【SAA試験対策】AWS認定ソリューションアーキテクト-アソシエイトの暗記用語のまとめと解説 〜 VPC・ネットワーク編
目次
こんにちは。
AWSの認定試験の勉強をしています。特にSAA(ソリューションアーキテクト - アソシエイト)試験で出てきそうな、個人的に覚えにくい・忘れやすい用語をまとめてみました。
試験概要はこちら:AWS 認定 ソリューションアーキテクト – アソシエイト
AWSの認定試験は実用的な内容で、現場で直面する状況に即して最適解を考えさせる問題が多く、丸暗記で対応できるものではありません。とはいえ、専門用語を覚えていれば答えられる問題も結構あります。
試験中、「この用語聞いたことあるけど何だったっけ...」「これどっちの意味だったかな〜」なんて思い出せずにスコアを落とすのは勿体ないので、ぜひ試験準備中の方は知識確認としてチェックしてみてください。
尚、本記事で取り扱っている用語はAWS公式の実際の出題ではなく、サードベンダーの模擬試験や、自分が覚えにくかった用語を元にしていますので、認定試験では出題されない可能性もあります。あくまでも参考程度に御覧ください。
そもそもAWSって何?という方はこちらの記事を御覧ください。
また、AWSのクラウドやサーバーがどういうものか具体的なイメージを知りたい方はこちらへどうぞ。
AWS公式ドキュメントでは概念的な言葉でわかりにくい表現がどうしてもあります。このブログではふわっとした言葉を極力なくして、わかりやすく伝えていこうと思います。
AWSの基礎や体系立てた知識の習得には書籍もオススメです。
それでは用語についてまとめていきます。
VPC
Virtual Private Cloud。アカウント専用の仮想ネットワークです。
同一リージョン内であれば複数のAZを跨いで作成できます。
参考【AWS公式】: Amazon VPC とは?
サブネット
VPC内の仮想のネットワークの区切りです。VPC内に200個まで作れます。
VPCとの識別はCIDRでされます。CIDRブロックの数字が大きい、つまり使えるIPアドレス範囲が少ない方がサブネットです。
インターネットゲートウェイに接続されておりインターネットに接続できるものをパブリックサブネット、そうでないものをプライベートサブネットと呼び分けます。この設定はルートテーブルで行います。
CIDR
サイダー。ネットワークの中でIPアドレスがいくつ使えるかの範囲を表します。
IPv4は32bitですが、10.0.0.0/28のように/28をつけると、前半28bitがマスクされて使えないように設計できます。
使えるのは、32 - 28 = 4で4bit、つまり2^4 = 16個のアドレスです。
ただし、サブネットを作ると自動で5つのアドレスがAWS側で予約されるので、この場合ユーザが実際に使えるのは11個のアドレスになります。
インターネットに繋がるパブリックサブネットよりもプライベートサブネットを広くとる(つまりCIDRの数字を小さくする)設計が推奨されています。これはプライベートの方がインスタンスが増えやすく、また外に晒されるインスタンスを増やさないように設計したほうが良いためですね。
ルートテーブル
サブネットやVPCと紐付いたトラフィック先のリスト。
たとえばサブネットのルートテーブルに送信先0.0.0.0/0(全てのIPv4アドレス)、ターゲットをインターネットゲートウェイ(IGW)に指定することで、そのサブネットをインターネット接続可能なパブリックサブネットにできます。
このようなトラフィックルール(ルート)を記述した表(テーブル)です。
参考【AWS公式】: VPC のルートテーブル
NATゲートウェイ
NATインスタンスの代わりに使うマネージドサービス。
AZごとに作成できて、NATトラフィックを最適化するように処理されます。自分でインスタンスを立てて管理するNATインスタンスよりも、高可用で性能最適なアーキテクチャになります。なのでNATインスタンスがトラフィックのボトルネックになる場合はNATゲートウェイにします。
ちなみにNAT(Network Address Translation)とはグローバルIPとローカルIPを変換することです。
参考【AWS公式】: NAT ゲートウェイと NAT インスタンスを比較する
セキュリティグループ(SG)
インスタンス間のトラフィックを制御するファイアウォール。
VPC内に500グループ、1グループに50ルールまで作れます。1インスタンスには最大5グループまで割り当てられます。
ルールは記述順に関わらず並列に処理されます。
後述のネットワークACLとの違いは、
- インスタンスに対して制御する
- ステートフル (トラフィックの行きが許可されれば戻りも自動で許可)
デフォルトではトラフィックのインバウンド(内向き)は全て拒否という安全設計になっており、アウトバウンド(外向き)は全て許可になっています。なので、インバウンドに対してはホワイトリスト的に許可設定を追加して使うことになります。
ネットワークACL
サブネット間のトラフィックを制御するファイアウォール。
前述のセキュリティグループとの違いは、
- サブネットに対して制御する
- ステートレス (戻りトラフィックも明示的に許可が必要)
デフォルトでは全てのトラフィックを許可しているので、ブラックリスト的に使うことになります。
ちなみにACLはAccess Control Listの略です。
VPCピアリング
異なるVPCにあるAWSリソース(インスタンスなど)を相互アクセス可能にできる接続設定です。
ルーティングはローカルIPv4かIPv6で行います。
自分のアカウントのVPCだけでなく、他のAWSアカウントのVPCや他のリージョンにあるVPCとの間にも作成できます。
ちなみにピアリングとは通信機器やネットワーク同士が相互通信を行えるようにすることです。
VPCエンドポイント
プライベートサブネットにあるインスタンスからインターネットゲートウェイを介さずにS3やDynamoDBなどのリージョナルサービスに接続する手段です。
AWS PrivateLinkという技術によって実現しています。
重要な機密情報をインターネットを経由することなくやり取りしたいときに便利です。
S3, DynamoDBとの通信はルートテーブルでゲートウェイとして設定します。それ以外のリージョンサービス(API GatewayやSNSなど)はプライベートIPアドレスを持つENIがトラフィックのエントリポイントとなります。
参考【AWS公式】: AWS PrivateLink および VPC エンドポイント
サイト間VPN (Site-to-Site VPN)
ユーザのリモートサーバー、つまりオンプレ環境とAWSのVPCを繋ぐ手段の一つ。
IPSec-VPN(ネットワーク層でIPパケットを暗号化したVPN接続)で実現します。
オンプレ側で使うゲートウェイをカスタマーゲートウェイと呼びます。
参考【AWS公式】: AWS Site-to-Site VPN とは
AWS VPN CloudHub
あるAWSに対してサイト間VPNが多数ある場合、AWSのVirtual Private Gatewayを経由して各サイトで通信可能にするハブ機能です。
参考【AWS公式】: VPN CloudHub を使用して安全なサイト間通信を提供する
Direct Connect
オンプレミス環境とVPCを接続する手段の一つで、インターネットに接続せずにAWS環境への直通の専用回線です。
帯域幅が選択でき、1Gbps, 10Gbps, 100Gbpsの専用接続が選択できます。
VPN接続は即時利用できるのに対し、Direct Connectによる接続は専用線の準備が必要なので、開始まで数週間かかります。
参考【AWS公式】: AWS Direct Connect のよくある質問
VPCフローログ
VPCのネットワークインターフェースを流れるIPトラフィックの情報を記録する機能です。
CloudWatch LogsやS3に記録しておくことができ、インスタンスのトラフィックのモニタリングに役立ちます。
参考【AWS公式】: VPC フローログ
まとめ
というわけで、AWS認定試験のSAA(ソリューションアーキテクト - アソシエイト)で必要となりそうなVPN・ネットワーク関連の用語について忘れないようにまとめてみました。
定期的に見直して知識の定着を行っていきたいです。また別のカテゴリについてもまとめる予定です。
AWSの基礎からの勉強や、体系立てた知識の整理には書籍もオススメです。こちらは2020年の最新試験(SAA-C02)の問題にも対応しています。
(模擬問題付き)改訂新版 徹底攻略 AWS認定 ソリューションアーキテクト − アソシエイト教科書[SAA-C02]対応
