一般技術キーワード
サブネット
ネットワークを論理的に分割して異なるネットワークセグメントを作る手段。
特定のIPアドレスの範囲に割り当てられ、その範囲内のデバイスやリソースは同じ物理ネットワークに存在するとみなされる。
Aレコード
DNSで利用されるレコードの一種でAddress Record
の略。
その名の通り(IP)アドレスとドメインを紐付けるレコード。
example.com. IN A 192.168.1.1
Zone Apex
DNSの用語で、特定のドメインにおいて最も上位の部分、つまりルートドメインから最も直接のサブドメインを指す。
www.example.com
の場合はexample.com
がZone Apexになる。
DNSゾーンの中で頂点(apex)にあたるドメイン名であるためこのように呼ばれる。
VPC
Amazon Virtual Private Cloud
の略。
AWSクラウド内にプライベートなネットワーク環境を構築できる。
VPC内で起動する主なサービス
- EC2
- RDS
- Lambda
- ELB
- ECS
機能要素
- VPC
- サブネット
- インターネットゲートウェイ
- ルートテーブル
- セキュリティグループ
- ネットワークACL
- NATゲートウェイ
ポイント
- 複数のAZにまたがって使用できる
RDS
Relational Database Service
の略。
MySQLやPostgreSQLなどをサポートしている。
インターネットゲートウェイ
IGWとも略される。
VPCなどのクラウド環境において、VPC内のリソースがインターネットと通信できるようにするためのコンポーネント。
パブリックなIPv4アドレスを持ち、VPC内のリソースとインターネットとの通信を仲介する。
IGW自体が、水平スケーリングにより高い可用性と冗長性を持っており、SPOFにはならない。
ルートテーブル
ネットワークトラフィックのルーティングを定義するためのテーブル。
サブネット内の他のリソース、インターネット、仮想プライベートゲートウェイなどへのトラフィックをどのように処理するかの情報が含まれる。
IGWに対してルートを持つルートテーブルはパブリックサブネットとして関連付けて扱い、逆にIGWへのルートを持たないようにしたルートテーブルはプライベートサブネットとして関連付けて扱う。
ネットワークACL
サブネットに対して設定するファイアウォール機能で、IPアドレスやポート番号でトラフィック制御を行う。
ネットワークACLとWebACLの比較
\ | ネットワークACL | WebACL |
---|---|---|
層 | ネットワーク層 | アプリケーション層 |
動作単位 | サブネット単位 | アプリケーション単位 |
目的 | パケットがサブネット内のリソースに到達する前にトラフィックの許可または拒否 | Webトラフィックに対するアプリケーション層の攻撃や不正アクセスを防ぐ |
制御基準 |
|
|
AWS内での位置 | Amazon VPC | AWS WAF |
NATゲートウェイ
Network Address Translation Gateway
の略。
VPC内のプライベートサブネットから外部のインターネットへの通信を可能にするサービス。
インターネットゲートウェイとNATゲートウェイの比較
\ | インターネットゲートウェイ | NATゲートウェイ |
---|---|---|
目的 | インターネット向けに公開したいWebサーバーやアプリケーションなど、外部からのアクセスが必要なリソースに対して利用 | プライベートサブネット内のリソースが、ソフトウェアのアップデートなどの目的で直接外部と通信するために使用 |
通信の方向 |
|
|
IPアドレスの変換 | プライベートとパブリックが1対1 | プライベートとパブリックが多対1 |
AWS内での位置 | VPCにアタッチ | サブネット内 |
※なかなか違いを理解できなかったので、以下のブログや図を参考にさせていただきました。
ありがとうございます。
www.hanatare-papa.jp
CIDR
Classless Inter-Domain Routing
の略。
サイダーと呼ぶ。
CIDRが出てくる前はアドレスがクラスごとに分類されていた。
(クラスフルという)
クラス | 範囲 | 用途 |
---|---|---|
クラス A | 1.0.0.0 ~ 126.255.255.255 | 大規模ネットワーク |
クラス B | 128.0.0.0 ~ 191.255.255.255 | 中規模ネットワーク |
クラス C | 192.0.0.0 ~ 223.255.255.255 | 小規模ネットワーク |
クラス D | 224.0.0.0 ~ 239.255.255.255 | グループ通信(マルチキャスト) |
クラス E | 240.0.0.0 ~ 255.255.255.255 | 実験や将来用に予約 |
インターネット初期のクラスフルなIPアドレスの割当・運用をしていた時代は、ネットワークのサイズを予め予測して発行しないといけなかった。
CIDRの登場によって、現在は柔軟に割当ブロックのサイズを変更できる(クラスレス)ようになったため、現在はクラスフルアドレッシングは使用されていない。
CIDR表記
IPアドレスの10.0.0.0/16
などの16
の部分はサブネットマスクのビット数を表している。
例) 10.0.1.0/24の場合
・10.0.1.0: ネットワークアドレス
・10.0.1.1: VPCルータ
・10.0.1.2: 予約
・10.0.1.3: 予約
・10.0.1.255: ネットワークブロードキャストアドレス
ハイブリッド環境構成
以下のような形でオンプレ環境とVPC環境を接続する形をハイブリッド環境構成という。
CloudFront
エッジロケーションを使い低レイテンシーでコンテンツを配信できるCDNサービス。
ClourFrontを使用してキャッシュを持つことで、1人目のアクセスはオリジナルコンテンツからの配信をCloudFront経由で受けることになるが、2人目・3人目はCloudFrontのキャッシュから配信を受ける事ができる。
Route 53
エッジロケーションで使用されるDNSサービス。
通常のシンプルルーティングの他に、用途に応じたルーティングを選択することもできる。
ヘルスチェックとフェイルオーバー
プライマリに障害が発生したときにセカンダリのURLに飛ばす事ができる。
このようにシステムの一部が故障や障害により利用できなくなった場合に、別の代替システムやリソースに切り替えるプロセスをフェイルオーバーという。
AWS Global Accelerator
というサービスを使えばより高速なフェイルオーバーが実現できる。