AWS初心者学習④ ~各種ゲートウェイについて~
今回はGWについて書きたいと思います。
一般ユーザにサービスを展開する際やオンプレ環境などの社内環境からアクセスするためには必要になってくるのでかなり重要です!
・インターネットゲートウェイ(IGW)
インターネットゲートウェイは、VPCのインスタンスとインターネットとの間の通信可能にするための機能。冗長性と高い可用性を備えており、水平スケーリングも可能。そのため、ネットワークトラフィックの増加に伴う可用性のリスクや帯域幅の制約はない。各VPCに1つだけ配置可能。
インターネットゲートウェイが果たす役割は2つあります。1つは、インターネットでルーティング可能なトラフィックの送信先をVPCのルートテーブルに追加すること。もう1つは、パブリックIPv4アドレスが割り当てられているインスタンスに対してネットワークアドレス交換(NAT)を行うこと。 インターネットゲートウェイは、IPv4トラフィックおよびIPv6トラフィックをサポートしている。
●インターネットにアクセスするために必要なこと
VPCのサブネットのインスタンスでインターネットのアクセスを有効にするには、以下を実行する必要がある。
①VPCにインターネットゲートウェイをアタッチする
②サブネットのルーティングテーブルがインターネットゲートウェイにつながっていることを確認する
③サブネットのインスタンスに、グローバルに一意なIPアドレスが割り当てられていること
④ネットワークACLとSGのルールがインスタンス間で関連するトラフィックを許可していること
・NATゲートウェイ
インスタンスにグローバルIPを持たせたくない場合はNATゲートウェイを使用する。一応イメージ図を作成しましたが、使い方があっているのか自信がないのであくまで参考程度ということで。。
・仮想プライベートゲートウェイ(VGW)
仮想プライベートゲートウェイは、VPCがVPNやDirect Connectと接続するためのゲートウェイ。VGWも各VPCに1つだけ配置可能。
ルートテーブルでVGWターゲットに指定すると、その宛先アドレスとの通信はVGWから、VPNやDirect Connectを通してオンプレミスネットワーク基盤に向けられる。オンプレミスネットワークの宛先については、ルートテーブルに静的に記載する方法と、ルート伝番(プロパゲーション)機能で動的に反映する方法の2つがある。
・VPCエンドポイント
VPCエンドをポイントを使用することで、インターネットゲートウェイ、NATデバイス、VPN接続、またはAWS Direct Connect接続は使わずに、AWSのサービスや他のVPCにアクセスすることができる。
VPCのインスタンスは、サービスのリソースと通信するためにパブリックIPアドレスを必要とせず、VPCと他のサービス間のトラフィックは、Amasonネットワークを離れない。VPCエンドポイントは、インターフェイスエンドポイントとゲートウェイエンドポイントの2種類存在する。サポートされるサービスが違う。インターフェイスエンドポイントは色々なサービスと連携できるので、一先ずゲートウェイエンドポイントでサポートしているサービスを抑えておくことが効率よさそうです。ゲートウェイエンドポイントでサポートされているサービスは、以下になります。・Amason S3
・DynamoDB VPC エンドポイントはデフォルトでは、IAMユーザにはエンドポイントを使用するためのアクセス権限がないため注意!
・VPCピアリング接続
VPCピアリング接続は、2つのVPC間でプライベートなトラフィックのルーティングを可能にするネットワーキング接続。どちらのVPCのインスタンスも、同じネットワークに存在しているかのように相互に通信できる。VPCピアリング接続は、自分のVPC間、別のAWSアカウントのVPCとの間、または別のリージョンとの間に作成できる。
個別のハードウェアには依存しないため通信の単一障害点や帯域幅のボトルネックは存在しない。
VPCエンドポイントとVPCピアリングどちらもVPC間の通信を行うことが可能で、個人的にややこしかったので調べました。
違いを簡単にいうと、VPC同士を通信させるか、VPC内のインスタンス同士を通信させるかの違いみたいです。VPCピアリングの説明にも書きましたが、VPCピアリングを使うと同じネットワーク内のインスタンスのように扱えます。
そのため、インスタンス同士の通信に基本的にはVPCピアリングで通信をさせる方がよさそうですね!