Amazon Virtual Private Cloudは、OpenStackやHPE Helion Eucalyptusなどの技術を使用して、プライベートクラウドと同様のサービスを提供することを目的としている。しかし、プライベートクラウドは、通常、OpenShiftアプリケーションホスティングやさまざまなデータベースシステムなどのテクノロジーも使用する。 クラウドのセキュリティ専門家は、社内システムには存在しない公共リソース [6] を使用する際には制御不能やサービスの中断など、コンプライアンス上のリスクが存在する可能性があると警告している。 ナショナルセキュリティレターを使用してVPCについてAmazonから取引記録を要求された場合でも、顧客にシステムのセキュリティ違反を知らせることは合法的に許可されないことさえある。 これは、実際のVPCリソースが他の国にあったとしても当てはまる[7] 。AWSで使用されるAPIは、HPE Helion EucalyptusのAPIと一部互換性があるだけで、他のプライベートクラウドシステムと互換性がないため、AWSからの移行が困難な場合がある。これにより、特定の技術に対するロックインの可能性が警告されている[6]。 最初に、ユーザはVPC用に一連のIPアドレスを選択することができる。 この範囲内では、インターネットやその他のVPCのインスタンスと通信するために、VPC内のインスタンスに様々なプライベートおよびパブリックのIPv4およびIPv6アドレス[8] を割り当てることができる。 これらのアドレスは、ユーザーのVPCアカウント全体ではなく、特定のインスタンスに割り当てられる[9]。パブリックIPアドレスの静的割り当ては不可能だが、その代わり場合によってはアドレスの割り当て・割り当て解除によりインスタンスのアドレスが変更される。 一貫したIPアドレスが必要な場合は、パブリックIPアドレスの代わりに第3のタイプのIPアドレスであるElastic IPアドレスを使用できる[9]。 AWS VPCは、ユーザーがインターネット、ユーザーの企業データセンター、および他のユーザーのVPCに接続できるようにする[8]。 VPCは論理的に隔離されており、設定されたインターネットアクセスのみを許可することで高いセキュリティを確保できる。 Amazon VPCは内部IPアドレスからなるプライベートネットワークで構成されている。インスタンスは内部IPアドレスと同時にパブリックIPv4アドレスを割り当て可能であり、VPCへインターネットゲートウェイ Amazon VPC サブネットは以下の2つに分類される[11]。 パブリックサブネットのインスタンスはインターネットゲートウェイからインターネットへ接続されているため、サブネットからインターネットへのアクセス(アウトバウンド接続)とインターネットからサブネットへのアクセス(インバウンド接続)が可能になる。プライベートサブネットではインターネットとの入出力が不可能だが、NATゲートウェイを用意することでインスタンスからインターネットへのアウトバウンド接続のみを許可することができる[12]。 パブリックサブネットインスタンスであっても、ホワイトリスト型ネットワーク制御である Security Groups を用いて細やかなアクセス制御が可能である。例えばアウトバウンドのみを許可することで外部へは接続できるが外部からは接続されないパブリックサブネットインスタンスを設定できる。 デフォルト設定では となっている。 ユーザーは、データセンターとVPC間のハードウェアVPN接続を設定することで、データセンターに接続することができる。 この接続により、ユーザーは「VPC内のAmazon EC2インスタンスと[ユーザーの]既存のネットワーク内であるかのようにやりとりできる」[8]。 ユーザはプライベートIPアドレスを使用して1つのVPCから別のVPCにトラフィックをルーティングでき、同じネットワーク上にあるかのように通信できる。 ピアリングは、同じアカウントの2つのVPC間のルートまたは同じ地域の異なるアカウントの2つのVPCを接続することで実現できる。 VPCピアリングは1対1の接続であるが、ユーザは一度に複数のVPCに接続できる[13]。 AWS VPCのセキュリティは2つ存在する。第1に、AWS VPCはセキュリティグループをファイアウォールとして使用してトラフィックをインスタンスレベルで制御し、ネットワークアクセス制御リストをファイアウォールとして使用してサブネットレベルでトラフィックを制御する[14]。 AWS VPCは、第2の手法として、ハードウェア上に「専用インスタンス」を作成し、専用インスタンスを非専用インスタンスや他のアカウントが所有するインスタンスから物理的に隔離する機能を提供する[15]。 AWS VPCは無料でユーザーはEC2リソースの使用量を支払うだけである。 しかし、VPN経由でVPCにアクセスする場合は、料金が発生する。
IPアドレス
接続性
インターネット
パブリックサブネット: トラフィックがインターネットゲートウェイにルーティングされる
プライベートサブネット: トラフィックがインターネットゲートウェイにルーティングされない
ルートテーブル: 0.0.0.0/0 = IGW
セキュルティグループ: egress-only (all outbound OK, intra-SG inbound only OK)
インスタンス: elasticIPv4割り当て、デフォルトSG割り当て
外部サービス
VPC
プライバシー
関連項目
Amazon Elastic Compute Cloud
参考文献^ ⇒Amazon Virtual Private Cloud
^ Amazon to soothe Enterprise fears with Virtual Private Cloud
^ ⇒Amazon launches Virtual Private Cloud service
^ ⇒Amazon Integrates With Datacenter Using Private Clouds VPC Peering
^ ⇒Amazon Adds a Virtual Private Cloud VPC Peering
^ a b John R. Vacca, Computer and Information Security Handbook, p. 99, https://books.google.co.uk/books?id=zb916YOr16wC&pg=PA99#v=onepage&q&f=false
^ [1]
^ a b c ⇒FAQS
^ a b ⇒VPC IP Addressing
^ 以下を実行する必要があります。 VPC にインターネットゲートウェイをアタッチする。インターネットバウンドトラフィックをインターネットゲートウェイに転送するルートを、サブネットのルートテーブルに追加します。... サブネットのインスタンスに、グローバルに一意な IP アドレス (パブリック IPv4 アドレス、Elastic IP アドレス、IPv6 アドレス) が割り当てられていることを確認します。[2]
^ サブネットのトラフィックがインターネットゲートウェイにルーティングされる場合、そのサブネットはパブリックサブネットと呼ばれます。 ... インターネットゲートウェイへのルートがないサブネットは、プライベートサブネットと呼ばれます。AWS Docs
^ インスタンス 2A はインターネットにアクセスできませんが、VPC の他のインスタンスにはアクセスできます。ネットワークアドレス変換 (NAT) ゲートウェイまたはインスタンスを使用して、VPC のインスタンスによる IPv4 インターネットへのアウトバウンド接続の開始を許可し、インターネットからの未承諾のインバウンド接続を拒否できます。 [3]
ウェブサイト
A9.com
AbeBooks
China
The Book Depository
BookFinder
中国
Curse
ダッシュ
Digital Photography Review
Fresh
Goodreads
IMDb
Box Office Mojo
Withoutabox
Amazon.co.jp