VPC

Subnets for your VPC
- Subnet の最初の 4 IP と最後の 1 IP は予約されています。以下の IP は例です:
- 10.0.0.0 → ネットワークアドレス
- 10.0.0.1 → VPC router (AWS による予約)
- 10.0.0.2 → DNS サーバ (AWS による予約)
- 10.0.0.3 → 将来的な機能拡張のため (AWS による予約)
- 10.0.0.255 → ブロードキャストアドレス
Internet Gateway (IGW) Connect to the internet using an internet gateway
- Public IP または EIP を持つ ENI から利用でき、機能的には NAT として振る舞います。
- NAT Gateway と異なり、VPC 内 ENI は Public IP または EIP を持つ必要があります。
  - NAT Gateway はそれ自身インターネット接続できず、IGW の併用が必要です。NAT gateways
VPC Flog Logs Logging IP traffic using VPC Flow Logs
- VPC レベル、Subnet レベル、ENI レベルで設定できます。Create a flow log
- Deny されたトラフィックを確認する際にも役立ちます。
- CloudWatch Logs、S3 に保存できます。
Egress-Only Internet Gateway Enable outbound IPv6 traffic using an egress-only internet gateway
- Public subnet においては、通常の上記 IGW を利用します。
- Private subnet において、インターネットに IPv6 で接続するために利用します。
  - Subnet には IPv6 が設定されている必要があります。
  - ENI には IPv6 が設定されている必要があります。
- インターネットから Subnet への通信は遮断されます。
- Private subnet のルートテーブルにおいて、"::/0" への通信が Egress-Only IGW に向くように設定します。
- IPv6 はその仕様上、すべて public です。そのため、IGW は NAT として振る舞うことはありません。
VPC Endpoint
- AWS VPC 内の PrivateLink VPC Endpoint を VPN 接続された GCP VPC および別の AWS VPC から利用するための設定例
- VPCE 経由であることを例えば S3 バケットポリシーで確認するためには、"aws:SourceVpce" または "aws:SourceVpc" を利用します。AWS 落穂拾い (Security)
- あるいは aws:VpcSourceIp によって、VPCE 利用時の private IP を指定することもできます。How can I restrict access to my Amazon S3 bucket using specific VPC endpoints or IP addresses?
  - 注意: aws:SourceIp は Public IP または EIP に対して機能します。VPCE 経由の場合は Private IP がアクセス元となるため、"aws:SourceIp" は機能しません。

VPC Peering、VPN

VPC Peering
- 接続された二つの VPC それぞれにおいて、ルーティングテーブルを設定する必要があります。
  - 注意: 戻りのトラフィックが存在するため、片方のルーティングテーブルだけでは不十分です。Update your route tables for a VPC peering connection
- 異なるリージョン間、異なる AWS アカウント間であってもピアリングできます。
- ピアリングされた先の VPC 内 Security Group を参照した Security Group を作成できます。Update your security groups to reference peer VPC groups
unsupported VPC peering configurations
- Transitive peering はサポートされていません。
  - 直接 peering 設定がされた VPC 間でのみ通信が可能となります。
- edge to edge routing
  - VPC-A をオンプレミスネットワークと DirectConnect や VPN で接続して、その VPC-A を別の VPC-B とピアリング接続した場合、VPC-B からオンプレミスへの通信はできません。
  - VPC-B から VPC-A の igw/vpce/natgw を利用することもできません。
Transit Gateway
- 上記 Transitive peering や edge to edge routing の解決策の一つです。igw/vpce/natgw を一つの VPC 内に集約できます。
  - 補足: VPC 間を VPN で接続することによっても解決できます。VyOS といった、AWS 社以外が提供する VPN ソリューションを EC2 インスタンス上で稼働させ、VPC 間を接続します。AWS で VPC を VPN 接続するための VyOS 設定例
  - 補足2: AWS の Site-to-Site VPN は、AWS VPC 間の接続を正式にはサポートしていません。How AWS Site-to-Site VPN works
    - AWS VPC と GCP VPC を VPN 接続するための設定例
    - Client VPN と区別します。
- VPC Peering や VPN で 1:1 接続を繰返していくと、ネットワーク構成が複雑化します。
  - 1:N の接続を可能とする Transit Gateway を利用します。AWS VPC と GCP VPC を VPN 接続するための設定例
- Resource Access Manager (RAM) を用いて、cross-account で VPC 接続できます。AWS 落穂拾い (Identity & Federation)
NAT Gateway
- Subnet に設定して利用します。AZ 毎に必要になります。
- Site-to-Site VPN 接続されたオンプレミスから NAT Gateway を利用することはできません。How can I configure NAT on my VPC CIDR for traffic traversing a VPN connection?
  - Site-to-Site VPN ではなく、上記 VyOS のような AWS 社以外が提供する VPN ソリューションを EC2 インスタンス上で稼働させることで、オンプレミスからも利用できるようになります。
  - あるいは、Transit Gateway を利用する構成も可能です。
- オンプレミス側に構築された NAT サーバを、Site-to-Site VPN 接続された AWS VPC 内から利用することは可能です。
AWS VPN CloudHub Providing secure communication between sites using VPN CloudHub
- Site-to-Site VPN で接続された Site (オンプレネットワーク) 同士を接続する仕組みです。
- AWS VPC 側が、複数 Site 間の hub のように機能します。

Direct Connect

Direct Connect (DX) 接続は、それ自体では冗長構成にはなっていません。
- 複数の DX 接続、あるいは VPN を組み合せて、failover できるようにしておきます。AWS Direct Connect Resiliency Recommendations
Direct Connect (DX) 接続は、それ自体では通信を暗号化しません。
- 解決策の一つとして、DX 上に VPN 接続を張ることができます。
- AWS Site-to-Site VPN を利用する場合、必要となる VIF は Public VIF です。Private VIF は不要です。AWS Direct Connect + VPN

AWS Direct Connect and VPN

AWS Direct Connect connections
- Dedicated Connections
  - 1-100 Gbps
  - AWS に申請し、AWS Direct Connect Partners によって接続作業がなされます。
  - 開通まで、1 ヶ月程度必要となる可能性あり。Time to deploy
- Hosted Connections
  - 50 Mbps - 10 Gbps (オンデマンドに変更可能です。)
  - AWS Direct Connect Partners に申請します。
Virtual Interface (VIF) AWS Direct Connect virtual interfaces
- Private VIF
  - DX の直感的な利用方法です。オンプレ環境等から VPC 内のリソースにアクセスできます。
  - VPC 内の VPCE を併用することで、オンプレ環境から S3 にアクセスできます。
    - 下記 Public VIF の場合と異なり、アクセス元 IP は Private IP となります。How can I access my Amazon S3 bucket over Direct Connect?
- Public VIF
  - Private VIF で接続された VPC 内の VPCE を利用することに相当します。
  - VPC 外の AWS リソースに対して、DX 経由でオンプレ環境等からアクセスできます。
    - アクセス元 IP は Public IP となります。How can I access my Amazon S3 bucket over Direct Connect?
- Transit VIF
  - Transit Gateway 経由で VPC 内のリソースにアクセスします。
link Aggregation Groups (LAG) Link aggregation groups
- 複数の DX 接続を、論理的に 1 つのグループにまとめて高速化します。failover にも対応できます。
- 最大 4 本の DX 接続をまとめられます。
- すべて Dedicated Connections である必要があります。
Direct Connect Gateway Working with Direct Connect gateways
- AWS 側の VPC が複数存在する場合に、DX 接続を何本も管理することを回避できます。
- 複数 AWS アカウント、または複数リージョンの VPC と DX 接続する場合に利用します。
- Transit Gateway と併用することもできます。

その他のサービス

CodePipeline

手動による承認ステップを組込むことができます
CodeBuild、CodePipeline のソースレポジトリとしては、GitHub も指定可能です。Use AWS CodePipeline with AWS CodeBuild to test code and run builds

CloudSearch

What Is Amazon CloudSearch?
ElasticSearch (OpenSearch) と同様に、AWS マネージドなサービスです。

Lex

Alexa for Business → 音声認識に関する AI サービス。
Lex → Alexa と同様に、音声認識のサービスを提供します。自然言語処理、チャットボットサービスの開発。
Connect → 電話応対のためのサービス。コールセンターを AWS 上に仮想的に作成。

Rekognition

画像認識に関する AI サービスの提供。

Kinesis Video Streams

監視カメラ等の映像をストリーミング。
- EC2、Rekognition 等を consumer として稼働させます。
AWS 管理の S3 にデータを格納。
S3 を指定してデータを出力することはできません。

WorkSpaces

クラウド上の Windows デスクトップ環境です。
オンプレ管理の VDI の代替となります。

AppStream 2.0

ブラウザ経由で、デスクトップアプリケーションの利用環境を提供するサービスです。

Mechanical Turk

SWF との統合が標準サポートされています。
- Step Functions との統合はできません。
人間による単純なタスク処理を組込むためのサービスです。

Device Farm

モバイル端末や web ブラウザを用いた検証環境を提供します。
モバイルアプリケーションや Web アプリケーション開発時に利用します。

Macie

S3 バケットを監視します。
AWS アカウント内の PII 検出等が可能です。

Transcribe

音声認識を行い、テキスト出力します。

WorkDocs

Google Drive や One Drive のようなサービスです。
ドキュメントファイルを AWS 上で管理できます。