≪第7章.ネットワークサービス≫

7-1.VPC（Virtual Private Cloud）⇒プライベートなネットワーク環境

7-2.Cloud Frond⇒エッジロケーションによるコンテンツ配信サービス
　　※最小の遅延度と高いセキュリティを実現

7-3.Route53⇒DNS（ドメインネームサービス）の一種。エッジロケーションで使用

＜7-1.VPC＞

・IPアドレスはCIDR（Classless inter Domain Rating）で定義

・サブネットはAZとIPアドレス範囲で定義

・インターネットゲートウェイ⇒VPCとパブリックインターネットを接続

・ルートテーブル⇒サブネットの経路

・サブネットのパブリックとプライベートについて
　・インターネットゲートウェイのルートを持つか持たないか
　・リソースは外部直接通信か保護されるか

・セキュリティグループ⇒インスタンスに対する仮想ファイアウォール
　※インスタンスに対してトラフィックを制御
　※デフォルトは全て拒否。ホワイトリストで許可設定

・ネットワークACL（アクセスコントロールリスト）⇒サブネットに対する仮想ファイアウォール
　※拒否するものを設定するブラックリスト（必要なら設定する）

・ハイブリット環境構成⇒オンプレミスとクラウドを活用

＜7-2.Cloud Front＞

・低レイテンシー（遅延度）配置の実現

・エッジロケーションのキャッシュから配信

・ユーザーに近いエッジロケーションから配信

・安全性の高いセキュリティ
　・ドメインの証明書を設定
　・証明書はAWS CertificateManagerを使用

＜7-3.Route53＞

・様々なルーティング機能
　・シンプル⇒単一のIPアドレスを回答
　・レイテンシー（遅延度）ベース⇒地理的に近くなる
　・加重ラウンドロビン１つのドメインに複数のDNSコードと割合を設定
　・複数値回答⇒複数レコードからランダム回答

・ヘルスチェックとフェイルオーバー
　・プライマリとセカンダリを設定して、障害時に切り替え

・ルートドメイン（Zone Apex＝エイリアス＝別名）を設定する

＜EX＞
・VPCはプライベートネットワークの構成も可能

・VPCは同一のアカウントリージョン内では複数作成可能

・１つのサブネットが指定できるAZは1つだけ

・パブリックサブネットはルートテーブルと外部を関連付けたもの

・NATインスタンスはパブリックサブネットを指定して起動

・セキュリティグループは複数のインスタンスに設定可能

・セキュリティグループは送信元として、IPアドレス範囲が他のセキュリティグループのIDを指定する

・ネットワークACLはデフォルトで全てのインバウンド/アウトバウンドが許可されている

・ネットワークACLは拒否するトラフィックがあれば設定する

・プライベートサブネットはインターネットゲートウェイ経由では接続できない

・エッジロケーションで使われるサービス
　・Cloud Front
　・Route53
　・Shield

■