【AWS】 VPC それから AZ とは何か
勉強した内容をまとめた自分用のメモ。
AZ
VPC を理解するためには AZ の理解が必要なので、まずは AZ についてまとめる
端的に言うと・・・
| 名称 | 役割 |
|---|---|
| データセンタ | ハードが実際に置かれている物理的な施設、または施設群 |
AZ | 1つ以上のデータセンタで構成される単位。ap-northeast-1a の a がAZ を表す |
Region | 2つ以上のAZで成り立つグループ。ap-northeast-1a の ap-northeast-1 がリージョンを表す |
Transit Cernter | AZ と 外部AZネットワーク の接続ポイント |
つまり、言い換えると
- Region 内に 複数の AZ があり
- AZ 内 に複数のデータセンタがある
ということになる。
その他の用語
| 名称 | 意味 |
|---|---|
| Equinix | データセンタの保有・リース・関連サービスを行う多国籍企業。東京都内にも複数のデータセンタを保持している。 |
アベイラベリティーゾーン(Ableability Zone)
擬似的に複数データセンタ構成(国内DR構成)を取ることができる仕組み。
- DR(Disaster Recovery):直訳は「災害復旧」。天災・テロ・不正侵入などの災害に備えたシステムや体制のこと。
東京リージョンは、以下の4つのAZから成り立っている。
- ap-northeast-1a
- ap-northeast-1b
- ap-northeast-1c
- ap-northeast-1d
バージニア北部リージョンでは、以下の6つのAZから成り立っている。(つまり、リージョンごとにAZの数は異なるということ)
- us-east-1a
- us-east-1c
- us-east-1b
- us-east-1e
- us-east-1d
- us-east-1f
一般的な Web server + DB server の構成をとる場合、以下のように複数のAZに分散させることで可用性・耐障害性を高めることができる。
- AZ1(ap-northeast-1a)
- Web server 1
- DB master
- AZ2(ap-northeast-1b)
- Web server 2
- DB slave
なお、 東京には 4つの AZ があり、 それぞれ a〜d の4つのAZ名が与えられているが、各AWSアカウントごとに a / b / c / d のAZ名が指している 具体的なAZ は異なる。つまり、私のAWSアカウントでは ap-northeast-1a は 千葉県にあるデータセンタだったとしても、 他の人のAWSアカウントでは ap-northeast-1a は東京都品川区のデータセンタかもしれない。
一方で、AZ を一意に特定する識別子として、 AZ ID というものがある。
つまり、アカウントを跨いでも具体的に同じAZを指しているかどうかを判断するためには、 AZ ID を確認すれば良い、ということである。
VPC
概要
Virtual Private Cloud。名前の通り、AWSのパブリッククラウド内に、論理的に分離したネットワークを構築するサービスのこと。 これを利用することにより、インターネットに接続する必要のない 社内システム等を、セキュリティを保ったままクラウド上(AWS上)で稼働させることができる。
- 任意のプライベートアドレスで、以下のようなことが可能
- ネットワークの作成
- サブネットマスクによる分割
- オンプレミスと同等の DMZセグメント や 内部セグメント(Trusted領域) といった構成を実現することも可能。
- インターネットゲートウェイ を利用することで、 VPC と インターネット間の通信も可能になる。
- VPNゲートウェイ を作成し、既存のデータセンターや社内ネットワークに 専用線やVPNで接続することも可能。
S3 や CloudFront などは AWSネットワークに置かれるのに対し、EC2 や RDS は VPC に置かれる。
デフォルトVPC と カスタムVPC
AWSアカウントを開設すると、あらかじめ デフォルトVPCが作成されている。(私のアカウントの一例)
| AZ name | IP | AZ ID |
|---|---|---|
| ap-northeast-1c | 172.31.0.0/20 | apne1-az1 |
| ap-northeast-1d | 172.31.16.0/20 | apne1-az2 |
| ap-northeast-1a | 172.31.32.0/20 | apne1-az4 |
ENI(Elastic Network Interface/ネットワークインターフェース)
従来の物理サーバの時代に利用されていた NIC(Network Interface Card)と同じ役割を果たすもの。
ENIにはIPアドレスやMacアドレス、セキュリティグループなどの設定を登録することができる。そして、このENIをインスタンスに取り付け・取り外しを行うことできる。
つまり、複数の設定を保持した状態を柔軟に使いまわすことが可能になり、メンテナンス時や障害発生時に、ネットワークに関する設定一式(Private / Elastic IPアドレス、Macアドレスなど)を待機系のほうに引き継ぐことができる。