学んだこと

Network ACL 適用原理

Network ACLは、通信に制限をかけるサービス。
以下のルールに則って制限を適用する。
1. 番号の若い順に、ACL 制限にマッチするか確認する
2. マッチしたら、制限を適用し、確認を終了する
3. どのルールにもマッチしない通信は deny として処理する

ポイント

SGと違い、全制限を評価するわけではない。
一つでもマッチする制限があればそれを適用し、以降の制限は無視する。
-> 優先度 1 で全許可なんてルールを書くと、以降の拒否に関するルールは一切適用されなくなる

実は色々提供してくれているVPC

DHCPとか、DNSとか、通信に必要なサービスを提供している。

EC2 private DNSを解決できるのは、DHCPオプションセットの設定が要因

DHCPオプションセットでは、 EC2インスタンスに付与したいドメイン名を指定可能。

DNS サーバを指定可能

EC2上に個別DNSサーバを立て、名前解決時にそのEC2を使用するよう設定可能 。
（デフォルトだと、Amazon Provided DNSを使用するよう設定されている）

少しハマった、ルートテーブルの読み方

ルール（仮）

| 送信先 | ターゲット |
| 10.0.0.6/16 | local |

意訳

10.0.0.6/16 宛ての通信は、localへ渡してやれ！

VPC作成時に自動生成されるルートテーブル（メインルートテーブル）はいじらない

ルートテーブルは、他のサブネットでも使用可能。
そのため、メインルートテーブルを編集すると、意図しないサブネットに意図しないルートを自動で割り当てられる恐れがある。
これを防ぐためにメインルートテーブルは極力いじらず、別途ルートテーブルを作成してルールを作成する。

NATは動詞でもあった...?

書籍を読んでいると、以下の表現に遭遇した。

インターネットゲートウェイがパブリックIPアドレスにNATする