第101回 雲勉【オンライン】 VPCから始めるネットワーク⼊⾨ 2023/4/20

アジェンダ 2 0.講師⾃⼰紹介 1.AWSとは 2.VPCとは 3.サブネットとは 4.インターネットゲートウェイとは 5.ルートテーブルとは 6.セキュリティグループ・ネットワークACLとは 7.まとめ 8.質疑応答

０．講師⾃⼰紹介 3 n 名前 ⼆宮 英幸 (Hideyuki Ninomiya) • (所属) クラウドインテグレーション事業部 構築第七セクション • (経歴) ⼈事総務 8.5年 → ⼈⽣の夏休み 0.5年 → SES インフラ 0.8年 → 現職 • (アイレット歴) 3年 (2020年2⽉⼊社) • 第⼆種電気⼯事⼠免状を持っていますが、電気⼯事をしたことはありません • インフラエンジニアを名乗っていますが、オンプレミス環境を触ったことはありません • GCPナニモワカラナイ。AWSはSystems Managerが最近の⾃分のトレンド︖ • 妻と2歳の娘がいます。とても可愛いです • 酒・温泉・旅⾏が好きです

1. AWSとは 4

1．AWSとは 5 n Infrastructure（インフラストラクチャー） • 何かしらを⽀えている「基盤」のこと • IT以外だと、電気・ガス・⽔道・鉄道あたりが⾝近︖ n ITにおけるインフラ • ITサービスを利⽤者に届けるための基盤となる資源全般のこと • サーバー、ネットワーク、etc. • インフラエンジニアはITサービスに必要なインフラの要件を整理して 最適な資源の組み合わせを設計し、構築し、運⽤すること等がお仕事（と思っています）

1．AWSとは 6 n Amazon Web Services（アマゾンウェブサービス） • 通販サイトでおなじみのAmazonが提供しているクラウドプラットフォーム • Amazonが所有する資源（サーバー等）をネットワーク越しに利⽤できる n クラウドとオンプレミス • ⾃分で資源を所有するパターンは「オンプレミス」と呼ばれている • ⾃宅に⾃家発電機を所有して電気を利⽤しているようなイメージ • ⾃分⽤に最適化できるが、⾃分で管理（故障時の修理等）をする必要がある • 「クラウド」の場合は、電⼒会社と契約し購⼊した電気を利⽤しているようなイメージ • AWS等のクラウドベンダーが管理してくれるのがメリットの⼀つ

2. VPCとは 7

2．VPCとは 8 n Amazon Virtual Private Cloud（VPC） • AWSが所有するネットワーク上にプライベートな仮想ネットワークを構築するサービス • AWSのリージョン（後述）を選択し作成する領域のことも指す n Region（リージョン）とAvailability Zone（AZ/アベイラビリティーゾーン） • リージョンはAWSのデータセンターが所在する地域のこと • 東京リージョン、⼤阪リージョン、バージニア北部リージョン等 • アベイラビリティーゾーンはリージョンを構成する1つ以上のデータセンターの集まり • AZその1+AZその2+AZその3=リージョンその1 みたいな関係性

2．VPCとは 9 東京リージョン アベイラビリティーゾーン ⼤阪リージョン アベイラビリティーゾーン

2．VPCとは 10 n CIDR • VPCやサブネット（後述）を作成する際などに指定するもの • AWSマネジメントコンソール（Webブラウザで操作できる画⾯）の VPC作成画⾯では初期状態でCIDRの⼊⼒欄に「10.0.0.0/24」と薄く表⽰されている • VPCの作成時に指定できる「/xx」部分の最⼤値は「/16」（※次のページで説明） • 「.」の区切りごとの値の範囲は 0（00000000）〜 255（11111111） • 2進数に書き換えると「00001010.00000000.00000000.00000000/24」となる • 10進数は0〜9で表記。2進数は0と1で表記 10進数 0 1 2 3 4 5 6 7 8 9 10 2進数 0 1 10 11 100 101 110 111 1000 1001 1010

2．VPCとは 11 n CIDR • 「10.0.0.0/24」「00001010.00000000.00000000.00000000/24」 • 「/xx」は「サブネットマスク」と呼ばれている • 「広さ」を指定するもので、数値が⼤きいほどマスクが⼤きくなり広さは狭くなる • 「/xx」指定した部分が都道府県〜マンション名、それ以降が号室みたいなイメージ • 「/24」だと「256」、「/23」だと「512」の広さとなる • 値が1増えると広さは2倍になる /24 /23 /22 11111111.11111111.11111111.00000000

2．VPCとは 12 n プライベートネットワークで利⽤するCIDR • 0〜255が指定できるってことは「0.255.0.0/16」とかでも良いの︖ → × • 「RFC1918」という⽂書で以下を使ってね︕と標準化されている • 10.0.0.0〜10.255.255.255 (10.0.0.0/8) ← 「10.0.0.0/24」はここに該当 • 172.16.0.0〜172.31.255.255 (172.16.0.0/12) • 192.168.0.0〜192.168.255.255 (192.168.0.0/16) • 同じ（接続された）プライベートネットワークで上記を共⽤する 10.0.0.0/16 10.0.0.0/24 10.0.1.0/24 10.0.2.0/24 10.0.3.0/24 10.0.0.0/24 10.0.0.0/25 10.0.0.128/25

2．VPCとは 13 n プライベートネットワークで利⽤するCIDR • ⼀つ⼀つのVPCやサブネットで無駄に広いCIDRを指定すると 同じプライベートネットワーク内で他のVPCやサブネットが増えると 徐々に広さが⾜りなくなってきて困ったりする • オンプレミスとAWSのVPCを接続することも可能なので、ちゃんと考えないと オンプレミスのCIDRとVPCのCIDRが被って困った…なんてことも起こりうる 10.0.0.0/16 10.0.0.0/16

2．VPCとは 14

3. サブネットとは 15

3．サブネットとは 16 n サブネット • VPC内に作成する領域。アベイラビリティーゾーンとCIDRを指定して作成する • サブネットの⼤きさや数によってVPC内をどのように区切るかを決めることができる n パブリックサブネットとプライベートサブネット • インターネットと直接通信ができるサブネットがパブリックサブネット • インターネットと直接通信ができないサブネットがプライベートサブネット • インターネットと直接通信する必要があるもの・ないものを分けてそれぞれに配置する プライベート パブリック

17 3．サブネットとは

4. インターネットゲートウェイとは 18

4. インターネットゲートウェイとは 19 n インターネットゲートウェイ • VPCとインターネットの通信を可能とするためのVPCの部品 • 家の⽞関みたいなもの。⽞関がないと出⼊りができない（窓から出れるじゃん︕はさておき） • サブネット上のリソース（例えばEC2（サーバー））には サブネットに指定したCIDRの範囲内からプライベートIPアドレスが割り当てられるが プライベートIPアドレスはプライベートネットワーク内でしか利⽤できない • EC2にプライベートIPアドレスとパブリックIPアドレスを割り当てるよう設定しておくと インターネットゲートウェイを通るときにプライベートIP⇄パブリックIPを変換してくれる 10.0.0.30 54.xxx.xxx.xxx

20 4. インターネットゲートウェイとは

5. ルートテーブルとは 21

5. ルートテーブルとは 22 n ルートテーブル • 通信がどの⽅向に向かえば良いかを⽰す「ルート」を設定するもの • ⽬的地を告げると次にどちらに向かえば良いか案内してくれる道先案内⼈ • サブネットに関連付ける • 同じルートテーブルを複数のサブネットに関連付けもできるし サブネットごとに個別のルートテーブルを作成して関連付けもできる • デフォルトではVPC CIDR範囲宛の通信をVPC内に送信するよう設定されている • インターネットゲートウェイ向けのルートを設定するとインターネットへの通信が可能となる 送信先 ターゲット 10.0.0.0/16 local（VPC内） 0.0.0.0/0 インターネットゲートウェイ

23 5. ルートテーブルとは

（再掲）3．サブネットとは 24 n サブネット • VPC内に作成する領域。アベイラビリティーゾーンとCIDRを指定して作成する • サブネットの⼤きさや数によってVPC内をどのように区切るかを決めることができる n パブリックサブネットとプライベートサブネット • インターネットと直接通信ができるサブネットがパブリックサブネット • インターネットと直接通信ができないサブネットがプライベートサブネット • インターネットと直接通信する必要があるもの・ないものを分けてそれぞれに配置する プライベート パブリック

25 送信先 ターゲット 10.0.0.0/16 local（VPC内） 0.0.0.0/0 インターネットゲートウェイ 送信先 ターゲット 10.0.0.0/16 local（VPC内） 5. ルートテーブルとは

6. セキュリティグループ・ネットワークACLとは 26

6. セキュリティグループ・ネットワークACLとは 27 n セキュリティグループ • どこから（Inbound）、どこへの（Outbound）通信を許可するかを設定 • サーバー単位で指定する・ホワイトリスト⽅式（許可） • デフォルトではOutboundは全て許可する設定となっている • ステートフルなため戻りの通信への考慮が不要（⼊室を許可したら退室もできる） n ネットワークACL • どこから（Inbound）、どこへの（Outbound）通信を許可するかを設定 • サブネット単位で指定する・ブラックリスト⽅式（許可・拒否） • デフォルトでは全ての送信元・宛先を許可している • ステートレスなため戻りの通信への考慮が必要（⼊室を許可しただけだと退室はできない）

6. セキュリティグループ・ネットワークACLとは 28 n セキュリティグループ • どこから（Inbound）、どこへの（Outbound）通信を許可するかを設定 • サーバー単位で指定する・ホワイトリスト⽅式（許可） • デフォルトではOutboundは全て許可する設定となっている • ステートフルなため戻りの通信への考慮が不要（⼊室を許可したら退室もできる） n ネットワークACL • どこから（Inbound）、どこへの（Outbound）通信を許可するかを設定 • サブネット単位で指定する・ブラックリスト⽅式（許可・拒否） • デフォルトでは全ての送信元・宛先を許可している • ステートレスなため戻りの通信への考慮が必要（⼊室を許可しただけだと退室はできない） よく使うのはこっち

29 6. セキュリティグループ・ネットワークACLとは

30 このサーバーはみんなに直接⾒てもらいたいものを配置している ↓ サーバーのセキュリティグループに インターネットからの接続を許可するよう設定 このデータベースはサーバーからのみ接続ができればOK ↓ データベースのセキュリティグループに サーバーのセキュリティグループからの接続のみ許可するよう設定 6. セキュリティグループ・ネットワークACLとは

7. まとめ 31

7. まとめ 32 n まとめ • VPCはAWSが所有するネットワーク内にリージョンを指定して作成する領域 • サブネットはVPC内にアベイラビリティーゾーンを指定して作成する領域 • インターネットゲートウェイはVPCとインターネットが通信するための⽞関 • ルートテーブルは⽬的地を告げると次にどちらに向かえば良いか案内してくれる道先案内⼈ • セキュリティグループ・ネットワークACLは不審者の⼊室・退室を防⽌する警備員