イントロ
ネットワーク分離と通信制御
公開するものと閉じるものを分ける
VPC内の設計では、外部に見せる入口と内部だけで使う資源を分けます。通信ルールを重ねることで、必要な経路だけを通します。
1 / 10 ブロック10%
イントロ
上下にスクロールするかキーボードの上下キーを使うと、次の学習カードへ進めます。
定義
ネットワーク分離
- 教科書では
- AWS上のリソースをサブネットや通信ルールで区切り、不要な到達経路を減らす設計。
- 言いかえると
- VPCは仮想ネットワーク、サブネットは配置場所です。外から受けるものと内部だけのものを分け、セキュリティグループで通信を絞ります。
比較
| 要素 | 役割 | 見る点 |
|---|---|---|
| public subnet | 外部入口を置く | WebやALB |
| private subnet | 内部資源を置く | DBや処理基盤 |
| Security Group | 許可通信を絞る | リソース単位 |
| Network ACL | サブネット境界で絞る | 入口と出口 |
要素public subnet
- 役割
- 外部入口を置く
- 見る点
- WebやALB
要素private subnet
- 役割
- 内部資源を置く
- 見る点
- DBや処理基盤
要素Security Group
- 役割
- 許可通信を絞る
- 見る点
- リソース単位
要素Network ACL
- 役割
- サブネット境界で絞る
- 見る点
- 入口と出口
同じVPC内でも、置き場所と通信ルールの役割は違います。
要点
判断の合図
問題文では、外に見せる入口か、内部に閉じる資源か、通信をどこで絞るかを見る。
- 1
公開範囲を先に分ける
- 2
DBは直接公開しない
- 3
通信制御は複数層で考える
例
- 場面
- 注文サイトでDBを直接インターネットに出したくない。
- 順に考えると
- ALBとWebは入口側に置き、DBはprivate subnetに置きます。DBのセキュリティグループはWebからの必要な通信だけを許可します。
- ここが結論
- 公開範囲と通信元を分けると、安全な構成を選びやすくなります。
注意
置き場所だけで安全とは限らない
確認
確認テスト
Q1
DBを直接公開しない設計として最も自然なのはどれですか。
まとめ
まとめ
- 1
VPCは仮想ネットワーク
- 2
public/private subnetを分ける
- 3
SGで通信を絞る
- 4
DBは直接公開しない