AWSのネットワーク設計について

f:id:y-ohgi:20190603232737p:plain

概要

AWSのネットワーク設計について、1エンジニアの個人的見解

見解

VPC

  • VPCは特に言うことはなし。
  • オンプレとDXを繋ぐ場合はコンフリクトしないように調整する。
  • VPC FlowLogsの有効化はお忘れなく
    • 最近はGuardDutyが良い感じにログをとってくれるので良いよね

Subnet

  • Public 3つ、Private 3つで良いとおもう

Public Subnet

  • ELB, NAT Gateway, 踏み台EC2 を置く事が多い。
  • RouteTableはIGWと結び付けられた1つだけ。

Private Subnet

  • 各種EC2やRDS、ElastiCacheなどを配置する。
  • RouteTableは各AZに対応したNAT Gateway に接続するよう、3つRouteTableを用意する

ACL

使わない

セキュリティグループ

  • IPベースではなく、セキュリティグループidベースでホワイトリストをかける

まとめ

  • SubnetはPublic/Privateの2種類で問題ない
  • アクセス制御はセキュリティグループでやる
  • ACLは非推奨
  • VPC FlowLogs はの有効化はお忘れなく