AWSを学ぶ中で必ず押さえておきたいこと

スポンサーリンク

0. はじめに

AWS初心者です。
AWSを実際に触ってみて学んだ基礎知識等をまとめておきたいと思います。
ネットワークについての諸々も合わせて書いてきます。
AWSを始める前に押さえておくと(多分)ハッピーになれます。

aws.png

1. 全体像

当記事で登場する用語の全体像です。
以下の全体像と照らし合わせて記事を読んでみてください。

AWS.png

2. リージョン

AWSは世界16ヵ所の分散されたデータセンターで構成されています。
それぞれの地域に存在するデータセンターのことをリージョンと呼びます。
リージョンには以下のようなものがあります。

リージョン.png

また、リージョンにはアベイラビリティゾーンに分割されています。
アベイラビリティゾーンが地震や洪水唐等の災害を受けても、耐障害性を高める概念です。
AWSを利用する際は、以下のような考慮が必要になります。

  • レスポンス性を考慮しユーザーに近いリージョンにする
  • 耐障害性を高めるために異なるアベイラビリティゾーンに同じ構成のサーバーをたてる

3. VPC (Virtual Private Cloud)

AWSではVPCという領域を作ることで、そこにネットワークを作成できます。
VPCを作る際は、CIDR表記またはサブネットマスク表記でIPアドレスの範囲を指定します。

CIDR表記

ネットワーク部のビット長を「/ビット長」で表します。

  • 192.168.1.0 ~ 192.168.1.255の場合・・・192.168.1.0/24
  • 192.168.0.0 ~ 192.168.255.255の場合・・・192.168.1.0/16

サブネットマスク表記

ビット長の数だけ2進数の「1」を並べ、残りは「0」で表します。

  • 192.168.1.0 ~ 192.168.1.255の場合・・・192.168.1.0/255.255.255.0
  • 192.168.0.0 ~ 192.168.255.255の場合・・・192.168.1.0/255.255.0.0

4. サブネット

VPCにおいて、さらにネットワークを分割したものをサブネットと言います。

サブネット.PNG

また、サブネット以下の2つに分かれます。

  • インターネットに接続することを目的としたパブリックサブネット。Webサーバー等を配置する。
  • インターネットから隔離したプライベートサブネット。DBサーバー等を配置する。

サブネットに分割することで、
1階と2階を別のサブネットに分け、耐障害性を向上
経理部のネットワークを分け、他からはアクセスできないようにしてセキュリティを向上
などが行えます。

5. インターネットゲートウェイ

サブネットをインターネットに接続するには、インターネットゲートウェイを使用します。自身で作成したネットワークに、インターネット回線を引き込むイメージになります。
作成したインターネットゲートウェイはVPCと結び付けます。

6. ルートテーブル

TCP/IPでは、ルーターが宛先IPアドレスを見ながら、最も宛先IPアドレスに近いネットワークにパケットを転送していきます。そのため、ルーターが宛先IPアドレスが〇〇のときはどのネットワークに流すべきかを知る必要があります。それを設定するものがルートテーブルになります。
インターネットに接続するには、サブネットに対してルートテーブルを作成し、宛先IPアドレスに「0.0.0.0/0」(全てのアドレスを意味する)を指定します。

※VPCを作成した際に、デフォルトでルートテーブルが作成されますが、宛先IPアドレスはローカル(自身)になっています。指定したIPの範囲以外のパケットは破棄されてしまうため、インターネットに接続するには新規にルートテーブルを作成することになります。

7. EC2 (Amazon Elastic Compute Cloud)

作成したサブネットの中に、仮想サーバーを構築できます。
仮想サーバーはEC2というサービスを使って作成します。
EC2で作成した仮想サーバーをインスタンスと呼びます。
このインスタンスに、WebサーバーDBサーバーをインストールすることになります。
また、インスタンスには、以下のIPアドレスを割り当てることができます。

  • サブネット内で利用可能なプライベートIPアドレス
  • インターネットで接続するためのパブリックIPアドレス

8. セキュリティグループ

セキュリティグループを構成することで、インスタンスに対してセキュリティを設定することができます。
例えば、「ポート22番に対して全ての通信(0.0.0.0/0)を許可する」という設定をした場合、ポート22番を用いているSSHだけがインスタンスに接続できるようになります。
そのため、必要に応じてセキュリティグループの設定を変える必要があります。

ウェルノウンポート

TCP/IPで使用されるポートのうち、特によく利用されているポートをウェルノウンポートといいます。
0番から1023番までのポート番号が割り当てられていて、以下のようなものがあります。

サービスポート番号説明
FTP (データ)20PC間でファイル転送する時に使用
※転送されるデータの送受信に使用
FTP (コントロール)21PC間でファイル転送する時に使用
※ログイン時のユーザ名、パスワード、ファイルの転送方法等の命令と応答などに使用
SSH22ネットワークに接続された機器を遠隔操作するために使用
※パスワード情報を含めた全てのデータが暗号化さる
Telnet23ネットワークに接続された機器を遠隔操作するために使用
※パスワード情報を含めた全てのデータが暗号化されない
SMTP25メールサーバーにメールを送信し、宛先に転送するときに使用
DNS53ドメイン名からのIPアドレスの名前解決を行うときに使用
HTTP80ブラウザとサーバー間でのHTML等のコンテンツ送受信に使用
POP3110メールサーバーからメールを取り出し、受信するときに使用
NTP123PCに内蔵されているシステムクロックをネットワークを介して同期するために使用
HTTPS443暗号化を利用したHTTP通信を行う際に使用

9. NATゲートウェイ

DBサーバー等はプライベートサブネットに配置すべきなのですが、プライベートサブネットはインターネットの接続が行えません。それを解決するのがNATゲートウェイになります。
NATはIPアドレスを変換する装置で、2つのインタフェースを持ちます。
片方のインタフェースにはパブリックIPアドレスを設定し、インターネットに接続可能にしておきます。
もう片方のインタフェースにはプライベートアドレスを設定し、プライベートサブネットに接続します。
このような仕組みをとることで、インターネットへの接続が可能になります。
NATを用いると、プライベートサブネットからインターネットへの接続はできますが、インターネットからプライベートサブネットへの接続はできません。そのため、セキュリティを高められます。

★注意点★
NATゲートウェイは、加増時間と転送バイト単位の両方で課金されるので、まったく通信していなくても料金がかかってしまいます。
必要がない場合は、NATゲートウェイを削除しておくべきです。

10. おわりに

この記事を書くにあたり、以下の書籍を参考にさせて頂きました。
画像付きでとても分かりやすく、勉強になりました。
Amazon Web Services 基礎からのネットワーク&サーバー構築 改訂版

これからもドンドンAWSを触っていきたいと思います。
他にも追加したい項目がありましたら更新していきます。

コメント

タイトルとURLをコピーしました