Memo/AmazonWebServices/VPC

https://dexlab.net:443/pukiwiki/index.php?Memo/AmazonWebServices/VPC
 

VPC(Virtual Private Cloud)

  • VPC EC2起動中でもSecurity Groupを変更可能。EC2 Classicでは出来ない
    • EC2選択 > Actions > Networking > Change Security Group

VPC Endpoint

  • AWSのサービスには、VPC内/外の区別がある。
  • VPC RDSにアクセスするには、VPC Lambdaが必要。
    • VPC LambdaはPrivate Subnetに配置し、デフォルトではインターネットにアクセスできない。
    • VPC Lambdaがインターネットへアクセスするには、NAT Gateway(有料)をPublic Subnetに追加する。
    • 今まで DynamoDB はVPC非対応だったため、NAT Gateway経由が必要だった。VPC EndpointがDynamoDBへ対応したため、NAT Gatewayは不用になった。

Transit Gateway: VPC およびアカウント接続を簡単にスケール


設計

  • 設計時の注意
    • 後からCIDRを変更はできないので十分に考えた方が良い。
    • 他のVPCと接続したい場合、CIDRが重複していると接続できない。その場合は重複を避ける。
    • 広すぎるCIDRはVPCやサブネット数が足りなくなるので避ける。「/16」は大きすぎる気がする。
    • 小さすぎてもオートスケールするリソース(ELB, Lambda, EC2 AutoScale, etc)があるので困る。
  • 例:
    • VPC CIDR: 10.10.0.0/21
    • IP range: 10.10.0.0 - 10.10.7.255
    • IP数: 2048
    • 最大Subnet数(1 VPC): 8
      • SubnetはPublic, Privateでそれぞれ最低 3 つあれば良い。(EKS Architecture)
      • 最大Public Subnet数: 4
      • 最大Private Subnet数: 4
      • 最大NAT gateway: 4 (Private Subnetの数だけ) コストがかかるので注意。
    • Region辺りのAZは、最大4つ程。
      • AZ毎にPublic/Private Subnetを作る。AZは売り切れる事があるので、冗長性を確保したい場合 最低 3 AZは欲しい。

Private Subnet

デフォルトではインターネットと通信ができない。
DBやCache等の外部と通信させたくないリソースを置く。

  • VPC とサブネットのサイズ設定

    VPC を作成する場合は、 RFC 1918 に指定されているように、プライベート IPv4 アドレス範囲から CIDR ブロック (/16 以下) を指定することをお勧めします。

    10.0.0.0 - 10.255.255.255 (10/8 プレフィックス)

    172.16.0.0 - 172.31.255.255 (172.16/12 プレフィックス)

    192.168.0.0 - 192.168.255.255 (192.168/16 プレフィックス)


VPC NAT Gateway

  • VPC Subnet毎に設置する事で、Outgoingトラフィックのための固定IPを持てるため、アクセス制限が厳しい環境で使える。
  • VPC Lambdaの場合、internetへ通信したい場合、NAT gatewayを通すように設定する。
  • vpc: 10.0.0.0/16 # AWS docのサンプル
  • public subnet: 10.0.0.0/24
  • public subnetのroute table:
    10.0.0.0/24      local
    172.31.1.0/24    pcx-xxxx # VPC peeringで接続する場合
    0.0.0.0/0        igw-xxxx # internet gateway
  • private subnet: 10.0.1.0/24
  • private subnetのroute table:
    10.0.1.0/24      local
    172.31.1.0/24    pcx-xxxx # VPC peeringで接続する場合
    0.0.0.0/0        nat-xxxx # nat gatewayへ

ClassicからVPCへの移行


High Availability for Amazon VPC NAT Instances


トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2019-07-10 (水) 15:46:23 (12d)