概要
AWSのネットワーク設計について、1エンジニアの個人的見解
見解
VPC
- VPCは特に言うことはなし。
- オンプレとDXを繋ぐ場合はコンフリクトしないように調整する。
- VPC FlowLogsの有効化はお忘れなく
- 最近はGuardDutyが良い感じにログをとってくれるので良いよね
Subnet
- Public 3つ、Private 3つで良いとおもう
Public Subnet
- ELB, NAT Gateway, 踏み台EC2 を置く事が多い。
- RouteTableはIGWと結び付けられた1つだけ。
Private Subnet
- 各種EC2やRDS、ElastiCacheなどを配置する。
- RouteTableは各AZに対応したNAT Gateway に接続するよう、3つRouteTableを用意する
ACL
使わない
セキュリティグループ
- IPベースではなく、セキュリティグループidベースでホワイトリストをかける
まとめ
- SubnetはPublic/Privateの2種類で問題ない
- アクセス制御はセキュリティグループでやる
- ACLは非推奨
- VPC FlowLogs はの有効化はお忘れなく