VPC

• Subnets for your VPC
  • Subnet の最初の 4 IP と最後の 1 IP は予約されています。以下の IP は例です:
  • 10.0.0.0 → ネットワークアドレス
  • 10.0.0.1 → VPC router (AWS による予約)
  • 10.0.0.2 → DNS サーバ (AWS による予約)
  • 10.0.0.3 → 将来的な機能拡張のため (AWS による予約)
  • 10.0.0.255 → ブロードキャストアドレス
• Internet Gateway (IGW) Connect to the internet using an internet gateway
  • Public IP または EIP を持つ ENI から利用でき、機能的には NAT として振る舞います。
  • NAT Gateway と異なり、VPC 内 ENI は Public IP または EIP を持つ必要があります。
    • NAT Gateway はそれ自身インターネット接続できず、IGW の併用が必要です。NAT gateways
• VPC Flog Logs Logging IP traffic using VPC Flow Logs
  • VPC レベル、Subnet レベル、ENI レベル で設定できます。Create a flow log
  • Deny されたトラフィックを確認する際にも役立ちます。
  • CloudWatch Logs、S3 に保存できます。
• Egress-Only Internet Gateway Enable outbound IPv6 traffic using an egress-only internet gateway
  • Public subnet においては、通常の上記 IGW を利用します。
  • Private subnet において、インターネットに IPv6 で接続するために利用します。
    • Subnet には IPv6 が設定されている必要があります。
    • ENI には IPv6 が設定されている必要があります。
  • インターネットから Subnet への通信は遮断されます。
  • Private subnet のルートテーブルにおいて、"::/0" への通信が Egress-Only IGW に向くように設定します。
  • IPv6 はその仕様上、すべて public です。そのため、IGW は NAT として振る舞うことはありません。
• VPC Endpoint
  • VPCE 経由であることを例えば S3 バケットポリシーで確認するためには、"aws:SourceVpce" または "aws:SourceVpc" を利用します。
  • あるいは aws:VpcSourceIp によって、VPCE 利用時の private IP を指定することもできます。How can I restrict access to my Amazon S3 bucket using specific VPC endpoints or IP addresses?
    • 注意: aws:SourceIp は Public IP または EIP に対して機能します。VPCE 経由の場合は Private IP がアクセス元となるため、"aws:SourceIp" は機能しません。

VPC Peering、VPN

• VPC Peering
  • 接続された二つの VPC それぞれにおいて、ルーティングテーブルを設定する必要があります。
    • 注意: 戻りのトラフィックが存在するため、片方のルーティングテーブルだけでは不十分です。Update your route tables for a VPC peering connection
  • 異なるリージョン間、異なる AWS アカウント間であってもピアリングできます。
  • ピアリングされた先の VPC 内 Security Group を参照した Security Group を作成できます。Update your security groups to reference peer VPC groups
• unsupported VPC peering configurations
  • Transitive peering はサポートされていません。
    • 直接 peering 設定がされた VPC 間でのみ通信が可能となります。
  • edge to edge routing
    • VPC-A をオンプレミスネットワークと DirectConnect や VPN で接続して、その VPC-A を別の VPC-B とピアリング接続した場合、VPC-B からオンプレミスへの通信はできません。
    • VPC-B から VPC-A の igw/vpce/natgw を利用することもできません。
• Transit Gateway
  • 上記 Transitive peering や edge to edge routing の解決策の一つです。igw/vpce/natgw を一つの VPC 内に集約できます。
    • 補足: VPC 間を VPN で接続することによっても解決できます。VyOS といった、AWS 社以外が提供する VPN ソリューションを EC2 インスタンス上で稼働させ、VPC 間を接続します。
    • 補足2: AWS の Site-to-Site VPN は、AWS VPC 間の接続を正式にはサポートしていません。How AWS Site-to-Site VPN works
      • Client VPN と区別します。
  • VPC Peering や VPN で 1:1 接続を繰返していくと、ネットワーク構成が複雑化します。
    • 1:N の接続を可能とする Transit Gateway を利用します。
  • Resource Access Manager (RAM) を用いて、cross-account で VPC 接続できます。
• NAT Gateway
  • Subnet に設定して利用します。AZ 毎に必要になります。
  • Site-to-Site VPN 接続されたオンプレミスから NAT Gateway を利用することはできません。How can I configure NAT on my VPC CIDR for traffic traversing a VPN connection?
    • Site-to-Site VPN ではなく、上記 VyOS のような AWS 社以外が提供する VPN ソリューションを EC2 インスタンス上で稼働させることで、オンプレミスからも利用できるようになります。
    • あるいは、Transit Gateway を利用する構成も可能です。
  • オンプレミス側に構築された NAT サーバを、Site-to-Site VPN 接続された AWS VPC 内から利用することは可能です。
• AWS VPN CloudHub Providing secure communication between sites using VPN CloudHub
  • Site-to-Site VPN で接続された Site (オンプレネットワーク) 同士を接続する仕組みです。
  • AWS VPC 側が、複数 Site 間の hub のように機能します。

Direct Connect

• Direct Connect (DX) 接続は、それ自体では冗長構成にはなっていません。
  • 複数の DX 接続、あるいは VPN を組み合せて、failover できるようにしておきます。AWS Direct Connect Resiliency Recommendations
• Direct Connect (DX) 接続は、それ自体では通信を暗号化しません。
  • 解決策の一つとして、DX 上に VPN 接続を張ることができます。
  • AWS Site-to-Site VPN を利用する場合、必要となる VIF は Public VIF です。Private VIF は不要です。AWS Direct Connect + VPN

AWS Direct Connect and VPN

• AWS Direct Connect connections
  • Dedicated Connections
    • 1-100 Gbps
    • AWS に申請し、AWS Direct Connect Partners によって接続作業がなされます。
    • 開通まで、1 ヶ月程度必要となる可能性あり。Time to deploy
  • Hosted Connections
    • 50 Mbps - 10 Gbps (オンデマンドに変更可能です。)
    • AWS Direct Connect Partners に申請します。
• Virtual Interface (VIF) AWS Direct Connect virtual interfaces
  • Private VIF
    • DX の直感的な利用方法です。オンプレ環境等から VPC 内のリソースにアクセスできます。
    • VPC 内の VPCE を併用することで、オンプレ環境から S3 にアクセスできます。
      • 下記 Public VIF の場合と異なり、アクセス元 IP は Private IP となります。How can I access my Amazon S3 bucket over Direct Connect?
  • Public VIF
    • Private VIF で接続された VPC 内の VPCE を利用することに相当します。
    • VPC 外の AWS リソースに対して、DX 経由でオンプレ環境等からアクセスできます。
      • アクセス元 IP は Public IP となります。How can I access my Amazon S3 bucket over Direct Connect?
  • Transit VIF
    • Transit Gateway 経由で VPC 内のリソースにアクセスします。
• link Aggregation Groups (LAG) Link aggregation groups
  • 複数の DX 接続を、論理的に 1 つのグループにまとめて高速化します。failover にも対応できます。
  • 最大 4 本の DX 接続をまとめられます。
  • すべて Dedicated Connections である必要があります。
• Direct Connect Gateway Working with Direct Connect gateways
  • AWS 側の VPC が複数存在する場合に、DX 接続を何本も管理することを回避できます。
  • 複数 AWS アカウント、または複数リージョンの VPC と DX 接続する場合に利用します。
  • Transit Gateway と併用することもできます。

その他のサービス

CodePipeline

• 手動による承認ステップを組込むことができます
• CodeBuild、CodePipeline のソースレポジトリとしては、GitHub も指定可能です。Use AWS CodePipeline with AWS CodeBuild to test code and run builds

CloudSearch

• What Is Amazon CloudSearch?
• ElasticSearch (OpenSearch) と同様に、AWS マネージドなサービスです。

Lex

• Alexa for Business → 音声認識に関する AI サービス。
• Lex → Alexa と同様に、音声認識のサービスを提供します。自然言語処理、チャットボットサービスの開発。
• Connect → 電話応対のためのサービス。コールセンターを AWS 上に仮想的に作成。

Rekognition

• 画像認識に関する AI サービスの提供。

Kinesis Video Streams

• 監視カメラ等の映像をストリーミング。
  • EC2、Rekognition 等を consumer として稼働させます。
• AWS 管理の S3 にデータを格納。
• S3 を指定してデータを出力することはできません。

WorkSpaces

• クラウド上の Windows デスクトップ環境です。
• オンプレ管理の VDI の代替となります。

AppStream 2.0

• ブラウザ経由で、デスクトップアプリケーションの利用環境を提供するサービスです。

Mechanical Turk

• SWF との統合が標準サポートされています。
  • Step Functions との統合はできません。
• 人間による単純なタスク処理を組込むためのサービスです。

Device Farm

• モバイル端末や web ブラウザを用いた検証環境を提供します。
• モバイルアプリケーションや Web アプリケーション開発時に利用します。

Macie

• S3 バケットを監視します。
• AWS アカウント内の PII 検出等が可能です。

Transcribe

• 音声認識を行い、テキスト出力します。

WorkDocs

• Google Drive や One Drive のようなサービスです。
• ドキュメントファイルを AWS 上で管理できます。