingによる「うるう秒」対策済み
  全てのリージョンで指定可能

Direct Connect Gateway
  同一アカウントに所属する
    複数リージョンの複数のロケーションから複数リージョンの複数のVPCに接続可能

  DirectConnectから世界の全リージョンのVPCに接続することが出来る。
  1つのDirectConnectの仮想インターフェイスから複数のVPCに接続することが出来る
  複数のDirectConnectの仮想インターフェイスをDirectConnectGatewayに接続する事が出来る

  冗長化
    - VPNとDirectConnectを同じVGWに接続することが可能
    - VPNを優先したい場合は/24だったら/25にするとVPNが優先される
      - ロンゲストマッチ

Transit VPC
  - CloudFormationのテンプレートとして提供

Transit Gateway （Transit VPCを使う必要がない）
  - 1000以上のVPCとオンプレミス間の相互接続を簡単になる

VPC Endpoint
  VPC EndpointはグローバルIPを持つAWSのサービスに対して
  VPC内部から直接アクセスするための出口になる。

  - Gateway型
    - 無料、ユーザ側で意識する必要ない
  - PrivateLink型
    - 有料、マルチAZ設計

VPCピアリング
  - 2つのVPC間でトラフィックのルーティングが可能
  - 同一、異なるアカウントで可能
  - リージョンを跨ぐことが可能

VPCシェアリング
  - アカウントをまたいだVPCシェアリングによりVPC数を削減可能
  - AWS Organizationsは必須
  - デフォルトVPC、サブネット、セキュリティグループはシェアできない

運用
  - VPC Flow Log
    - ネットワークトラフィックをキャプチャ
  - GuardDuty
    - 悪意のあるスキャン
    - インスタンスへの脅威
    - アカウントへの脅威
    - VPC Flow Log、DNS Logs、CloudTrailをデータソースとして可視化する