- VPC
- VPCは隔離されたプライベートなネットワーク構成をお客様がコントロールできるサービス
- VPCはリージョンを選択して作成
- CIDRでVPCのプライベートIPアドレスの範囲を定義
- サブネット
- サブネットはアベイラビリティゾーンを選択して作成
- CIDRでサブネットのプライベートIPアドレスの範囲を定義
- サブネットは役割で分割する
- 外部インターネットに接続できるのがパブリックサブネット
- 外部インターネットに接続せず外部アクセスからリソースを保護できるのがプライベートサブネット
- インターネットゲートウェイ
- インターネットゲートウェイはVPCとパブリックインターネットを接続
- インターネットゲートウェイ自体が高可用性と冗長性を持っている
- ルートテーブル
- ルートテーブルはサブネットと関連付ける
- サブネット内のリソースがどこに接続できるかを定義する
- セキュリティグループ
- セキュリティグループはインスタンスに対してのトラフィックを制御する仮想ファイアウォール
- 許可するインバウンドのポートと送信元を設定するホワイトリスト
- 送信元には、CIDRかほかのセキュリティグループIDを指定できる
- ネットワークACL
- ネットワークACLは、サブネットに対してのトラフィックを制御する仮想ファイアウォール
- 拒否するインバウンドのポートと送信元を設定するブラックリスト
- 必要がなければ設定しない追加しないセキュリティレイヤー
- 外部からEC2インスタンスにアクセスするには
- インターネットゲートウェイをVPCにアタッチする
- インターネットゲートウェイへの経路を持つルートテーブルをサブネットに関連づける
- EC2インスタンスをそのサブネット内で起動する
- EC2インスタンスにパブリックIPアドレスを有効にする(または、EC2のパブリックIPアドレスを固定するElastic IPをアタッチする)
- ハイブリッド環境構成
- VPCと既存のオンプレミス環境をVPN接続できる
- VPCと既存のオンプレミス環境をダイレクトコネクトを使って専用線で接続できる
- CloudFront
- CloudFrontはエッジロケーションを使用するCDNサービス
- エッジロケーションにキャッシュを持つことで低レイテンシー配信を実現
- 世界中のエッジロケーションが利用できるので、ユーザへは最もレイテンシーの低いエッジロケーションから配信される
- 通信を保護するために証明書を設定できる
- 外部の攻撃からも守ることができる
- Route53
- Route53はエッジロケーションで使用されるDNSサービス
- 複数のレコードを設定し、用途に応じて最適なルーティングを選択できる
- 複数のレコードを設定し、システムの高可用性を世界中のリージョンを使用して実現できる
- Zone Apexに対しても柔軟な設定ができ、高可用性を実現できる