20 | 11 | 2020

AWS VPCにはどのネットワーク要素が入りますか?

AWS VPC の背後にあるネットワーキングの魔法を発見する: 要素を明らかにする!

概要

Amazon Web Services Virtual Private Cloud (AWS VPC) は、ユーザーの AWS アカウント専用の仮想ネットワークです。 これにより、ユーザーは、ユーザーが定義した仮想ネットワークに AWS リソースを起動できます。 VPC は、サブネット、ルート テーブル、ネットワーク ゲートウェイ、セキュリティ グループ、ネットワーク アクセス コントロール リストなど、いくつかのコンポーネントで構成されます。 これらのコンポーネントは連携して動作し、アプリケーションを実行してデータを保存するための安全で分離された環境をユーザーに提供します。 さらに、VPC を使用すると、ユーザーはリソースへのアクセスを制御し、オンプレミスまたは他の VPC に接続できます。

コアストーリー

AWS VPC のコンポーネントは、仮想ネットワーク インフラストラクチャを構築および管理するために必要なツールをユーザーに提供するため、不可欠です。 さらに、これらのコンポーネントは、ユーザーが AWS リソースへのアクセスを保護、分離、および制御するのに役立ちます。

サブネットは、VPC の重要なコンポーネントです。 これにより、ユーザーは VPC をより小さなネットワーク セグメントに分割し、それらの間のトラフィック フローを制御できます。 ユーザーは、複数のサブネットを作成し、ネットワーク セキュリティ ポリシーを適用し、ネットワーク セキュリティ グループを実装して受信トラフィックと送信トラフィックを制御することにより、リソースを分離できます。

ルート テーブルも VPC の重要なコンポーネントです。 これらは、VPC 内および異なるサブネット間のネットワーク トラフィック フローを決定します。 ユーザーはルート テーブルを使用して、特定のサブネットや仮想プライベート ゲートウェイなど、ネットワーク トラフィックのターゲットを指定できます。 これにより、ユーザーは VPC 内のネットワーク トラフィックを制御および管理でき、リソースが安全でアクセス可能になります。

インターネット ゲートウェイ、VPN ゲートウェイ、ダイレクト コネクト ゲートウェイなどのネットワーク ゲートウェイも、VPC の重要なコンポーネントです。 VPC をインターネットまたは他の VPC に接続する方法をユーザーに提供し、リソースにアクセスしてネットワーク トラフィック フローを制御できるようにします。 ネットワーク ゲートウェイは VPC のルート テーブルと統合され、VPC とインターネットまたは他の VPC 間のネットワーク トラフィック フローを制御します。

セキュリティ グループとネットワーク アクセス コントロール リスト (ACL) も、VPC の重要なコンポーネントです。 これらは、インバウンドおよびアウトバウンドのネットワーク トラフィックのフローを制御し、承認されたトラフィックのみが VPC に出入りできるようにします。 さらに、セキュリティ グループと ACL を使用して、特定のポート、IP アドレス、またはサブネットへのアクセスを制限できます。 これらは連携して、ユーザーのリソースにセキュリティを提供します。

結論として、AWS VPC は連携して、安全で分離された柔軟な仮想ネットワーク インフラストラクチャをユーザーに提供します。 これらのコンポーネントを使用して、ユーザーはネットワーク トラフィックを制御および管理し、リソースを保護し、他のネットワークに接続できます。

AWS VPC に関するいくつかの興味深い事実と統計:

  1. Amazon VPC は、最も広く使用されているクラウド コンピューティング サービスの XNUMX つであり、何百万人ものアクティブ ユーザーがいます。
  2. AWS VPC は、アマゾン ウェブ サービス (AWS) リソースに安全でスケーラブルな仮想ネットワークを提供します。
  3. AWS VPC を使用すると、顧客はアマゾン ウェブ サービス (AWS) リソースを顧客が定義した仮想ネットワークに起動できます。
  4. AWS VPC トラフィックをパブリック インターネットから分離できるため、より高いレベルのセキュリティが提供されます。
  5. AWS VPC は、IPv4 と IPv6 の両方のアドレス範囲をサポートしています。
  6. AWS VPC は、VPN または AWS Direct Connect を介してリモート ネットワークに拡張できます。
  7. AWS VPC は、セキュリティ グループやネットワーク ACL など、複数の顧客定義のネットワーク アクセス制御オプションを提供します。
  8. AWS VPC は、パブリック サブネット、プライベート サブネット、ハードウェア VPN 接続など、多くのネットワーク トポロジをサポートしています。
  9. AWS VPC は、複数の IP アドレス範囲、ネットワーク セグメンテーション、きめ細かいアクセス制御のサポートなど、高度なネットワーク カスタマイズをお客様に提供します。
  10. AWS VPC は複数のリージョンとアベイラビリティ ゾーンで利用でき、ネットワーク インフラストラクチャの高可用性と耐障害性をお客様に提供します。
v500 システム | エンタープライズ人工知能ソリューション

AWS クラウド ソリューションでビジネス効率を最大化

AWS クラウドテクノロジーでビジネスの可能性を最大限に引き出す

この投稿では、Amazon Web Services (AWS) の一部であるすべてのネットワーク コンポーネントを紹介したいと思います。 各要素、それが何をするのか、インフラストラクチャ全体にどのように適合するのかを詳しく見ていきます。 うまくいけば、それがあなたの質問のいくつかに答え、理解を深めることで、これらのサービスを使用したくなるでしょう.

すべての詳細に入る前に、優れたネットワーク設計がオンプレミスのデータセンターインフラストラクチャの基盤であることを強調したいと思います。 同じことがクラウド環境にも当てはまります(投稿 インフラストラクチャのための 10 のトップ ネットワーク設計 Bethe st プラクティス)。 また、AWS のネットワークとセキュリティの側面のみに集中していることも強調したいと思います。 その他のサービスは、このブログの範囲外です。

Amazon VPCとは何ですか?

Amazon Virtual Private Cloud (Amazon VPC) を使用すると、定義した仮想ネットワークに AWS リソースを起動できます。 この仮想ネットワークは、独自のデータ センターで運用する従来のネットワークに似ており、AWS のスケーラブルなインフラストラクチャを使用する利点があります。

VPC – AWS アカウント専用の仮想ネットワーク。複数のネットワークを実行し、それらを互いに分離して、セキュリティとコンプライアンスを向上させることができます。 オンプレミス データ センターに接続し、ハイブリッド ネットワーク ソリューションを実行します。 ビジネス オペレーションを強化するスケーラブルで俊敏なソリューション。

AWSリージョンとは何ですか?

AWS にはリージョンの概念があり、データセンターをクラスター化する世界中の物理的な場所です。 論理データセンターの各グループをアベイラビリティーゾーンと呼びます。 EacAZsS リージョンは、地理的領域内の複数の分離された物理的に分離された AZ で構成されます。 多くの場合、リージョンを単一のデータセンターとして定義する他のクラウドユーザーとは異なり、すべての AWS リージョンの複数の AZ 設計は、顧客に利点を提供します。 各 AZ には、冗長性のある超低遅延ネットワークを介して接続された、独立した電源、冷却、および物理セキュリティがあります。 高可用性を重視する AWS のお客様は、複数の AZ を実行するようにアプリケーションを設計して、最も高い耐障害性を実現できます。 その結果、AWS インフラストラクチャ リージョンは、最も高いセキュリティ、コンプライアンス、およびデータ保護レベルを満たしています。

AWS は、他のどのクラウド プロバイダーよりも広範なグローバル フットプリントを提供します。 AWS は、その世界的なフットプリントをサポートし、世界中の顧客に確実にサービスを提供するために、新しいリージョンを迅速に開設しています。 その結果、AWS は北米、南米、ヨーロッパ、中国、アジアパシフィック、南アフリカ、中東のリージョンを含む複数の地理的リージョンを維持しています。

AWSワールドリージョン

AWS クラウド: 運用の合理化とコスト削減の鍵

アベイラビリティーゾーン

アベイラビリティーゾーン (AZ) は、AWS リージョン内の冗長な電源、ネットワーク、接続を備えた個別のデータセンターです。 AZ を使用すると、お客様は、単一のデータ センターから可能になるよりも可用性、耐障害性、およびスケーラビリティに優れた運用アプリケーションとデータベースを運用できます。 AWS リージョン内のすべての AZ は、高帯域幅、低レイテンシーのネットワークで相互接続されており、完全に冗長な専用の metAZsibre を介して、AZ 間で高スループット、低レイテンシーのネットワークを提供します。 AZ 間のすべてのトラフィックは暗号化されます。ネットワーク パフォーマンス AZs は、AZ 間の同期レプリケーションを実行するのに十分です。 AZ を使用すると、アプリケーションのパーティション分割を簡単に行うことができます。 アプリケーションが関係者である場合、企業は pAZ の停止、落雷、重大な地震などの問題からより適切に隔離され、保護されます。 AZ は、他の AZ から物理的にかなりの距離 (数キロメートル) 離れていますが、すべての AZ は互いに 100 km (60 マイル) 以内にあります。

高可用性

他の AZshnology インフラストラクチャ プロバイダーとは異なり、各 AWS リージョンには複数の AZ があります。 2006 年以来、主要なクラウド インフラストラクチャ テクノロジ プラットフォームを実行してきたことから学んだように、アプリケーションの可用性のパフォーマンスを重視するお客様は、フォールト トレランスと低レイテンシのために、同じリージョン内の複数の AZ にこれらのアプリケーションをデプロイしたいと考えています。 AZ は、高速のプライベート光ファイバー ネットワークに接続されており、中断することなく AZ 間で自動的にフェールオーバーするアプリケーションを効果的に設計する必要があります。

AWS コントロール プレーン (API を含む) と AWS マネジメント コンソールは AWS リージョン全体に分散され、各リージョン内でマルチ AZ アーキテクチャを利用して回復力と継続的な可用性を提供します。 これにより、お客様はサービスが単一のデータ センターに大きく依存することを回避できます。 AWS は、顧客が重要なサービスを一時的に利用できなくすることなく、メンテナンス活動を実施できます。

v500 システム | エンタープライズ ネットワーキングおよびセキュリティ ソリューション

AWS クラウドがビジネスプロセスに革命を起こす方法

ネットワーク/サブネット

VPCとサブネットの基本

仮想プライベートクラウド(VPC)は、AWSアカウント専用の仮想ネットワークです。 AWSクラウド内の他の仮想ネットワークから論理的に分離されています。 AmazonEC2インスタンスなどのAWSリソースをVPCで起動できます。

VPCを作成するときは、VPCのIPv4アドレスの範囲をクラスレスドメイン間ルーティング(CIDR)ブロックの形式で指定する必要があります。 例えば、 10.0.0.0/16.

ネットワークセグメンテーション

VPC 内に ./16 ネットワークが与えられますが、65k プラス IP アドレスは必要なく、FTSE 100 GIPsl Enterprise ビジネスでさえも必要ありません。 つまり、より小さなサブネット (./24 など) にセグメント化できるため、より多くの IP を持つことは良いことです。たとえば、250 以上の IP が得られます。 これは重要であり、最初から明確に設定する必要があります。 優れた設計は、必要なサービスを展開して分離するのに役立ちます。 Web サーバー、アプリケーション、データベースなど。 もう XNUMX つの重要な項目は、クラウドとオンプレミス ネットワークで同じネットワーク範囲を持たないことです。これは、将来競合を引き起こす可能性があるためです。

プライベートサブネット

正直なところ、プライベートまたはパブリック サブネットはありません。 この用語は、以下を説明するために使用されます – プライベートサブネット。 これらの許可は分離されており、インターネットにアクセスできないか、インターネットからのアクセスはこれらのサブネット/ネットワークに許可されていません。 ほとんどの場合、データベースはそれらのネットワークおよびその他の安全なサービス上にあります。

パブリックサブネット

インターネットからパブリック サブネット/ネットワークへのトラフィックは許可され、フィルタリングされます。 これらのネットワーク内のホストにはプライベート IP アドレスがあり、IPscess はインターネット ゲートウェイおよび関連するパブリック IP を介してルーティングできます (Elastic IP Allocation)。

データネットワークとサイバーセキュアインフラストラクチャをどのように提供しますか? | v500システム

AWS クラウド: ビジネスの成長とイノベーションの未来

ネットワークの分離

追加のネットワーク アクセス制御のために、Amazon VPC で DB インスタンスを実行できます。 Amazon VPC を使用すると、使用する IP 範囲を指定して DB インスタンスを分離し、業界標準の暗号化された IPsec VPN を介して既存の追加の実行インフラストラクチャに接続できます。 VPC で Amazon RDS を実行すると、プライベートサブネット内に DB インスタンスを作成できます。 企業ネットワークを VPC に拡張し、その VPC 内の RDS DB インスタンスへのアクセスを許可する仮想プライベート ゲートウェイを設定することもできます。

マルチ AZ 配置の場合、リージョン内のすべてのアベイラビリティ ゾーンのサブネットを定義すると、必要に応じて Amazon RDS が別のアベイラビリティ ゾーンに新しいスタンバイを作成できるようになります。 VPC 内の RDS DB インスタンスに指定するサブネットの DB サブネット グループ コレクションを作成できます。 各 DB サブネット グループには、特定のリージョンのすべてのアベイラビリティ ゾーンに対して少なくとも XNUMX つのサブネットが必要です。 この場合、VPC で DB インスタンスを作成するときに、DB サブネット グループを選択します。 次に、Amazon RDS は、その DB サブネット グループと、優先的に利用できる都市ゾーンを使用して、サブネットとそのサブネット内の IP アドレスを選択します。 Amazon RDS は Elastic Network Interface を作成し、その IP アドレスを持つ DB インスタンスに関連付けます。

Amazon VPC 内にデプロイされた DB インスタンスは、インターネットまたは VPC 外の Amazon EC2 インスタンスから、VPN またはパブリック サブネット内の踏み台ホスト thamustunch を介してアクセスできます。 踏み台ホストを使用するには、SSH Bastion として機能する EC2 インスタンスでパブリック サブネットを設定する必要があります。 このパブリック サブネットには、SSH ホスト経由でトラフィックを転送できるようにするインターネット ゲートウェイとルーティング ルールが必要です。その後、Amazon RDS DB インスタンスのプライバシーにリクエストを転送する必要があります。

DB セキュリティ グループは、Amazon VPC 内の DB インスタンスを保護するのに役立ちます。 さらに、各サブネットに出入りするネットワーク トラフィックは、ネットワーク ACL を介して許可または拒否できます。 最後に、IPsec VPN 接続を介して Amazon VPC に出入りするすべてのネットワーク トラフィックは、ネットワーク ファイアウォールや侵入検知システムなど、オンプレミスのセキュリティ インフラストラクチャによって検査できます。

VPCのセキュリティグループ

セキュリティグループ たとえば、インバウンドおよびアウトバウンドのトラフィックを制御するなど、仮想ファイアウォールとして機能します。 VPC でモデルを起動すると、インスタンスに XNUMX つのセキュリティ グループを割り当てることができます。 セキュリティ グループは、サブネット レベルではなく、インスタンス レベルで機能します。 したがって、VPC 内のサブネット内の各インスタンスを異なるセキュリティ グループのセットに割り当てることができます。

Amazon EC2 API またはコマンドライン ツールを使用してインスタンスを起動し、セキュリティ グループを指定しないとします。 その場合、Amazon EC2 コンソールを使用してインスタンスを起動すると、インスタンスは VPC のデフォルトのセキュリティ グループに自動的に割り当てられます。 たとえば、新しいセキュリティ グループを作成できます。

セキュリティグループごとに、 ルール インスタンスへのガバメント トラフィックと、アウトバウンド トラフィックを制御する別のルール セットを制御します。 このセクションでは、VPC のセキュリティグループとその実践について知っておく必要がある基本的な方法について説明します。

ネットワークアクセス制御リスト(NACL)

ネットワークアクセスコントロールリスト(NACL)は、VPCのオプションのセキュリティレイヤーであり、XNUMXつ以上のサブネットに出入りするトラフィックを制御するためのファイアウォールとして機能します。 セキュリティグループと同様のルールでネットワークACLを設定して、VPCにセキュリティレイヤーを追加することができます。

NACL は、ネットワーク間で何らかのフィルタリングを実行します。 ただし、インターネットからのトラフィックは言うまでもなく、VPC インフラストラクチャ内のすべての 7x レイヤーで詳細な検査を実現するために、Palo Alto などの次世代ファイアウォールをデプロイすることを強く再確認しました。

次世代ファイアウォールの詳細、このテーマに関する専用投稿

ルーティングの制御

ルートテーブル — ルートと呼ばれるルールのセットは、ネットワーク トラフィックの送信先を決定します。

これにより、トラフィックが移動したり、トラフィックに影響を与えたりする詳細な方法が提供されます。これは、プライベート ネットワークの分離に非常に役立ちます。

インターネットゲートウェイ

インターネット ゲートウェイは、VPC とインターネット間の通信を可能にする、水平方向にスケーリングされ、冗長性があり、可用性の高い VPC コンポーネントです。

インターネットゲートウェイには4つの目的があります。インターネットでルーティング可能なトラフィックのVPCルートテーブルにターゲットを提供することと、パブリックIPvXNUMXアドレスが割り当てられているインスタンスに対してネットワークアドレス変換(NAT)を実行することです。
NATゲートウェイとは異なり、インターネットゲートウェイは、インターネットからVPC内のインスタンスへのトラフィックを許可します。

出力のみのインターネットゲートウェイ

下り専用インターネット ゲートウェイは、VPC 内のインスタンスからインターネットへの IPv6 を介したアウトバウンド通信を可能にする、水平方向にスケーリングされ、冗長性があり、可用性の高い VPC コンポーネントです。 これにより、インターネットがインスタンスとの IPv6 接続を開始できなくなります。

 

v500 システム | エンタープライズ ネットワーキングおよびサイバーセキュリティ ソリューション

ビジネスを AWS クラウドに移行する利点

NATゲートウェイ

ネットワーク アドレス変換 (NAT) ゲートウェイを使用して、プライベート サブネット内のインスタンスがインターネットまたは他の AWS サービスに接続できるようにする一方で、インターネットがそれらのインスタンスとの接続を開始しないようにすることができます。 つまり、インターネット上のホストによって作成されたセッションは拒否されます。
この機能は、セキュリティ アップデート、パッチ、およびウイルス対策アップデートをインターネットから取得するために、サーバー -> セキュア/制限付きネットワーク内のインスタンスが必要な場合に役立ちます。
NAT について詳しく知りたい場合は、このテーマに関する投稿をお読みください。

ElasticIPアドレス

An ElasticIPアドレス 動的クラウド コンピューティング用に設計された静的 IPv4 アドレスです。 Elastic IP アドレスを使用すると、アドレスをアカウント内の別のインスタンスに迅速に再マッピングすることで、インスタンスまたはソフトウェアの障害をマスクできます。 Elastic IP アドレスは AWS アカウントに割り当てられ、解放するまであなたのものです。

Elastic IP アドレスは、インターネットから到達可能なパブリック IPv4 アドレスです。 インスタンスにパブリック IPv4 アドレスがない場合は、Elastic IP アドレスをインスタンスに関連付けて、インターネットとの通信を有効にすることができます。 たとえば、これにより、ローカル コンピューターからインスタンスに接続できます。

AWSは現在、IPv6のElasticIPアドレスをサポートしていません。

AWSクラウドへのVPN接続– VPC

AWSサイト間VPN

VPC とリモート ネットワークの間に IPsec VPN 接続を作成できます。 仮想プライベート ゲートウェイまたはトランジット ゲートウェイは、Site-to-Site VPN 接続の AWS 側での自動フェイルオーバー用に XNUMX つの VPN エンドポイント (トンネル) を提供します。 次に、 カスタマーゲートウェイデバイス サイト間VPN接続のリモート側。

AWSクライアントVPN

AWS Client VPN は、AWS リソースまたはオンプレミス ネットワークに安全にアクセスできるようにする、管理されたクライアントベースの VPN サービスです。 AWS Client VPN を使用して、ユーザーが接続できるエンドポイントを設定して、安全な TLS VPN セッションを確立します。 これにより、クライアントは OpenVPN ベースの VPN クライアントを使用して、AWS またはオンプレミスのリソースに任意の場所からアクセスできます。

AWS VPN クラウドハブ

複数のリモート ネットワーク (複数の支社など) があるとします。 その場合、仮想プライベート ゲートウェイを介してさまざまな AWS Site-to-Site VPN 接続を作成し、これらのネットワーク間の通信を有効にすることができます。

サードパーティソフトウェアVPNアプライアンス

サードパーティのソフトウェア VPN アプライアンスを実行している VPC で Amazon EC2 インスタンスを使用して、リモート ネットワークへの VPN 接続を作成できます。 残念ながら、AWS はサードパーティのソフトウェア VPN アプライアンスを提供または維持していません。 ただし、パートナーやオープンソース コミュニティが提供するさまざまな製品から選択できます。

v500システム| ブログ| aci-アプリケーション中心のインフラストラクチャ

AWS クラウド: ビジネスの俊敏性と回復力を推進

 

 

 

さぁ、始めてみましょう

クラウド | クラウド | コンピューティング | ストレージ | サービス | プロバイダ | セキュリティ | 移行 | 建築 | 建築インフラ | ベースソリューション | コスト削減 | スケーラビリティ | 柔軟性 | ネイティブ アプリケーション | ベースのプラットフォーム | ハイブリッド クラウド | パブリック クラウド | プライベート クラウド | クラウドベースのソフトウェア | クラウドベースの分析 | クラウドベースの AI/ML/NLP

 

今すぐ行動してサインアップ: 文書処理に AI の力を活用しましょう

当社の魅力的なオファーで AI の力を解き放ちましょう。 AI 複数文書比較とインテリジェント認知検索を今すぐ無料で始めましょう。 比類のない効率、精度、時間の節約を体験してください。 無料トライアルの後、わずかの間だけ変換を続けてください $ 20 /月。 このゲームを変えるチャンスを逃さないでください。 今すぐ文書処理を強化しましょう。

詳細については、ケーススタディやその他の投稿をご覧ください。

データ ネットワークの自動化、Cisco ACI がアジャイル ネットワーキング プラットフォームをどのように提供するか?

インテリジェント検索を使用すると、少ない労力で仕事の一貫性を保つことができますか?

4 年 2010 月に世界が IPvXNUMX アドレスを使い果たしたのに、なぜ NAT を使用するのでしょうか?

オンプレミスネットワークをAWSクラウドに接続する方法は何ですか?

#クラウド #コスト削減 #スケーラビリティ #人工知能 #機械学習 #成長

MC

関連記事

24 | 04 | 2024

What makes v500 Systems different from our competitors? Innovation, Reliability, and Results

Explore v500 Systems’ unparalleled edge in AI document processing. With a focus on innovation, reliability, and delivering tangible results, we surpass competitors to redefine efficiency and accuracy
22 | 04 | 2024

情報に基づく
決定

ビジネスの歴史を紐解き、JP モルガンによるアンドリュー カーネギーの鉄鋼帝国買収の背後にある秘密を明らかにしましょう。情報に基づいた意思決定と AI 文書処理が、産業の景観を形作った記念碑的な取引への道をどのように切り開いたかを学びましょう
20 | 04 | 2024

専門化、孤立、多様性、認知的思考、雇用の安定
| 「クアンタム 5」S1、E9

専門化と多様性が融合し、孤立と認知的思考が融合し、雇用の安全が最優先事項となっている現代の仕事のダイナミクスの複雑さを掘り下げてみましょう。包括性を促進し、認知能力を活用し、長期的な雇用の安定を確保するための戦略を発見する
13 | 04 | 2024

裁判官と陪審員はバイアスを受けやすいですか: AI はこの問題を支援できますか? | 「クアンタム 5」S1、E8

人工知能と法制度の接点を詳しく掘り下げ、AI ツールが司法手続きにおける偏見に対処する有望なソリューションをどのように提供するかを発見します。