翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Amazon VPC のセットアップと設定
<a name="dataflows.vpc-configuration"></a>

VPC をセットアップするための完全なガイドは、このガイドの範囲外です。詳細については、[「Amazon VPC ユーザーガイド](https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html)」を参照してください。

このセクションでは、Amazon EC2 とデータフローエンドポイントが VPC 内に存在する方法について説明します。 は、特定のデータフローに対して複数の配信ポイントをサポート AWS Ground Station していません。各データフローは 1 つの EC2 レシーバーに終了することが予想されます。単一の EC2 レシーバーを想定しているため、設定はマルチ AZ 冗長ではありません。VPC を使用する完全な例については、「」を参照してください[ミッションプロファイル設定の例](examples.md)。

## AWS Ground Station エージェントによる VPC 設定
<a name="dataflows.vpc-configuration.agent"></a>

 ![\[AWS Ground Station architecture with VPC, private and public subnets, and Amazon EC2 instance.\]](http://docs.aws.amazon.com/ja_jp/ground-station/latest/ug/images/dataflows.vpc-gs-agent.png) 

衛星データは、アンテナに近接する AWS Ground Station エージェントインスタンスに提供されます。 AWS Ground Station エージェントはストライピングし、指定した AWS KMS キーを使用してデータを暗号化します。各ストライプは、AWS Network バックボーン全体のソースアンテナから [ Amazon EC2 Elastic IP (EIP) ](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/elastic-ip-addresses-eip.html) に送信されます。データは、アタッチされた Amazon EC2 Elastic Network Interface (ENI) を介して EC2 インスタンスに到着します。 [Amazon EC2 ](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html) EC2 インスタンスで、インストールされた AWS Ground Station エージェントはデータを復号し、前方エラー修正 (FEC) を実行してドロップされたデータを復元し、セットアップで指定した IP とポートに転送します。

次のリストでは、エージェントの配信用に AWS Ground Station VPC を設定するときに、一意のセットアップに関する考慮事項について説明します。

 **セキュリティグループ** - AWS Ground Station トラフィック専用のセキュリティグループを設定することをお勧めします。このセキュリティグループは、Dataflow Endpoint Group で指定したのと同じポート範囲で UDP 進入トラフィックを許可する必要があります。 は AWS マネージドプレフィックスリスト AWS Ground Station を維持し、アクセス許可を AWS Ground Station IP アドレスのみに制限します。デプロイリージョンの [PrefixListId を置き換える方法の詳細については、「AWS マネージドプレフィックスリスト](https://docs.aws.amazon.com/vpc/latest/userguide/working-with-aws-managed-prefix-lists.html)」を参照してください。 *PrefixListId* 

 **Elastic Network Interface (ENI)** - 上記のセキュリティグループをこの ENI に関連付け、パブリックサブネットに配置する必要があります。

**注記**  
 ENI ごとにアタッチされるセキュリティグループの数のデフォルトのクォータは 5 です。これは最大 16 個の調整可能な制限です。[「Amazon VPC クォータ](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html#vpc-limits-security-groups)」を参照してください。

 次の CloudFormation テンプレートは、このセクションで説明するインフラストラクチャを作成する方法を示しています。

```
ReceiveInstanceEIP:
  Type: AWS::EC2::EIP
  Properties:
    Domain: 'vpc'

InstanceSecurityGroup:
  Type: AWS::EC2::SecurityGroup
  Properties:
    GroupDescription: AWS Ground Station receiver instance security group.
    VpcId:YourVpcId
    SecurityGroupIngress:
      # Add additional items here.
      - IpProtocol: udp
        FromPort: your-port-start-range
        ToPort: your-port-end-range
        PrefixListIds:
          - PrefixListId: com.amazonaws.global.groundstation
        Description: "Allow AWS Ground Station Downlink ingress."

InstanceNetworkInterface:
  Type: AWS::EC2::NetworkInterface
  Properties:
    Description: ENI for AWS Ground Station to connect to.
    GroupSet:
      - !Ref InstanceSecurityGroup
    SubnetId: A Public Subnet

ReceiveInstanceEIPAllocation:
  Type: AWS::EC2::EIPAssociation
  Properties:
    AllocationId:
      Fn::GetAtt: [ ReceiveInstanceEIP, AllocationId ]
    NetworkInterfaceId:
      Ref: InstanceNetworkInterface
```

## データフローエンドポイントを使用した VPC 設定
<a name="dataflows.vpc-configuration.dataflow-endpoint"></a>

 ![\[Diagram showing two VPCs with Amazon EC2 instances running endpoint applications.\]](http://docs.aws.amazon.com/ja_jp/ground-station/latest/ug/images/dataflows.vpc-dataflow-endpoint-application.png) 

衛星データは、アンテナに近接するデータフローエンドポイントアプリケーションインスタンスに提供されます。その後、 が所有する VPC からクロスアカウント [Amazon EC2 Elastic Network Interface (ENI) ](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/using-eni.html)を介してデータが送信されます AWS Ground Station。その後、データは Amazon EC2 インスタンスにアタッチされた ENI を介して Amazon EC2 インスタンスに到着します。インストールされたデータフローエンドポイントアプリケーションは、セットアップで指定した IP とポートに転送します。このフローの逆は、アップリンク接続で発生します。

 次のリストでは、データフローエンドポイント配信用に VPC を設定するときに、固有の設定上の考慮事項について説明します。

**注記**  
 ENI ごとにアタッチされるセキュリティグループの数のデフォルトのクォータは 5 です。これは最大 16 個の調整可能な制限です。[「Amazon VPC クォータ](https://docs.aws.amazon.com/vpc/latest/userguide/amazon-vpc-limits.html#vpc-limits-security-groups)」を参照してください。

 **IAM ロール** - IAM ロールはデータフローエンドポイントの一部であり、図には示されていません。クロスアカウント ENI を作成して AWS Ground Station Amazon EC2 インスタンスにアタッチするために使用される IAM ロール。

 **セキュリティグループ 1** - このセキュリティグループは、アカウントの Amazon EC2 インスタンスに関連付けられる ENI にアタッチされます。*dataflow-endpoint-group*グループで指定されたポートで、セキュリティグループ 2 からの UDP トラフィックを許可する必要があります。

 **Elastic Network Interface (ENI) 1** - セキュリティグループ 1 をこの ENI に関連付け、サブネットに配置する必要があります。

 **サブネット** - アカウント内の Amazon EC2 インスタンスのデータフローごとに少なくとも 1 つの使用可能な IP アドレスがあることを確認する必要があります。サブネットのサイズ設定の詳細については、[「サブネット CIDR ブロック](https://docs.aws.amazon.com/vpc/latest/userguide/subnet-sizing.html)」を参照してください。

 **セキュリティグループ 2** - このセキュリティグループは Dataflow エンドポイントで参照されます。このセキュリティグループは、 AWS Ground Station が アカウントにデータを配置するために使用する ENI にアタッチされます。

 **リージョン** - クロスリージョン接続でサポートされているリージョンの詳細については、「」を参照してください[クロスリージョンデータ配信を使用する](dataflows.cross-region-data-delivery.md)。

 次の CloudFormation テンプレートは、このセクションで説明するインフラストラクチャを作成する方法を示しています。

```
DataflowEndpointSecurityGroup:
  Type: AWS::EC2::SecurityGroup
  Properties:
    GroupDescription: Security Group for AWS Ground Station registration of Dataflow Endpoint Groups
    VpcId: YourVpcId
  
AWSGroundStationSecurityGroupEgress:
  Type: AWS::EC2::SecurityGroupEgress
  Properties:
    GroupId: !Ref: DataflowEndpointSecurityGroup
    IpProtocol: udp
    FromPort: 55555
    ToPort: 55555
    CidrIp: 10.0.0.0/8
    Description: "Allow AWS Ground Station to send UDP traffic on port 55555 to the 10/8 range."

InstanceSecurityGroup:
  Type: AWS::EC2::SecurityGroup
  Properties:
    GroupDescription: AWS Ground Station receiver instance security group.
    VpcId: YourVpcId
    SecurityGroupIngress:
      - IpProtocol: udp
        FromPort: 55555
        ToPort: 55555
        SourceSecurityGroupId: !Ref DataflowEndpointSecurityGroup
        Description: "Allow AWS Ground Station Ingress from DataflowEndpointSecurityGroup"

ReceiverSubnet:
  Type: AWS::EC2::Subnet
  Properties:
    # Ensure your CidrBlock will always have at least one available IP address per dataflow endpoint.
    # See https://docs.aws.amazon.com/vpc/latest/userguide/subnet-sizing.html for subent sizing guidelines.
    CidrBlock: "10.0.0.0/24"
    Tags:
      - Key: "Name"
        Value: "AWS Ground Station - Dataflow endpoint Example Subnet"
      - Key: "Description"
        Value: "Subnet for EC2 instance receiving AWS Ground Station data"
    VpcId: !Ref ReceiverVPC
```