タグ: クラウド

カテゴリー
2023年 Active Directory Azure Microsoft MS Azure Administrator MS Azure Fundamentals クラウド コンピューター 認定資格

MS Azure を学ぶ(2)Azure Active Directory とオンプレ Active Directory の違い

Azure Administrator (AZ-104)に合格しましたので、覚えた内容を忘れないように、これから少しずつアウトプットしていきたいと思います。

私が勉強に使った教材は、こちらでブログで紹介しています。

PVアクセスランキング にほんブログ村 にほんブログ村 ブログブログへ
にほんブログ村

Active Directory(AD) とは

  • AD とは一般的に、Active Directory Domain Service (AD DS) サーバーを指す
  • AD DS とは、認証認可を行うサーバー
  • ディレクトリーサービスを提供

認証:

  • 「本人確認」のプロセス。
  • コンピューターの世界では、ユーザー名とパスワードを使って本人確認を行う。認証を通じて、「なりすまし」を防止する。

認可:

  • 「その IDが、サービスやアプリケーションにアクセス可能であるか」を確認するプロセス。
  • 認証された IDで、利用できるサービスやアプリケーションの範囲が決定する。

以下、分かりやすく表記するために、オンプレ Active Directoryを AD DS、Azure Active Directory を Azure AD とします。

AD DS と Azure AD の違い

1. 使用範囲の違い

  • AD DS(オンプレ Active Directory)は、オンプレミス向けの認証と認可を提供
  • Azure AD は、クラウド向けの認証と認可を提供

まず、AD DS とAzure Active Directory は、使用の範囲が異なります。

AD DS は、企業の中で、その企業のリソースを管理したり、認証と認可のために使われます。一方で、Azure AD は、クラウド向けの認証と認可とリソース管理のために使われます。

オンプレミス Active Directory
  • 自社データーセンターに AD DS を設置(オンプレミス)
  • 大規模拠点にも AD DS を設置するケースもあり
  • 自社のサーバー(アプリ)へのアクセス制御
Azure Active Directory
  • Azure の自社のテナント上で AD DS を使用(クラウド)
  • Azure の自社のテナント上のサーバー(アプリ)へのアクセス制御
  • Microsoft 365 などの SaaS アプリへのアクセス制御

2. 使用されるプロトコルの違い

  • AD DS は、社内ネットワークで使用され、Kerberos や NTLM を使用
  • Azure AD は、インターネット環境で使用され、SAML、WS–Federation、OpenID Connect、OAuth などのプロトコルを使用

AD DS とAzure AD では、認証と認可でしようされるプロトコルが異なります。

AD DS は、組織内で使われることを前提としており、古くはNTLM、今の主流ですと、Kerberos を使って、認証と認可を行います。

一方で、Aure AD はクラウドを前提としており、SAML、WS-Federation、OpenID Connect、OAuth などといったプロトコルを使って、認証と認可を行います。

オンプレミス Active Directory
  • オンプレ AD DSでディレクトリーサービスを提供
  • Kerberos (古いと LDAP)を使って認証
Azure Active Directory
  • ブラウザーでのアクセスを対象
  • SaaS アプリにアクセスし、Azure AD で認証
  • Azure AD の許可で、SaaS アプリへのアクセス許可を得る

3. 組織構成の違い

  • AD DS は、組織を1つのフォレストとし、その中でドメインを構成し、必要に応じてドメイン同士で信頼関係を結ぶ
  • Azure AD は、Microsoft が提供するAD DS 上で、組織にテナントが割り当てられる

AD DS ではフォーレストという空間を組織毎にドメインで小分けして管理します。それぞれのドメインは、アクセスが必要であれば信頼関係を結びます。

一方で、Azure AD にはドメインという考え方はなく、代わりにテナントいう考え方になります。1つの組織は1つのテナントとして認識されます。信頼関係という考え方もありません。

オンプレミス Active Directory
  • 1つの組織で1つのフォレストを構成
  • フォレストの中にドメインを作成
  • 必要に応じて子ドメインも作成
  • 信頼関係を結ぶことでアクセスの許可
Azure Active Directory
  • Azure AD はマルチテナントで動作
  • 組織は、Azure AD 上で「テナント」として管理
  • 必要に応じて複数のテナントを作成することも可能
  • 信頼関係という考え方はない(それぞれが独立したテナント)

Azure AD は、クラウドベースの ID を一元管理し、アプリケーションへのアクセス要求に対して認証と認可を行います。

また、クラウドサービスとして提供されるものなので、当然ながらドメインコントローラーのようなサーバーの展開はありませんし、ドメインコントローラーのメンテナンスも必要なくなります。

合格対策Microsoft認定試験AZ-104:Microsoft Azure Administratorテキスト&演習問題

posted with カエレバ

(模擬試験付き)徹底攻略 Microsoft Azure Administrator 教科書 [AZ-104] 対応

posted with カエレバ

関連するブログ:

最近の人気ブログ TOP 10:

最近の記事:

カテゴリー
2022年 Azure Microsoft MS Azure Administrator MS Azure Fundamentals クラウド コンピューター 技術一般 管理 認定資格

MS Azure を学ぶ (1) リソースグループの作成と管理

Azure Administrator (AZ-104)に合格しましたので、覚えた内容を忘れないように、これから少しずつアウトプットしていきたいと思います。

PVアクセスランキング にほんブログ村 にほんブログ村 ブログブログへ
にほんブログ村

リソースグループとは

リソースグループとは、Azure上のストレージや仮想マシンなどといったリソースを入れる箱のようなものです。各リソースをまとめて管理できます。

Learn Microsoft の画面

AWSなどでも同じような機能はありますが、必須になってはいませんが、Azureでは、各リソースは必ずどれかのリソースグループに所属する必要があり、必須となっています。

このリソースグループは便利な機能で、例えば各リソースにタグを付けたい場合、リソースグループにタグをつければ、そのリソースグループ内のリソースにも同じタグを付けられますし、リソースグループを削除すれば、そ子に所属している全てのリソースも一斉に削除することもできます。

リソースグループの作成

まず、リソースグループを作成してみましょう。

管理画面トップのテキストボックスに「リソースグループ」と入力して検索します。

メニューに「リソースグループ」が見えました。これをクリックします。

リソースグループの管理画面が開きます。

「作成」をクリックして、リソースグループを新規作成します。

リソースグループの作成画面が開きます。

設定する項目は、以下の3つがあります。

  • サブスクリプション:自分のサブスクリプションを選択
  • リソースグループ:今回作成するリソースグループの名前を入力
  • リージョン:リソースグループを配置するリージョンを選択

サブスクリプションは、課金が発生した際に支払いを行うサブスクリプションを選択します。

リソースグループの名前の注意点ですが、同じ名前のリソースグループは作成できません。以下のようにエラーになります。

リージョンですが、リソースグループに関しては意味はないです。実際にリソースグループの中に入れる各リソースの方は、必ずしもリソースグループと同じリージョンである必要はありません。このリージョンの項目は、単に管理目的となります。

各項目の選択と入力が完了したら、「作成」をクリックします。

リソースグループの一覧に、先ほど作成したリソースグループの名前が表示されましたね。これでリソースグループの作成は完了です。

リソースグループの削除

不要になったリソースグループは削除ができます。

削除したいリソースグループ名をクリックします。

対象リソースグループの管理画面が開きます。

「リソースグループの削除」をクリックします。

削除対象のリソースグループ名を、ここで再度入力します。

削除しようとしているリソースグループが本当に正しいのかを確認するためです。

正しければ、「削除」をクリックします。

リソースグループの一覧から、削除したリソースグループ名が見なくなりました。削除完了です。

このリソースグループの削除で非常に重要なのは、リソースグループを削除すると、そのリソースグループに属している各リソース全てが削除されるという点です。これは非常に便利である反面、非常に危険でもあります。運用稼働中のリソースであっても簡単に削除できてしまうのです。それを回避する機能がロックです。

リソースグループのロック

繰り返しになりますが、リソースグループは、使用する各リソースが入る箱のようなものというお話をしました。リソースグループに所属している各リソースですが、リソースグループを削除すると、その中の全ても削除されてしまいます。

せっかく苦労して作成したシステムも、簡単に削除されてしまいます。

これを避けるために、ロック機能が用意されています。

使用できるロックは2種類となります。

  • 読み取り専用ロック:削除も変更もできなくなります。
  • 削除ロック:削除のみをできなくし、変更は許可します。

まとめると、以下のようになります。

ロックの種類変更削除
読み取り専用ロック  X    X  
削除ロック  ○   X  

では実際に、ロック機能を適用してみましょう。

先ほど作成したリソースグループ名をクリックします。

対象リソースグループの管理画面が開きます。

メニューの中から「ロック」をクリックします。

ロックの管理画面が開きます。

「追加」をクリックします。

ロックの種類のプルダウンメニューを開くと、「読み取り専用」と「削除」の2つがあるのが見えますね。

今回は、「削除」ロックを設定してみます。

ロック名は必須です。今回は「delet-lock」とします。

メモはオプションですが、このロックの内容ですとか目的などを入れておくと、後からの管理で便利になります。

「OK」をクリックして、削除ロックを適用します。

作成した削除ロックが適用されたのが分かりますね。

今回適用したのは削除ロックです。リソースグループの削除ができなくなります。それでは試してみましょう。

対象となるリソースグループの名前をクリックし、「リソースグループの削除」をクリックしてみます。

削除対象となるリソースグループの名前を入力し、「削除」をクリックしてみます。

「削除に失敗しました」のメッセージが表示されましたね。削除できなくなっています。

では今度は、削除ロックを解除してみましょう。

対象となるロック名の「削除」をクリックします。

削除が完了し、ロック名が消えました。

それでは、再度、リソースグループを削除してみましょう。

対象となるリソースグループ名をクリックし、「リソースグループの削除」をクリックします。

削除対象となるリソースグループ名を入力し、「削除」をクリックします。

リソースグループの削除が始まりました。

「削除しました」のメッセージが表示されました。

リソースグループの一覧を表示してみましょう。先ほど削除処理したリソースグループ名は見えなくなりました。削除されていますね。

関連する記事:

最近の人気ブログ TOP 10:

最近の記事:

カテゴリー
2020年 AWS AWS Solutions Architect - Associate クラウド コンピューター 技術一般 認定資格

AWSを学ぶ(15)Glacier とは何か?どの様に使うのか?

AWS Glacier

Amazon Glacier (以下、Glacier)は、99.999999999の耐久性を持ちながら、容量あたりの費用を抑えたアーカイブストレージサービスです。価格は安いのですが、データの取り出しの際には時間がかかってしまうという特徴があります。

ちなみに、Glacier というのは、グレイシアと読み、日本語で「氷河」という意味です。

オンプレミスの環境ですと、磁気テープを使って長期のデータ保存を行いますが、磁気テープでのバックアップには、「長期保存」、「取り出しに時間がかかる」、「アクセス頻度は低い」といった特徴があります。Glacierは、このイメージで使用されます。

S3の様に、保存するデータに対して名前を付ける事はできず、自動採番された「アーカイブID」で管理されます。

Glacierへのデータの保存は、APIによる操作、またはS3のライフサイクル管理により行われます。

余談ですが、私は以前、クラウドバックアップ関連の製品を取り扱っていたのですが、その製品がS3 やGlacier にデータを保存することができました。Glacier を保存先とする時に、設定にちょっと困ったのですが、ここがポイントでした。Glacier はS3 のバケットを経由しないと、データの保存ができないです(API を使えば別ですが)。

Glacier の価格

Glacier は非常に低コストと言われますが、具体的に価格を見てみましょう。S3と比較してみます。AWSの公式サイトに価格が掲載されています。

S3 標準GlacierS3 Glacier Deep Archive
条件最初の50TB/月      1分から12時間の取り出し     年に1、2回のアクセスで、12時間以内でのデータ取り出し
GBあたりのコスト(USD)0.0250.0050.002
S3 と Glacier のコスト比較

ちなみに私の自宅のNASには、約2TBのデータが保存されています。これをAWSのクラウドストレージ にバックアップして保存すると想定してみます。

S3 と Glacier のコストシミュレーション

1ドル120円換算で計算していますが、S3 Glacier Seep Archive だと月にして4ドル(日本円で480円)です。確かにすごく安いですね。これなら個人でも可能な金額です。

Glacier の構成要素

Glacierは、以下の4つの要素から構成されます。基本的にはS3と同じ(ただし呼び方は異なる)です。

ボールト(S3: バケット)

アーカイブを保存するための領域です。ボールトで使われる名前は、リージョン、及びアカウント内で一意であれば良いため、たのアカウントで使用されている名前も利用できます

アーカイブ(S3: オブジェクト)

Glaceirに保存されるデータのことです。各アーカイブには一意のアーカイブIDとオプションの説明が割り当てられます。アーカイブIDには、138バイトのランダムな文字列が自動的に割り当てられ、ユーザーが指定する事はできません。

インベントリ

各ボールトに保存されているアーカイブの情報(サイズ、作成日、アップロード時に指定された説明など)を収集します。1日に1回の頻度で更新されるため、最新の情報が反映されるまでに時間がかかります。マネージメントコンソールから確認する事で、リアルタイムで状況が見られます。また、ListVaults API を使用することもできます。

ジョブ

アーカイブやイベントリに対して検索をしたり、データをダウンロードするといった要求に対して処理を実施し、それらの処理状況を管理します。

Glacier を使ってみよう

ボールトの作成

AWS 管理コンソールの検索から、「Glacier」を入力し、Glacierの管理コンソールにアクセスします。

「ボールトの作成」をクリックします。

ボールトを作成するリージョンを選択し、ボールトの名前を付けます。

イベント通知の画面が表示されます。

今回は「通知を有効にしない」を選択します。

確認画面が表示されます。

設定内容を確認し、「送信」をクリックします。

ボールトが作成されました。

ボールト名をクリックしてみると、ボールトの中が見られます。まだデータ(アーカイブ)は何も保存していませんので、アーカイブ数は 0 のままです。

アーカイブデータの保存

Glacier のボールトには、上述の通り、直接アクセスができません。API または、S3 のライフサイクルを使用します。

S3 の使い方については、AWSを学んでみる14で調べてみましたので、そちらをご参照下さい。

S3 上の指定したバケツにデータを保存します。

ストレージクラスで、「Glacier」を選択します。

設定内容の確認をし、「アップロード」をクリックして、データを転送します。

転送したデータの名前の「ストレージクラス」を見てみると、Glacier になっています。これでデータがアーカイブとして、Glacier 上に保存されました。

データの取り出しオプション

Glacierにアーカイブしたデータを閲覧するためには、「データの取り出しリクエスト」を行う必要があります。取り出しリクエストを行ってから実際に取り出しができる様になるまでの待ち時間に応じて、高速、標準、バルクの3種類のリクエストオプションがあります。

高速

1−5分程度後でのデータ取得

標準

3−5時間程度後でのデータ取得

バルク

5−12時間後でのデータ取得。次の日に見られれば十分というケースに使用

データの取り出し設定オプション

データ取り出し時の設定オプションは3つあります。Glacier 上のボールトを指定し、「設定」をクリックして設定ができます。

  • 無料利用枠のみ: 無料枠の範囲でデータの取り出しができます。それを超えるデータ量になると、取得リクエストは拒否されます。
  • 最大取得率: 1時間あたりの最大取得率で価格が変わります。
  • 取得制限なし: 制限をかけません。

Glacier Select

Glacier Select は、アーカイブデータに対してSQL を実施し、条件にあったデータを抽出する機能です。つまり、Glacier に保存されているデータを直接検索することができ、アーカイブ全体を取得する必要がありません。

特定のデータだけをアーカイブから取り出せる便利な機能なのですが、使用には、対象のアーカイブデータは非圧縮のSCV形式出なければならばならないなどの条件があります。

Glacier Select は、まもなく Amazon Athena と Amazon Redshift Spectrum と統合される予定とのことです。

データの暗号化

Glacier にデータ保存する時は、SSLを使ったデータ転送が行われます。またGlacier に保存されるデータは、標準で暗号化されます。

もし独自の暗号化方式を使用したい場合は、Glacierに保存する前にその暗号化方式で暗号化を行い、そのデータをGlacierに転送します。

データのセキュリティーに関して、AWSの公式サイトでは、以下の様に記載されています。

AWS では、お客様のプライバシーに絶えず注意を払っています。弊社のお客様はデータのセキュリティを重視しています。そのため、弊社にはシステムを 24 時間体制でモニタリングしている世界トップクラスのセキュリティ専門家チームがおり、お客様のコンテンツを保護しています。AWS により、暗号化、移動、保管管理機能を含め、常にデータを保有しているという認識を持って、最も安全なグローバルインフラストラクチャを構築できます。データセンターとリージョンを相互接続する AWS グローバルネットワークを流れるすべてのデータは、安全性が保証された施設を離れる前に物理レイヤーで自動的に暗号化されます。すべての VPC クロスリージョンピアリングトラフィックや、カスタマーまたはサービス間の TLS 接続などといった追加の暗号化レイヤーもあります。AWS Key Management System (KMS) が管理するキーを使用する、あるいは FIPS 140-2 レベル 3 検証済み HSM を使って CloudHSM で独自の暗号化キーを管理することにより、転送中および保存中のデータを簡単に暗号化して、許可されたユーザーのみがアクセスできるようにするツールを提供しています。AWS では、地域および地方のデータプライバシー法や規制を順守していることを示すために必要な管理と可視性も提供しています。グローバルインフラストラクチャの設計により、データが物理的に配置されている地域を完全に制御し、データ常駐要件を満たします。

AWS 公式ウェブサイト

この教材を使って勉強してます。

AWS認定資格試験テキスト AWS認定ソリューションアーキテクト-アソシエイト

AWS認定資格試験テキスト AWS認定 ソリューションアーキテクト-アソシエイト【電子書籍】[ 佐々木 拓郎 ]

価格:2,618円
(2020/9/5 12:30時点)
感想(0件)

AWS認定資格試験テキスト AWS認定 ソリューションアーキテクト-アソシエイト【電子書籍】[ 佐々木 拓郎 ]価格:2,618円
(2020/8/30 16:09時点)
感想(0件)
カテゴリー
2020年 AWS AWS Solutions Architect - Associate クラウド コンピューター 認定資格

AWSを学ぶ(3)ゲートウェイとセキュリティーについて

AWS上に作成される各サブネットには、それぞれ仮想ルータが用意されます。

この仮想ルータでは、ルートテーブルを管理する他に、ネットワークACLを使った通信制御も行います。

また、この仮想ルータは、サブネット内に稼働させられる仮想マシンのデフォルトゲートウェイにもなります。

AWSのルートテーブル

AWSのルートテーブルは、以下の特徴があります。

  • 個々のサブネットに1つずつ設定する
  • 1つのルートテーブルを複数のサブネットで共有はできるが、1つのサブネットに複数のルートテーブルを適用することはできない
  • VPCにはメインルートテーブルがあり、サブネット作成時に指定しない場合は、このVPCのメインルートテーブルが、デフォルトのルートテーブルになる

セキュリティーグループとネットワークACL

セキュリテーグループ

AWS上に稼働させる仮想マシン(インスタンス)自体に適用させる通信制御のルールです。

インスタンスには、必ず1つ以上のセキュリティーグループを適用する必要があります。通信の制御としては、2種類あります。

TCP/UDPなどのプロトコルやアドレス範囲、ポート番号などをルールに使えます。特徴的なのは、セキュリティーグループ自体をルールの中で指定できる(このセキュリティーグループからこのセキュリティーグループへの通信みたいな)ことです。

ステートフルであり、行きの通信を許可すれば、その通信の戻りも許可されます。

インバウンド:外部からVPC内への方向
アウトバウンド:VPN内から外部への方向

ネットワークACL(NACL)

サブネット毎の通信制御を行うルールです。

NACLでは、セキュリティーグループの様に、セキュリティーグループをルールで指定はできません。

またデフォルトでは、全ての通信を許可しています。

ステートレスであり、行きと戻りの通信を明示的に許可しなければ通信ができません。

ゲートウェイ

ゲートウェイは、VPNの内部と外部を通信させる出入り口です。

ゲートウェイは大きく3種類あります。

  1. IGW:インターネットを接続するインターネットゲートウェイ
  2. VGW:VPNやDirect Connectを使ったオンプレとの接続を行う仮想プライベートゲートウェイ
  3. NAT GW:グローバルIPアドレスを持たないインスタンスをインターネットと通信可能にさせるゲートウェイ
  4. 実はその他にもあったりする

GWは各VPCに1つだけ設定されます。

サブネットのルートテーブルで通信をIGWに向ける(一般的には0.0.0.0/0を向ける)と、その通信はインターネットと通信ができる様になります。

第2回で少し出てきたパブリックサブネットとは、これを行っているサブネットのことで、インターネットとの通信が可能となります。プライベートサブネットは、これを行いませんので、インターネットとの通信はできません。

その場合にも何らかの理由でインターネットとの通信が必要となった場合は、NAT GWを使うことになります。

VGWも各VPCに1つだけ設定できます。VPNやDirect Connectでの接続が複数あっても、1台のVGWで複数接続可能です。

さあ、これでサブネットやゲートウェイなどの仕組みが分かってきました。次はいよいよEC2を学んで行きましょう。

この教材を使って勉強してます。

AWS認定資格試験テキスト AWS認定ソリューションアーキテクト-アソシエイト

AWS認定資格試験テキスト AWS認定 ソリューションアーキテクト-アソシエイト【電子書籍】[ 佐々木 拓郎 ]

価格:2,618円
(2020/8/12 12:20時点)
感想(0件)

AWS関連の記事:

関連する記事:

最近の記事:

カテゴリー
2020年 AWS AWS Solutions Architect - Associate クラウド コンピューター 認定資格

AWSを学ぶ(2)VPCを作ってみよう

VPCの作り方

AWSはパブリッククラウドなので、比較的気軽に使えます。実際に手を動かして試してみるのが一番です。

ちなみに、私はAWSコンソールを英語表示で使用しています。日本語表示で使っている場合と少しだけ表示が異なりますが、そこは読み替えてください。

AWSの管理コンソールにログインすると、AWSで利用できるサービスの一覧が表示されます。非常にたくさんのサービスがあります。検索テキストボックスに「VPC」と入力してみると、VPCの名前が見えますので、それをクリックします。

VPCは何も設定をしなくても、AWSが用意してくれています。VPC画面では、自分のアカウント向けに提供されているVPCの一覧が表示されます。

例えば、シドニーリージョンをクリックします。VPC画面が表示され、シドニーリージョンにどのようなVPCが用意されているのかが見られます。

これをそのまま使っても良いのですが、アドレス範囲が自分の設計に合わないなどもあると思います。その場合は、手動でVPCを作成できます。「Create VPC」を押します。

VPC作成画面が表示されるので、「Name tag」にVPCの名前、「IPv4 CIDR block」にVPCで使用可能なアドレスの範囲を入力します。ここでポイントは、VPCで使用可能なサブネットの大きさはなるべく大きくすべきという点です。

なぜ大きくしておくべきなのかですが、サブネット内の最初の4つと最後の1つのIPアドレスはAWSで予約されていて、ユーザーは使うことができません。このたた、例えば28ビットでサブネット作った場合、ビット的には16個のIPアドレスがあるのですが、実際には11個しか使えません。

またAWSのサービスの中にはこの範囲内からのIPアドレスを必要とする物もあります。例えば、ELBと呼ばれるロードバランサーを使用する場合、IPアドレスを8個も使用します。

最大で16ビット、最小で28ビットを指定できますが、実際にサブネットを作成した際にそのサブネットないのアドレスをすべて使用できる訳ではありません。後から拡張する方法もあるのですが、めんどくさいみたいです。基本的には16ビットがお勧めです。

Createボタンを押すと作成できます。正常に作成できたら、Closeボタンを押して、VPC作成画面を閉じます。

VPCができましたね。一番上のものが、今作成したVPCです。

次に、VPCの中にサブネットを作って行きましょう。左側にあるメニューの中に「Subnets」が用意されていますのでクリックします。

AWSが用意しているサブネットがあるのですが、自分の設計で必要なサブネットを作りましょう。「Create subnet」を押します。

サブネット作成画面が表示されます。

「Name tag」にサブネットの名前を入力します。次に、そのサブネットを先ほど作ったVPC内に作成するのですが、VPCのところをクリックすると、今利用可能なVPCの一覧が表示されます。先ほど作成した「test-vpc-01」も見えますね。それを選択します。

次に設定するのがAvailable Zoneです。これって何でしたっけ?

第1回目でもお話しましたが、AZ: Availability Zoneとは、各リージョン内にあるデータセンターです。データセンター全体、が何らかの理由で使えなくなってもサービスを継続できる様に、リージョン内には2つ以上のAZが用意されているんでしたよね。

AWSを使う際のコツですが、VPCを複数のAZにまたがる様に設計することを推奨しています。サブネットを複数作成し、それぞれを別のAZ上に設置する様に指定します。AWSではこれをマルチAZと呼びます。

ここでは、test-subnet-01というサブネットを、ap-southeast-02というAZに作成します。

そして作成するサブネットの範囲を24ビットとします。Createボタンを押して、サブネットを作成します。

正常にサブネットが作成されたことを確認したら、Closeボタンを押して、サブネット作成画面を閉じます。

自分の設計通りのサブネットが作成されましたね。

この作業を繰り返して、自分の設計で必要となる数のサブネットを作って行きましょう。

ちなみに、サブネットには2種類あります。これは機能的に分けたものです。

パブリックサブネット

インターネットとの通信が許可されているサブネットで、もちろんVPC内も通信可能

プライベートサブネット

インターネットとの通信は許可されておらず、VPC内しか通信が許可されていないサブネット

なぜこんな2つのサブネットを使い分ける必要があるのか。EC2を学んで行けば、謎が解けるかも知れません。

この教材を使って勉強してます。

AWS認定資格試験テキスト AWS認定ソリューションアーキテクト-アソシエイト

AWS認定資格試験テキスト AWS認定 ソリューションアーキテクト-アソシエイト【電子書籍】[ 佐々木 拓郎 ]

価格:2,618円
(2020/8/12 12:20時点)
感想(0件)

ASW関連の記事:

関連する記事:

最近の記事:

カテゴリー
2020年 AWS AWS Solutions Architect - Associate クラウド コンピューター 認定資格

AWSを学ぶ(1)VPCを理解しよう

私の仕事柄、パブリッククラウドは使うことが多いので、AWSのことも一応のことは理解しているつもりなのですが、実際に業務で使用するサービスは限られています。ですが、パブリッククラウドには、私が使ったこともない様々なサービスが用意されています。

そこで、AWS認定ソリューションアーキテクトアソシエイトという資格の勉強をしてみようと思いました。今までの独学ではなく基礎からちゃんと学び、今まで使っていなかったAWSの機能についても理解してみようと思ってます。このブログは、その勉強の際の私のメモ書きです。

VPCを理解しよう

AWSを理解する上で、リージョン、VPC、サブネット、Availability Zone (以下AZ) が基礎となります。

リージョンが一番大きな枠です。東京なのか、シンガポールなのか、シドニーなのか(もちろんその他にも多数のリージョンがあります)。リージョンは、データを置いたり仮想サーバーを稼働させる「地理的な場所」になります。

イメージとしては、こんな感じです。

画像に alt 属性が指定されていません。ファイル名: image-7.png

そして、そのリージョンの中にVPCを作成します。

VPC: Virtual Private Cloudとは

ユーザー専用のプライベートなクラウド環境を指します。またはそれを提供するサービス自体を言います。これはサブネットではありません。サブネットは、VPCの中に作成します。VPCはあくまでも、AWS上の特定のリージョン内に持つ、ユーザー専用の空間です。

イメージとしては、こんな感じです。

画像に alt 属性が指定されていません。ファイル名: image-8.png

VPCを作成したら、次にその中にサブネットを作成して行きます。このサブネットが、実際に稼働する仮想マシンにアサインされるIPアドレスの範囲です。1つのVPCの中には、最大で200個までのサブネットが作成可能です。

イメージとしては、こんな感じです。

画像に alt 属性が指定されていません。ファイル名: image-9.png

サブネットですが、AZ: Availability Zoneを指定して作成します。このAZって何でしょうか?

AZというのは、ある地域のある場所にあるデータセンターのことです。AWSは被災などでデータセンター全体が使用不可になることを想定して、1つのリージョンの中に複数のAZを設けています。このAZの集まりをリージョンと呼びます。ちなみに、AWSでは2つ以上のAZがないとリージョンとは呼ばないそうです。

また、AZ同士は高速なネットワークで接続されており、基本的には10ミリ秒以下の遅延で通信ができるそうです。

イメージとしては、こんな感じです。

画像に alt 属性が指定されていません。ファイル名: image-10.png

どうでしょうか。AWSのリージョン、VPC、サブネット、AZのイメージが何となくでも理解できたのではないでしょうか。次は実際に、VPCを作成してみたいと思います。

この教材を使って勉強してます。

AWS認定資格試験テキスト AWS認定ソリューションアーキテクト-アソシエイト

AWS関連の記事:

関連する記事:

最近の記事: