Amazon Web Services ネットワーク入門 (impress top gear)

著者 : 大澤文孝

• インプレス (2016年11月11日発売)

作品紹介・あらすじ

AWSのVirtual Private Cloudサービスを基礎から解説。VPC領域の作成・EC2インスタンスへのIPアドレスの割り当て。セキュリティ機能・プライベートなネットワーク運用。DNSサーバーと独自ドメインの運用。

感想・レビュー・書評

[rdbcさんの感想 · 2020年3月28日]

AWSを使うとかなり簡単にネットワーク構築できるものだと分かった。
ある程度の知識がある人は、ネットの情報やチュートリアルで十分かもしれないが、ネットワークの知識が余りない自分にとっては非常に参考になった。

[おこめさんどさんの感想 · 2019年2月17日]

AWSでのネットワーク設定の基本的な手順がとても丁寧に書かれている。wordpress構築時のwebサーバーとdbサーバーを例にしているのも良い。わかりやすくて参考になる良い本。

[fuji70さんの感想 · 2018年10月20日]

AWSのネットワーク基本がわかる。1.5Hくらいとすぐ読み終えられた。

[more]

## ネットワーク
### AWS用語
- Region us-east-1, ap-northeast-1
- AZ a,b,c Availability Zone
- SG Security Group パケットフィルタ型ファイアウォール
- インスタンス対象
- インバウンド 外側から内側 デフォルトでは全拒否
- VPC 仮想ネットワーク
- Regionごとに最大５つ作成できる
- ルーターが存在する前提で暗黙的にVPC内は繋がる
- サブネットは最大 /16 で通常はこれで良い
- テナンシー インスタンスのテナント属性
- デフォルトは共有。ハード専有もあり。
- サブネット VPCをさらに細分化
- AZを決める
- ネットワークACL サブネットでトラフィック制御
- DHCPサーバーが自動で稼働
- 先頭 ネットワークアドレス
- ＋１ VPCルーター
- ＋２ DNSへのマッピング用予約
- ＋３ 将来のため予約
- 末尾 ブロードキャスト
- IGW Intenet GateWay
- インターネットと接続 VPCの出入り口
- VPCの接続ポイント
- IGW
- AWS Direct Connect 専用線接続
- VPN Gateway VPN接続も可能
- VPCピア接続
- VPCエンドポイント 使わないと一度インターネット 今はS3のみ
- デフォルトVPC
- 契約者ごとにVPCが１つ作られている
- すぐにインターネット接続できるように作られている特別なVPC
- VPC 172.31.0.0/16 の下にSubnet
- AZ-A 172.31. 0.0/20 (12bit=4096)
- AZ-B 172.31.16.0/20
- AZ-C 172.31.32.0/20
- このサブネットに配置したEC2は Public/Private IPの２つ持つ
- 手早く公開する時以外は、使わない
- デフォルトVPCは作り直せない。AWSに依頼するしかない。

### 一般用語
- CIDR Classless Inter-Domain Routing
- サイダー
- ネットワーク部 / ホスト部
- IPアドレス/ネットワークビット数
- 10.0.0.0/16
- IPv4なら 32bit で全部
- アドレス先頭 0 はネットワークアドレス
- 末尾 255 はブロードキャスト

## EC2
- ENI Elastic Network Interface
- 仮想的なNIC
- EC2にアタッチされる
- プライベートアドレス
- プライマリは一度割り振られると固定
- 固定アドレスを振るのはENIに対して
- 中のOSからみればDHCP設定
- つまりOSの固定IP設定はNG
- EBS Elastic Block Store ストレージ
- インスタンスストア
- 揮発性ディスク 停止すると消える
- EBSより高速
- HDD/SSDを選ぶ
- ストレージ種類
- HDD Cold(sc1)と高速なスループット最適化(st1)
- SSD 汎用(gp2) と プロビジョンド(io1)
- オススメは gp2
- AMI Amazon Machine Image
- 起動ディスクイメージ
- メタデータHTTPサーバー
- http://169.254.169.254/
- アクセスしたEC2のメタデータを取れる

## ファイアウォール機能
- セキュリティグループとネットワークACLの２つ
- SG
- ENIごと
- ステートフル
- エフェメラルポートを追跡する
- ACL
- サブネットごと
- ステートレス
- 特定のIPアドレス範囲とのみ通信、といった用途
- エフェメラルポート
- クライアント側に降られたランダムなポト番号
- 例えば ポート22(ssh)に接続しようとしたクライアントに45678番が降られる

## プライベートなネットワークの運用
- プライベートなサブネットに入り込む方法
- 踏み台サーバー 通常はこちら
- VPN Gatewayを使って入る
- NAT Gateway
- プライベート内のインスタンスから外を見たい

## 独自ドメイン
- EIP Elastic IP
- 固定IPを確保する
- ENIに任意に割り当てられる
- FQDN 完全修飾ドメイン名
- www.example.co.jp や mail.example.co.jp
- ホスト名もつく
- 厳密には末尾にもルートノード \".\" をつける
- レコード
- Aレコード ホスト名→IPアドレス
- NSレコード DNSサーバーを指し示す
- SOAレコード 更新情報や連絡先、キャッシュ時間
- ルートDNSサーバ
- 全世界に13箇所
- DNSラウンドロビン
- 対応するIPアドレスの返す順序を変えて負荷分散
- Route 53
- AWS のDNSサーバーサービス
- TTL DNSレコードキャッシュ時間
- デフォルト600=10分 運用時は長くする

eof

著者プロフィール

大澤 文孝（おおさわ ふみたか）
技術ライター。プログラマー。
情報処理技術者（「情報セキュリティスペシャリスト」「ネットワークスペシャリスト」）。
雑誌や書籍などで開発者向けの記事を中心に執筆。主にサーバやネットワーク、Webプログラミング、セキュリティの記事を担当する。近年は、Webシステムの設計・開発に従事。
主な著書に、『ちゃんと使える力を身につける Webとプログラミングのきほんのきほん』（マイナビ出版）、『いちばんやさしい Python入門教室』（ソーテック社）、『AWS Lambda実践ガイド』（インプレス）、『さわって学ぶクラウドインフラ docker 基礎からのコンテナ構築』（日経BP）、『ゼロからわかる Amazon Web Services超入門 はじめてのクラウド』（技術評論社）、『UIまで手の回らないプログラマのためのBootstrap 3実用ガイド』（翔泳社）、『Jupyter NoteBookレシピ』（工学社）などがある。

「2023年 『ちゃんと使える力を身につける Webとプログラミングのきほんのきほん ［改訂2版］』 で使われていた紹介文から引用しています。」