【ネットワーク】 プライベートネットワークの設計手順を学ぶ

まずVPCを作るのですが、ここで注意なのが「CIDRブロック」です。サイズは/28～/16まで自由に設定できますが、推奨は「/16」だそう。何が注意かというと、あとから変更・追加が一切できないということ。しかも「規則性があり」「オンプレミスやほかのVPCとも（将来的にも！）重複しない」ように設定しなければなりません。そんなこと言われても…と、最初のステップですでにくじけそうです。

くじけていても仕方がないので次にいきましょう。サブネットです。ここは「/24が推奨」とのことなので、/24で設定しましょう。
そして、インターネットアクセス要/不要、拠点（自社オフィスなど）へのアクセス要/不要などルーティングポリシーに応じてサブネットを分けることを勧めていました。余計なところへのアクセスはさせないようにってことですね。ちなみに、サブネットはAvailability Zoneに紐づくので、同じファンクションのサブネットを、異なるAZに作るのが推奨とのことでした。
もうひとつ、サブネットでは、下記の3つは予約済みのアドレスとなっており使えない、とのこと。

1. VPC ルータ（VPC内のインスタンスにルーティング機能を提供）
2. Amazon DNS サーバのため予約
3. 将来用途のための予約

なんか使えないアドレスあったな、ってことは頭の片隅にとめておきたいところです。

突然出てきた「VPCコンポーネント」。何かというと、IGW（インターネットゲートウェイ）などのことだそう。これはVPC単位で配置するもので、インターネットに接続する場合はIGW、社内との接続が必要なVPCにはVGW（バーチャルゲートウェイ）が必要、ということ。
VPCコンポーネントを配置したら、サブネットごとのルートテーブル編集にうつります。ここで各サブネットがごとに、IGWやVGWなど必要な経路を作るんですね。ちなみに、インターネットにアクセスできるサブネットを「public subnet」、インターネットに出れないものを「private subnet」と呼ぶそうです。

やっと出てきました、インスタンス！
ですが、インスタンス配置の前に「セキュリティグループ」を作成します。これはインスタンスごとのセキュリティポリシーを決めるもの。いわゆるファイアウォールとも言われますが、セキュリティグループごとにどのインバウンド通信を許可するのかを設定します。
ここまで整ったらやっとインスタンスを作成・配置。それぞれ必要なセキュリティグループを適用する、という流れになります。
たとえばインターネットからアクセスするWebサーバは、HTTPS/SSHインバウンド通信を許可、DBはWebサーバからのインバウンド通信のみ許可、と必要最低限の通信にすることでセキュアな構成を実現できる、というワケです。
余計な通信をさせないのは、セキュリティの基本ですよね。「面倒だから全部同じサブネットで通信も全部許可しちゃえばいいんじゃない…？」という悪魔のささやきに惑わされてはいけません。

最後のステップは名前解決、DNSです。前回、ネットワークの主要なサービスでもあがった「Route 53」を使うのですが、AWSではIPアドレスではなく、DNS名を活用してアプリの設計をおこなうことが推奨されているそう。
DNSのことも考えるのか…とぐったりしますが、EC2を作成すると自動で作成されるRoute 53があり、VPCでは“暗黙的に”DNSが動作する、とのこと。つまり！何もしなくてもいい感じにしてくれる（はず）。インスタンスには自動でDNS名が割り当てられるので、それで十分なケースもあるという話だったので、その言葉を心の安心材料にして帰ってまいりました。

ウィザードを使って、数クリックで作成できるから簡単だよ！というのがAWSのメリットですが、ネットワーク関連も同じです。とはいえ、「そのウィザードで何を設定すればいいのかが分からないんだ！」という根本的なネットワーク知識の部分で自分の至らなさを感じて終わったセッションでした・・・。それでもネットワークを物理で設計・構築するのと比べてかなりラクになるのは間違いないと思います。注意事項があったり、推奨設定があったり、ちょっと慣れが必要だなとは思いましたが、逆に慣れてしまえばサクサク作れそうですし、ネットワークも物理的な制限にとらわれず柔軟な構成ができるのは魅力です。
ちなみにAWSさんでも実際の操作方法などをまとめた資料などを公開しているそうです。
https://aws.amazon.com/jp/aws-jp-introduction/
こういった資料も参考にしながら、チャレンジしてみてはいかがでしょうか？
以上、シイノキでした！