Contents
ネットワークACLとセキュリティグループ
| 項目 | ネットワークACL(NACL) | セキュリティグループ |
|---|---|---|
| 適用範囲 | サブネット単位で適用 | インスタンス単位で適用 |
| ルールの処理順 | 番号順に評価(最初に一致したルールが適用) | 全ルールを評価し、許可されるものだけが適用 |
| 許可・拒否の指定 | 許可と拒否の両方のルールを指定可能 | 許可ルールのみ指定可能 |
| ステートフル / ステートレス | ステートレス(応答トラフィックもルールで明示的に許可する必要あり) | ステートフル(インバウンドが許可されると、その応答は自動的に許可) |
| 適用タイミング | サブネットレベルでトラフィックがフィルタリングされる | インスタンスレベルでトラフィックがフィルタリングされる |
| デフォルトの動作 | すべてのトラフィックを許可(デフォルトNACLの場合) | すべてのトラフィックを拒否(デフォルトセキュリティグループの場合) |
| ルールの数 | 最大20のルール(1つのNACLあたり) | 最大60のルール(1つのセキュリティグループあたり) |
| ユースケース | 複数のインスタンスに対して一貫したトラフィック制御が必要な場合 | インスタンスごとに細かくトラフィックを制御したい場合 |
| 推奨される用途 | サブネットレベルのアクセス制御(外部からのトラフィックのフィルタリング) | アプリケーションレベルのアクセス制御(特定インスタンスへのアクセス制御) |
NatゲートウェイとNATインスタンス
| 項目 | NATゲートウェイ | NATインスタンス |
|---|---|---|
| 設定と管理 | フルマネージドサービス。AWSが自動でスケーリング、冗長性を提供。 | EC2インスタンスを手動で立ち上げ、管理。スケーリングや冗長化はユーザーが設定する必要あり。 |
| 可用性 | 高可用性(単一のアベイラビリティゾーンまたはマルチAZ対応)。 | 冗長化は手動で設定が必要(自動フェイルオーバーなし)。 |
| スケーラビリティ | 自動スケーリングに対応。トラフィック量に応じて自動的に調整。 | インスタンスのサイズや数を手動で調整する必要あり。 |
| 料金 | 使用した時間とトラフィックに応じて課金されるが、基本的に高コスト。 | インスタンスのサイズと実行時間に基づく課金。小規模な環境ではコストを抑えられる。 |
| ネットワークスループット | 最大45Gbpsのスループットを提供し、大量のトラフィックに対応。 | インスタンスの種類に依存。大規模なトラフィックでは性能が制約される。 |
| セキュリティグループ | セキュリティグループは設定不可。NACL(ネットワークACL)で制御する。 | セキュリティグループを設定して、きめ細かいアクセス制御が可能。 |
| 運用の複雑さ | AWSが管理するため、運用負担が少ない。 | 監視・メンテナンスが必要。手動でスケーリングやフェイルオーバーを設定する必要がある。 |
| ユースケース | 高可用性とスケーラビリティが重要な環境。 | コストを抑えたい小規模環境やテスト環境。 |
ルートテーブル
VPC内のルーティングを行ってくれる。
送信先に当てはまらない通信はデフォルトの 「0.0.0.0/0」 に流れる。
送信先に一致した通信はそのターゲットにルーティングしてくれる。
VPC内で使われるリソース/機能
ENI
VPCエンドポイント
S3やDynamoDBなどインターネットから直接利用できるVPC外のAWSサービスへアクセスは、通常インターネットゲートウェイを経由して通信する。
VPCエンドポイントは、セキュリティ上の制約でインターネットとの通信が制限されているプライベートサブネット内のAWSリソースから、インターネットゲートウェイを経由せずにVPC外のAWSサービスへアクセス可能にする機能になりまっす。
この機能は2つの手法がある。
ゲートウェイ型
ルートテーブルにVPCのエンドポイントを指定してルーティングする
イメージ: VPCに専用の穴を開ける
PrivateLink(インターフェース型)
AWSのサービスへ接続したいリソースが配置されているサブネットにプライベートIPアドレスを持つENIを作成して、ENIとサービスをリンクさせる
イメージ: 直リンク
VPCピアリング
VPC同士を紐づける機能
- 異なるアカウント間のVPC接続
- 1つのAWSアカウントに限らず、別のAWSアカウントのVPCともピアリングが可能。
- リージョン間のリソース接続
- VPCピアリングを使えば、異なるリージョンにあるVPC間でも安全な通信を確立できます。
Egress-Onlyインターネットゲートウェイ
IPv6専用のアウトバウンド通信を提供するゲートウェイ。
AWS VPCでIPv6アドレスを使用する場合、インターネットへの発信通信は許可し、受信通信をブロックする必要がある場合に使用するよん。
NATゲートウェイのIPV6用と思ってもらえれば良い。
複数のVPCやオンプレミスネットワークを中央集約的なハブで接続するためのネットワーキングサービスです。各VPCやVPNはTransit Gatewayに接続され、個別にルーティングする必要なく効率的な相互接続が可能になります。
