- 対象アプリ決定
- リージョン設計
- VPC設計
- インターネット
- VPN
- 専用線
- 作る前にIP空間を考える
- リージョンの将来拡張に備える
- 社内NWの拡張に備える
- VPCの制約を理解する
- VPCのサイズは /16(約65,000) から /28(16)
- IPアドレス空間は初期作成時から変更できない
- /16も作れるけど
- 少なくとも2AZで2つずつ4つは作る
- それぞれのサブネットの.1はルータ
- RoutingTable
- VPCの中の経路はいじれない
- サブネット間の通信を制御したい場合はNACLを使う
- NACL
- サブネットに一つだけ
- ステートレス
- Allow & Deny(BlackList)
- ルール順
- 最低限のルールを適用したい場合に使うと良い
- セキュリティポリシーの配布とか
- OutBound専用とするのも良い
- Rule番号は成長を見越して間を空ける
- 修正・削除できるユーザはIAMで制限
- デフォルトルールは消さない
- SG
- ENIに5つまで
- ステートレス
- インスタンスごとの制御をしたい場合はこっちのほうが良い
- IGW
- インターネット出口
- VGW
- VPN出口
- 専用線接続も
- タグを頻繁に付ける
- 使いそうな情報はなんでもタグ化
- PJコード、コスト負担部門、実施チーム、環境などなど
- バージョン管理できるデータセンター設計
- コマンド一発
- いつでも世界中のリージョンで再現可能
- インフラとアプリケーションの明確な分離
- NWだけでもCloudFormationでやると効果大
- 致命的な影響を与えかねないAPI禁止
- aws:MultiFactorAuth~~~:false
- 例:S3,dynamo
- パブリックIPをつける
- 動的IPの有無はサブネットごとに指定可能
- NAT instance
- NATもスケールアップして帯域アップ
- AutoScale HA NAT
- 各AZ毎に1つずつ置いて、min,max=1
- S3使いたい!
- 外向けプロキシパターン 高スループット向け
- ハブ&スコープモデル
- ハブとなるVPCを作る
- VPC間VPN
- VPC Peer
- できるけどここまでやるならDirectConnect
- VLANで分けてアカウント間で共有
- PublicにつなぐVLANもできる
- Direct ConnectはBGP
- Active/Active
- Active/Passive
- キャリアWANで拡張