AWSソリューションアーキテクト勉強中のririです。

IT系とはいえ、普段AWSに触れる機会がほとんどなく、

かつ構築したことがないので、

 

試験に当たり覚えておくべきことをメモしていこうと思います。

今日は基本的なネットワーク関連サービスについてまとめます。

 

その他の記事はこちら⬇︎

konomamaowaru.hatenablog.jp

#1.コンピューティングサービス

#2.ストレージ

#3.DB関連サービス

#5.管理サービス

#6.セキュリティ関連サービス

#7.その他コアサービス

 

• セキュリティグループ
• Elastic IP
• Route53
• Cloud Front
• CloudFrontアクセスログ
• AWS Direct Connect
• AWS Site-to-Site VPN
• ROA（Route Orgin Authorization）
• カスタマーゲートウェイ
• VPC
• ゲートウェイエンドポイント
• VPC Transit Gateway

セキュリティグループ

• 変更と新規設定はすべてのEC2に即座に反映される
• インスタンス間のトラフィック制御にはセキュリティグループが有効　※サブネットに対しては機能しない
• ステートフル（往復許可）。それ以外の場合、Ingress（インバウンド通信）ルールとExgress（アウトバウンド通信）ルールを設定する
  ※ネットワークACLはステートレス
• デフォルトではインターフェースあたり5まで設定できる

Elastic IP

• EC2停止後にパブリックIPは解放されるため、EC2再起動後にも同じIPを利用したい場合はElastic IPを使う
• Elastic IPを自動で別リソースに付け替える機能をフローティングと呼ぶ

Route53

• 位置情報ルーティングはユーザの地理的位置に基づいて特定のリソースにルーティングする設定
• 地理的近接ルーティングはユーザの地理的位置に基づいて一番近いリソースにルーティングする設定
• マルチバリュールーティングにより、複数の値を返すように設定することが可能
• 事業継続のために、本番環境とDR環境を別リージョンに設置し、Route53で連携し切り替えを自動化することは可能
• ヘルスチェックによる監視はデフォルトで30秒
• DDoS攻撃中でもユーザがアプリケーションにアクセスできるようにする機能がある（シャッフルシャーディング、エニーキャストルーティング）
• 複雑なルーティングポリシーはトラフィックフローで整備する

Cloud Front

• OAI(OriginalAccess Identity)またはOAC(OriginalAccess Control)を割り当て、そのOAI/OACのみにS3オブジェクトの読み取り権限をS3バケットポリシーで設定することで、他のユーザからのアクセスを防ぐことができる
• 長期契約による割引がある
• キャッシュ保持期間の変更はCache-Control max-ageディレクティブを変更する

Cache-Control max-age ディレクティブでは、CloudFront がオリジンサーバーからオブジェクトを再度取得するまでにオブジェクトをキャッシュに保持する期間 (秒単位) を指定できます。

コンテンツがキャッシュに保持される期間 (有効期限) の管理 - Amazon CloudFront

CloudFrontアクセスログ

CloudFront が受信するすべてのユーザーリクエストに関する詳細情報を含めたログファイルが作成されるように CloudFront を設定できます。これらは、標準ログと呼ばれます。また、アクセスログとも呼ばれています

標準ログ (アクセスログ) の設定および使用 - Amazon CloudFront

AWS Direct Connect

• 低レイテンシーかつ可用性の高い安全な接続

AWS Site-to-Site VPN

• Direct Connectよりパフォーマンスは劣るが、IPSecを利用した安全な接続ができる

ROA（Route Orgin Authorization）

• オンプレミスで使っているIPをAWSでも利用する

カスタマーゲートウェイ

• VPCとオンプレ環境を接続する際に、ユーザ側で設置するネットワークの出入り口のこと

VPC

• 複数のAZをまたぐVPCを作成することができる
• VPCフローログはS3やCloudWatchLogsに保存できる
• VPCの各インスタンスにはプライマリネットワークインターフェース（eth0）がある
• VPC ENI(Elastic Network Interface）はVPCの論理ネットワークコンポーネント

VPCを使用すれば、仮想的なプライベート環境へとEC2でサーバーを立ち上げる事が出来ます。このような環境において、ネットワークインターフェースをVPCに対して追加する役割を持つのがENIです。 ENIとは、物理的環境におけるNIC（Network Interface Card）の事を指します。

AWSのネットワークインターフェースとは？ENIによって出来る事3点を紹介！ - 未経験からITエンジニア転職ならキャリアチェンジアカデミー

ゲートウェイエンドポイント

• EC2（VPC内サービス）とS3（リージョン設置サービス）間の接続は通常はインターネットを介するが、ゲートウェイエンドポイントを使えば、AWSのバックボーンを使いVPC内からVPC外へのサービスにアクセスできる

dev.classmethod.jp

VPC Transit Gateway

Transit Gatewayは、仮想プライベートクラウド (VPC) とオンプレミスネットワークを相互接続するために使用できるネットワークの中継ハブです

Transit Gateway とは - Amazon VPC