AWS VPCについて | Amazon Web Services Virtual Private Cloud

AWS VPCについて

AWSのVPCの概要と機能について紹介していきます。IPアドレスの初歩的な知識は必要ですが、従来のネットワークの設計より簡単にできますのでぜひ理解していきましょう。

VPCはVirtual Private Cloudの略称で、AWSクラウド内に論理的に分離されたセクションを作り、ユーザーが定義した仮想ネットワークを構築するサービスです。任意のIPアドレス範囲を選択して仮想ネットワークを構築することができます。サブネットの作成、ルートテーブルやネットワークゲートウェイの設定など仮想ネットワーキング環境を完全に制御可能です。また必要に応じてクラウド内外のネットワーク同士を接続することも可能です。

VPCについて設定できることを1つずつ説明すると、まず単一のVPCを構築すると単一AZの範囲に設定できます。その上でより複雑にしていくとVPC自体は複数のAZにまたがることができます。またAZ内で複数設定できるので複数AZに複数のVPCをまたがらせて設定することも可能です。
またサブネットという仕組みを使って組み合わせることでネットワーク空間VPCを分けることができます。サブネットを1つでもいいですし2つ3つと作ることができてVPCの区分けをさらにサブネットですることができます。

VPC設定手順は以下4つの基本ステップで構築することになります。この4つのステップについて順にこれから説明していきます。

①CIDR方式でアドレスレンジを選択

②AZのサブネットを選択

③インターネット経路を選択

④VPCへのトラフィック許可の設定

①CIDR方式(Classless Inter-Domain Routing)

サブネットマスクの値を設定し、同じネットワークとして扱うIPアドレスの個数を調整できるIPアドレスの設定方法です。

VPCはCIDRを16~28の範囲で設定できます。AWS内で推奨されているのは16です。
設定できないアドレスも存在します。ホストアドレスが0はネットワークアドレスで、1はVPCルータ、2はAmazonが提供するDNSサービス、3はAWSで予約されているアドレス、255はブロードキャストアドレスで使用されていますので注意です。

②AZのサブネットを選択

サブネットは大きく分けてパブリックサブネットとプライベートサブネットの2種類あります。パブリックサブネットはトラフィックがインターネットゲートウェイにルーティングされていて、もう一方はされていないという違いがあります。このサブネットをVPC内にパブリックとプライベートを使い分けて複数設定していくのがVPCの設定のやり方です。例えばパブリックサブネット側にはインターネットと接続が必要なリソースを揃えて、インターネットと隔離したいリソースはプライベートサブネット側に揃えてセキュリティを高めるといったことを行います。

③インターネットの経路を設定

ルートテーブルとCIDRアドレスでルーティングを設定していきます。ルートテーブルでパケットの行き先を設定して、VPC作成時にデフォルトで1つルートテーブルを作成。VPC内はCIDRアドレスでルーティング。

④VPCトラフィック設定

セキュリティグループまたはネットワークACLを利用して設定していきます。まずセキュリティグループは、ステートフルで戻りトラフィックの考慮はいりません。サーバー単位で適用され、許可のみをIn/outで指定していきます。デフォルトでは同じセキュリティグループの通信のみ許可できます。必要な通信は許可設定が必要で、全てのルールを適用します。一方ネットワークACLは、こちらはステートレスで戻りトラフィックも許可設定が必要です。サブネット単位で適用され、許可と拒否をIn/outで指定していきます。デフォルトでは全ての送信元IPを許可できます。番号の順番通りに適用されます。

まとめ

最後にVPC設計ポイントを以下にまとめました。これらを考慮して十分なVPCを設計していきましょう。

・設計時には将来的な拡張も見据えたアドレッシングや他のネットワークとの接続性も考慮する。

・CIDRは既存のVPC、社内DCやオフィスと被らないアドレス帯を設定し、組織構成やシステム構成の将来像も考えながら前もって計画する。

・VPC構成は自社業務に合わせたVPC単体ではなくVPC全体の関係性も視野に入れる。

・組織とシステムの境界からVPCをどのように分割するか将来構成も考慮して検討する。

・複数AZを利用して可能性の高いシステムを構築する。

・サブネットは大きいサブネットを使い、パブリック/プライベートサブネットへのリソースの配置をインターネットアクセス可否から検討する。

・セキュリティグループを使ってリソース間のトラフィックを適切に制御する。

・実装や運用を補助するツールも有効利用し、VPC Flow Logsを使ってモニタリングできるようにする。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です