[AWS]クラウドネイティブAWSアーキテクチャ設計と操作(2)


Amazon VPC(Virtual Private Cloud)

  • ユーザー専用AWSアカウントの仮想ネットワーク
  • クラウドリソースの分離(セキュリティ分離)
  • フルネットアドレス範囲は172.31.00/16(バージョン単位)
  • サブネット


    AZごとに1つのネットワークアドレスを割り当てるVPCのIPアドレス範囲は
  • である
  • .321.32.0/20172.3.1.00/20172.31.00/20172.31.60/29(AZ単位)
  • インターネットゲートウェイ


    VPCに接続されたゲートウェイは、
  • VPCのリソースとインターネットとの間の通信をアクティブ化するために使用される
  • 必須:VPC
  • への接続
  • に割り当てられたルーティングテーブル(VPC単位)
  • ルーティングテーブル


  • VPC Peering

  • とVPCとの間の接続
  • 専用IPv 4アドレスまたはIPv 6アドレスを介して2つの仮想マシン間でトラフィックをルーティングするネットワーク接続
  • .
    同じネットワークにおいて、VPCインスタンスは、
  • のように互いに通信することができる
  • ユーザーは、自分の仮想マシンまたは他のAWSアカウントの仮想マシンと仮想マシンのピア接続O
  • を作成することができる.
  • VPCは、他のバージョンのO(バージョン間VPCピアツーピア接続)
  • に存在することができる
  • AWSは、仮想マシンの既存のインフラストラクチャを使用して、仮想マシンピア接続を作成します.これはゲートウェイ接続でもVPN接続でもない、物理ハードウェア毎のX
  • に依存する.

    Route53

  • ドメインサービス
  • Amazon Route 53をドメイン内のDNSサービスとして使用するO
  • Route 53がDNSサービスの場合は、www.exampleを参照してください.192.0.2.1.comなどのおなじみのドメイン名をコンピュータに接続するために使用されます.
  • ユーザーがブラウザにドメイン名を入力したり、電子メールを送信したりすると、DNSクエリはRoute 53に送信され、対応する応答値は
  • である.
    例えば
  • 、route 53は一例である.com WebサーバのIPアドレス応答O
  • を用いる.

    EBS (Elastic Block Store)

  • の例は、ブロックレベルの記憶ボリューム
  • を提供する.
  • ブロック:O
  • 、データはブロック単位
  • オペレーティングシステム、アプリケーション等のインストール数O
    <-->S 3等は実装Xであり、O
  • のみが記憶する.
  • EBSボリュームの動作は、フォーマットされていない元のブロックデバイスと同様であり、
  • である.
  • O
  • これらのボリュームをインスタンスにマウントできます.
  • 同じインスタンスに複数のボリュームがあり、1つのインスタンスに複数のボリュームがあり、O
  • EBS Snapshot

  • EBSボリュームの特定の時点のスナップショットを作成し、新しいボリュームまたはデータバックアップの基準としてO
  • を使用します.
  • ボリュームのスナップショットが定期的に作成される場合、スナップショットはインクリメンタルであるため、新しいスナップショットは、前回のスナップショット以降に変更されたブロック
  • のみを格納する.
  • に接続し、アクティブボリュームのスナップショットO
  • を作成する
  • しかし、スナップショットはsmapshotコマンドの実行時にAmazon EBSボリュームに記録されたデータのみを取得します.
    -->アプリケーションまたはオペレーティングシステムにキャッシュされていないデータ
  • IAM (Identity and Access Management)

  • AWSサービスへのアクセスを安全に制御するWebサービス
  • IAMは、ユーザー、アクセスキーなどのセキュリティ認証情報を提供し、ユーザーおよびアプリケーションがアクセスできるAWSリソース
  • を提供する.

    実習


    1.VPCの作成

  • VPCを削除する場合、接続されているEC 2があれば、EC 2を削除した後に削除することができます.
  • VPCを削除すると、サブネットも削除されます.
  • 全世界のすべての基本VPCは172.31.00/16である.
  • 基本VPCも削除可能で、O->基本VPC生成機能を備えています.
  • VPCの作成
  • 作成ボタンを押して、VCC NAME(MY-VPC)
  • を作成します.
  • IP(10.0.0.0/16)を設定します.
  • DNSホスト名の編集-->DNSホスト名チェックの有効化
    :EC 2を作成する場合、IP以外にドメインがあり、許可されるにはチェックが必要です.
  • 2.サブネットの作成

  • サブネットの作成ボタン
  • をクリックします.
  • 作成したVPC
  • をクリック
    作成
  • サブネットNAME
  • IPを設定します.
  • サブネット設定の編集-->IP設定の自動割当-->パブリックIPv 4アドレス自動割当チェックの有効化
  • 3.インターネットゲートウェイの設定

  • Internetゲートウェイごとに1つのVPC接続(1:1)
  • 作成ボタンを押してNAME(MY-GW)
  • を作成します.
  • VPC接続をクリック-->MY-VPC
  • を選択

    4.ルーティングテーブルの設定

  • ルーティングテーブルにゲートウェイを追加する必要があるため、ゲートウェイを作成して作成します.
  • MY-VPCのルーティングテーブルでルーティングを生成
    -->宛先:0.0.0.0/0(すべてのIPアドレスを表す)、宛先:作成したインターネットゲートウェイ
  • パブリックIP自動割り当てを有効にする
  • 詳細-->ユーザーデータ
  • #!/bin/bash
    yum install -y httpd
    systemctl start httpd
    systemctl enable httpd
    echo "<h1>SEOUL</h1>" > /var/www/html/index.html

    EC 2の作成

  • インスタンスをクリックして開始します(概念を起動するのではなく起動します)
  • オペレーティングシステム、CPU、メモリ等の
  • を選択する.
  • ネットワーク選択MY-VPC
  • サブネットは2 Aと2 C(Prettyアカウント)
  • しか選択できません.
  • セキュリティグループの作成
  • SSH TCP 22
  • HTTP TCP 80
  • すべてのICMP-IP 40-65535の位置は関係ありません-->pingをチェックするときは
  • を使用します.
  • パリティ
  • を作成

    5.セキュリティグループ(ファイアウォール)-EC 2の設置

  • defaultセキュリティグループ
  • は削除されていません.
  • defaultセキュリティグループを使用しない-
  • は攻撃者の最初のターゲットとなる

  • 6. VPC Peering

  • 東京リーグ生成EC 2
  • ソウルLee戦EC 2と東京Lee戦EC 2が上陸する.
  • は、互いの共通IP通信
  • に送信.
  • 相手に送信するプライベートIP、通信X
  • ピア接続

  • ソウルのVCC->ピア接続-->ピア接続の作成
    :作成名(MY-PC)-->ペアリングする仮想マシン(MY-VPC)
  • を選択
  • ペアリングする他のVCC->「マイアカウント」/「別バージョン」(東京にあるマイアカウント)
  • を選択
  • VCC ID(受信者):東京のVCC IDを確認してコピー-->クリックして
  • を作成
  • 東京移動のVCC->ピア接続-->受信待ちピア接続-->受信要求
  • ピア接続は確立されていますが、Pingは使用できません.
    --> Why? ルーティングテーブル
  • を設定する必要がある.
  • 東京本社ルーティングテーブル設定-->ルーティングの編集
  • 行き先:10.0.0.0/16(ソウルに行きます)、行き先:インターコネクト
  • ソウル地域版のルーティングテーブルの設定-->ルーティングの編集
  • 行き先:172.31.00/16(東京行き)、行き先:インターコネクト
  • 7. Route 53

  • DNS管理-->管理領域の作成
    :ドメイン名で購入したドメインの作成-->「作成」ボタン
  • をクリックします.
  • 値/トラフィックルーティングターゲット上でAWSの名前サーバ
    -->ドメイン名を購入した場所にAWSのネームサーバーを貼り付けて設定します.
  • を適用すると、ドメインを介してO
  • にアクセスできる.
  • レコードの作成
  • ネーミング後の
  • を記録する
  • の値では、EC 2は共通IPを提供する-->生成ボタン
  • をクリックする.
    ブラウザドメインで
  • EC 2に関連付けられたレコード名を検索した場合、EC 2に作成されたインデックス.htmlページが少ない
  • 8. EBS

  • ボリュームの作成
  • 無停止サービスO
  • 汎用ソリッドステートドライブ、8番目は
  • 利用可能領域2 A
    -->以前に作成されたEC 2は2 Aであり、
  • は既存のEC 2にストレージを追加したい
    lsblk 	// 연결된 블록 스토리지 확인 명령어
  • ボリューム接続
    新しく作成した
  • ボリュームを確認し、[ボリュームを接続](Connect Volume)をクリックします.

  • df -h	//파일 시스템 사용가능 공간 확인
    sudo mkfs -t xfs /dev/xvdf	//포맷
    sudo mkdir /data	//마운트 될 폴더생성
    sudo mount /dev/xvdf /data	//마운트 명령어
    sudo umount /data	//마운트 끊는 명령어
    
    sudo cp /etc/fstab /etc/tstab.orig	//복사본 생성
    sudo blkid	//블록스토리지 ID 보여주는 명령어
    sudo vi /etc/fstab
    sudo vi /etc/fstab
  • スナップショットの作成
  • ボリュームを選択すると
  • が作成されます.
  • スナップショットからボリュームを作成
  • の利用可能領域を2 Cとすると、2 A上のボリュームは2 C上の
  • にコピーされる.
  • スナップショットを使用したイメージの作成
  • ボリュームから画像の作成ボタン-->画像名の作成(MY-AMI)-->画像の作成ボタン
  • をクリック
  • AMIまで行くと、MY-AMIが見えます.
  • AMIを確認したら、「AMIを使用してインスタンスを作成」をクリックしてインスタンスを作成します.
  • スナップショットのコピー
  • バックアップ
  • ボリュームをクリックしてスナップショット
  • をコピーします.
  • を目指して大阪を回るO
    -->転送コスト