仮想化技術を駆使して、サーバリソースをオンデマンドに、かつ柔軟に提供するサービス

自社で調達したハードウェアを用いて、共同で利用・運営するデータセンターなどにITシステム環境を構成すること

従来は１つの物理サーバ上で１つのOSを実行していたところ、「ハイパーバイザ」と呼ばれるソフトウェアを使って、仮想的に複数のOSを実行する技術

サーバーの仮想化を実現するソフトウェア

Virtual Local Area Network」の略で、「仮想LAN」「バーチャルLAN」とも呼ばれます。コンピュータネットワークにおいて、物理的な接続形態とは別に仮想的（バーチャル）なLANセグメント（個々のネットワーク環境のこと）を作る技術のことをいいます。平たくいうと、1つのLANを、仮想的に複数のLANに分けたり、複数に分かれたLANを1つのLANに見せたりすることです。これは、社内ネットワーク構築の際によく使われる。

ネットワークを構成するハードウェアを1つの制御装置（コントローラー）で集中管理し、スイッチによって動作の制御ができる

ソフトウェアによって物理的なネットワークを統合し、一元管理を行う技術のコンセプト

主にインターネット経由で提供されるクラウドコンピューティングサービス。IaaS,PaaS,SaaSに分類できる。

Infrastructure as a service。主にサーバーリソースを提供する。

Platform as a Service。サーバーリソースに加えて、アプリケーションの土台となるミドルウェア（複数をまとめてプラットフォーム）もサービスとして提供する。

Software as a Service。使用するアプリケーションをサービスとして提供する。

企業が、仮想化技術を使用して、パブリッククラウドと同等の機能を持つ環境を自社内に構築・設置し、イントラネットなどを経由してユーザー部門が利用する形態。パブリッククラウドと比較して、投資や運用管理が必要な反面、セキュリティや資産保護を強化できる。

パブリッククラウドとプライベートクラウドを組み合わせた形態。業務、データ、セキュリティなどの要件に応じた使い分けや連携が可能

メリット ・短期間にITシステム環境を構築可能 ・システム構築後にも動的にリソースを変更できる ・クラウドベンダの提供する環境は災害対策・障害対策などが組み込まれているため、非機能要件への対応コストを減らせる ・マネージドサービスを使うと、ミドルウェアのライセンスコストを削減でき、また最先端技術を用いたデータ処理などを行える

クラウドサービスを構築する環境・場所を選ぶための基本的な単位。データセンターの集まり。

多数のサーバからなる１つ以上のデータセンターで構成される。アベイラビリティゾーン間は複数の冗長化されたネットワークで接続されている。データセンターの物理的なロケーションは、相互の通信遅延が2ms未満となるよう、100km以内で立地してある。アベイラビリティゾーンから他のリージョンや企業のオンプレミス環境、インターネットへの接続は、トランジットを経由して行われる。

CloudFrontなどのコンテンツ配信ネットワーク（CDN:ContentDeliveryNetwork）サービスを利用した際に、物理的な場所に応じて、最も速く接続可能なデータセンターに配置されたサーバにアクセスされるように構成されたデータセンタ

AWSのSLAの範疇を超えたものはユーザー側が責任を持って構築・対応する必要があるということ

AWS内に仮想ネットワークを構築できる サービス。ネットワークを論理的に細分化したセグメント。リージョン単位で作成でき、CIDR表記でネットワーク構築可能。VPC内ではセグメントに相当するサブネットを定義し、柔軟にネットワークを構成できる。

・VPCは複数のAZをまたいで構築できるが、サブネットは各AZごとに作成する必要がある ・VPC内のアドレスは/16または/28の間で使用できる。ただし、各サブネットの最初の4アドレス、最後の1アドレスは予約されているため使用できない。 使用できないアドレス↓ ・XXX.XXX.XXX.0‥ネットワークそのものを指し示すアドレス（ネットワークアドレス） ・XXX.XXX.XXX.1‥AWSによって管理されるVPCルーターに割り当てられるIPアドレス ・XXX.XXX.XXX.2‥VPC内のサーバーなどが利用する、AWSが管理するDNSサーバーに割り当てられるIPアドレス ・XXX.XXX.XXX.3‥AWSが予備的に確保 ・XXX.XXX.XXX.255‥ネットワークブロードキャストアドレスとしてAWSが確保（ただし、ブロードキャストはサポート外） ・VPCに割り当てるCIDRを拡張できる ・サブネットにはインターネットに接続できるパブリックサブネットとできないプライベートサブネットがある ・複数のアカウントでVPC、およびその中のリソースを共有できるVPCsharingをオプションとして選択できる

VPCとインターネットの通信用途で設置されるもの。内部が冗長化されており、AZ障害時も異なるAZで稼働できる。また、通信量によって自動でスケールアウトする。

プライベートサブネット内でインターネットへの通信を行いたい場合に、パブリックサブネットへ設置する中継用ゲートウェイ。インターネットからの接続はできない。

VPCとオンプレミス環境を接続するためにAWS内に作成するネットワークゲートウェイ。インターネットゲートウェイと同様、冗長化構成。専用線のDirectConnectとインターネット回線ベースのVPN接続がある。

AWSとのVPN接続においてオンプレミス側に配置するゲートウェイ。オンプレミス環境で動的ルーティングを利用するなら、BGPでピア接続。静的ルーティングを利用するなら、通信ができるネットワーク機器と固定のIPアドレスが必要。

独立した２つのVPCを接続し、プライベートアドレスを使って相互に通信する。自動で冗長化構成。同じリージョンの別アカウントのVPCとも接続可能。接続先VPCが別途接続しているネットワークとは接続できない。

リージョンをまたいで別のVPCと通信したい場合は、一部のリージョン同士でVPC間の相互接続が可能になる

VPCの中からAWSのマネージドサービスにアクセスするためのサービス。リージョンサービスはVPCの外にあるため、インターネットを経由せずにアクセスするにはVPCエンドポイントが必要。 ゲートウェイ型↓ ルートテーブルへの設定が必要なエンドポイント。S3とDynamodbがこのタイプで提供。 インターフェース型↓ AWS PrivateLinkを利用したインターフェース型のエンドポイント。VPCエンドポイントを使用したいリソースがあるサブネットに直接アタッチし、許可する接続をセキュリティグループを使って制御する。

VPC間の接続やオンプレミスとの接続を一元的に管理できる。オンプレミスとの接続では、AWSのデフォルトの上限設定を超えて多くの接続先を構築できる。仮想プライベートゲートウェイを構築する必要はない。クロスアカウントアクセスも利用できる。

指定されたCIDR表記のアドレスで通信をルーティングするルールセット。VPCを作成すると、同時にメインルートテーブルが作成される。VPC内の各サブネットは何かしらのルートテーブルに関連づけられる必要がある。関連づけられていない場合、メインルートテーブルに暗黙的に関連づけられる。１つのサブネットに複数のルートテーブルを関連づけることはできないが、複数のサブネットを１つのルートテーブルに関連づけることはできる。

アクセス許可するソースやプロトコル、ポートのルール定義を作成し、AWSリソースに関連づけることで、ファイアウォールとして動作する。送受信を制御可能、リソースをグループ化し、共通のセキュリティグループを関連づけられる。ステートフル。

サブネットに関連づけられ、送受信の両方をサブネットレベルで制御できる。セキュリティグループとは異なり、ステートレス。拒否設定も可能。

VPCのIPトラフィック情報（送受信元のIPアドレスやデータ通信量）をキャプチャする機能。CloudWatchLogsやS3に保存でき、VPCやサブネット、実際のトラフィックをルーティングするENI単位で収集する。

１つのリージョンで作成できるVPC‥5 1つのVPCで作成できるサブネット数‥200 取得可能なElasticIPの数‥5 ルートテーブルに設定可能なルート数‥100 VPCで作成可能なセキュリティグループの数‥500 １つのセキュリティグループに設定できるルール数‥50 ネットワークインターフェースに付与可能なセキュリティグループ‥5 １つのVPCで利用できるVPCピアリング‥125 １つのVPCで利用できるVPN接続数‥10

VPC・サブネットの構築・稼働‥無料 VPCへのデータ通信でインバウンド接続‥無料 VPCからのデータ通信でアウトバウンド接続‥データ転送料に応じた従量課金 VPCピアリング接続‥データ転送量に応じた従量課金。異なるリージョン間データ転送料に応じた従量課金。 インターネットゲートウェイ‥無料 NATゲートウェイ‥NATゲートウェイの利用時間の料金 仮想プライベートゲートウェイ‥AWSVPNを用いる場合はその料金体系に準ずるAWSDirectConnectを用いる場合はその料金体系に準ずる　 VPCエンドポイント‥PrivateLink利用時間の料金 トランジットゲートウェイ‥アタッチメントごとの料金。データ転送量に応じた従量課金。

権威DNSサーバ（ゾーンの情報を保持し、各システム/サーバーからの問い合わせに応じて管理するゾーンの情報を返却するサーバー）としての役割を持っている。

ユーザーがドメインごとにDNSレコードを管理するし、AWS内のリソースとドメイン名の紐付けを行うコンテナ。 インターネットでどのようにトラフィックをルーティングするかを指定するパブリックホストゾーンと、VPC内でのルーティングを指定するプライベートホストゾーンがある。

名前解決を行う際にクライアントとシステムの距離や、クライアントの位置に応じて最も高速なレスポンスを返せるよう、応答の挙動を制御する方式

ドメインに紐づいたアドレスにルーティングを行う

クライアントのIPアドレスから位置情報を特定し、ルーティングを行う。コンテンツの配信の範囲を限定したり、位置によってコンテンツの言語を変更するなど。

ヘルスチェックを組み合わせることで、システムがダウンしたときに自動的にフェイルオーバーを行い、事前に構築した待機系のシステムに切り替える

ユーザーとシステムの物理的な距離に基づいて、ルーティングを行う

クライアントにとってもっともレイテンシーが低くなるように、ルーティングを行う

１つのドメインで複数のDNSレコードを作成できる

ユーザーによって定義された割合に基づき、複数のリソースにトラフィックをルーティングする

管理するIPアドレスを持つリソースが正しく動作しているかどうかを管理する機能

VPC内で標準に備わっているDNSサーバ。オンプレミスやVPC内からのリソースの名前解決要求に応じて、パブリックホストゾーンやプライベートホストゾーンへフォワードする。VPC内で「XXX.XXX.XXX.2」のアドレスが割り当てられているDNSサーバー。オンプレミスからの名前解決要求はインバウンドエンドポイントを、VPCからオンプレミスへの名前解決要求はアウトバウンドエンドポイントを通じてアクセスされる。

ドメイン名とIPアドレスの紐付けでユーザーはドメイン名でアクセス可能になる。ドメイン名はドメイン取得業者から購入できるが、Route53でも購入できる。

・ホステットゾーン‥各ホストゾーン単位の月額の従量課金。DNSクエリ数に応じた従量課金。 ・ヘルスチェック‥ヘルスチェックごとに月額の従量課金。DNSフェイルオーバーは無料。 ・Route53Resolver…エンドポイントとなるENIごとの時間単位の従量課金 ・ドメイン名‥トップレベルドメインの種類に応じた年単位の従量課金

完全マネージドな仮想ロードバランシングサービス。アプリケーションロードバランサー（ALB）、クラシックロードバランサー（CLB）、ネットワークロードバランサー（NLB）の総称。あるwebサービスが複数のwebサーバやアプリケーションサーバで構成されている場合に、リクエスト要求の負荷を分散させる。VPC内に仮想的に配置。内部的に冗長化される。複数のアベイラビリティゾーンをまたいだ構築が可能。

ロードバランシング先となるターゲットに対してリクエストを送信して死活監視を行い、正常実行されているターゲットにルーティングする

CloudWatchを利用して正常/異常リクエストの記録・モニタリングする

SSL/TLSを使った暗号化/復号を実行する

ロードバランサーを終了する際に、残ったリクエスト処理のために猶予時間を設けて終了する

同じクライアントからリクエストを常に固定したターゲット（特定のEC2インスタンス）に振り分ける

プッシュ通信などの双方向通信を実現するWebSocketsをサポート

リバースプロキシ型のロードバランシングサービス。OSI7層モデルの第7層（アプリケーション層）レベルでルーティングが可能。リスナーと呼ばれるコンポーネントを作成し、使用するプロトコルとポートを設定して、ルーティングルールを設定する。URLのパス単位で、ターゲットグループ（アベイラビリティゾーンをまたいでインスタンスやコンテナをまとめた仮想的なグループ）を振り分け指定可能。 AWSCognitoやOIDCIDプロバイダと連携するユーザ認証をサポートする。認証が成功したリクエストは、ALBによりアクセストークンやIDトークン、ユーザクレイム（ユーザ情報）がHTTPヘッダに付与されたリクエストが転送される。こうしたトークンを使用して、リクエストが転送されたアプリケーション側で、IDプロバイダを通じた認可制御などに利用することができる。

リクエストURLのパスパターンに応じたルーティング

HTTPヘッダのhostフィールド（URLのドメイン）に基づいたルーティング

HTTPヘッダの値に応じたルーティング

HTTPメソッドに応じたルーティング

HTTPリクエストのクエリパラメータの値に応じたルーティング

リクエスト元のソースIPアドレスCIDRに応じたルーティング

OSI7層モデルでの第4層での負荷分散用途で使用されるL4ロードバランサー。ALBのようにロードバランサー内でTCPコネクションを一度終端する必要がなく、IPアドレスとポートを元に振り分けるため、より低負荷で負荷分散可能。リスナーやロードバランスされる対象をターゲットグループとして設定する。ターゲットグループ側には送信元のIPアドレスがクライアントのままで届くことになる。NLBそのものにはセキュリティグループを設定できないため、ターゲットグループのアクセス元の制御のセキュリティグループにNLB（正確に言えばNLBに適用するセキュリティグループ）を指定できない。

単一・複数のアベイラビリティゾーン構成が選択でき、毎秒数百万のリクエストを低レイテンシで処理できる

NAT変換型L4ロードバランサー同様、通信はロードバランサーをすべて経由するが、クライアントのIPとポートが保持され、DSR（DirectServerReturn）型L4ロードバランサーのように直接クライアントと通信しているかのように振る舞う

NLB作成時に割り当てられたIPアドレスが、ElasticIPアドレスのいずれかを設定し、その後固定となる。オンプレミスネットワークのファイアウォールの制約でIPアドレスの固定が必要なユースケースなどでの使用が想定されている

ALBやCLBでは、通常のスケーリングで間に合わない急激なトラフィックアクセスの増加が見込まれる場合、事前に暖機運転申請を行い、ロードバランサーをスケールアウトさせておく必要があるが、NLBは必要ない。固定のIPアドレスが維持されたままで動的にスケールされる。

PrivateLinkを使用してAWSネットワーク内でNLBをサービスエンドポイントにして公開できる。異なるVPCのwebサービスをインターネットを経由せずアクセスしたい場合に使用されることを想定している。

L4およびL7双方のロードバランサー機能を提供。L7としての利用ではALBのような詳細なルーティングの設定はできない。ALBとNLB登場以降はそれらのほうが低コストかつ機能も代替可能なため、古くから使用しているEC2-Classicを使用しなければならない場合以外はALBとNLBを使用すべき。

ALB‥ALBを起動した時間単位の従量課金 以下のLCU（Load BalancerCapacityUnit）に時間を乗じた従量課金 ・新規接続数 ・アクティブな接続数 ・利用しているネットワーク帯域　　 ・ルーティングルールの1秒あたりの評価数　 NLB‥NLBを起動した時間単位の従量課金 以下のLCU（Load BalancerCapacityUnit）に時間を乗じた従量課金 ・新規接続およびフロー数 ・アクティブな接続およびフロー数 ・ロードバランサーによって処理されたバイトサイズ CLB‥CLBを起動した時間単位の従量課金 データ量に応じた従量課金