CIDRをきちんと分けることで、階層的かつ効率的なIPアドレス設計を行うことができる。
ネットワーク計算してくれるサイトなどを探すことで、効率的に設計を行える。
ネットマスクが/20だと4000くらいのIPアドレス範囲になる。/19だと8100くらいのIPアドレス範囲になる。 /24だと256のIPアドレス 範囲となる。256だけだと、運用していくとすぐに全て使い切ってしまいそうになる気がする。 /20や/19くらいが現状良いと考えてる。根拠を見つけるのはまた今度。
<!-- https://www.softel.co.jp/labs/tools/network/ -->新たにサブネットを作るのが意識してやったことが無かったので、イメージができてなかった。 実際にやってみると、CIDRをきちんと分けること、ルートテーブルに割り当てること、プライベートサブネットならNAT Gateway(or vpce)、パブリックサブネットならInternet Gatewayにつなげることを考えるとうまくいく。
既存のサービスを分離する時には、パブリックサブネットとプライベートサブネットはどちらも分離した方が、 なぜ分離しなかったのかを未来の自分や他のエンジニアが考えなくて済む。
データベースに存在するユーザーはアクセスできる権限が必要最低限にするのがよい。 マスターユーザー(スーパーユーザー)でログインして操作できるように運用していると、 そのアクセス用のパスワードが流出してしまった場合に様々なことを悪意のある人ができてしまうのでなるべくマスターユーザーでアクセスしない。
スナップショットで復元したDBに存在するユーザーはパスワードは変えておいた方が良いと思う。 その際にDBのSGは必要なサービスからのアクセスだけ許可する。