2020年8月1日 / 最終更新日 : 2020年10月25日 AcroEditUser AWS

AWS VPCについての概要 | VPC (Virtual Private Cloud)

AWS VPCについて

VPC(Virtual Private Cloud)の概要について記載します。

VPCとは

AWSが提供している仮想ネットワーク環境を提供するサービスです。

VPCの主な機能

・サブネット:VPC の IP アドレスの範囲を細分化して設定できる。

・ルートテーブル:ネットワークトラフィックの経路を設定できる。

・インターネットゲートウェイ:VPC 内のリソースとインターネット間の通信を可能にする。

・エンドポイント:VPC内から外部のAWSリソースへ直接アクセスを可能にする。

・NATゲートウェイ:プライベートサブネットからインターネット通信を可能にする。

・ネットワークACL:サブネットやネットワークのアクセスを制御する。ステートレスなセキュリティ機能。

・セキュリティグループ:インスタンスレベルでアクセス制御をする。ステートフルなセキュリティ機能。

サブネット

サブネットはIPアドレスの範囲を細分化した物で、VPCネットワークの範囲内で用途などに応じてネットワークの範囲を区分けする際に使用されます。

区分けの方法は、CIDR表記と言う方法でIPアドレスの固定範囲を指定する方式で記載されます。

以下にサブネットについて、IPアドレスの範囲とCIDR表記を説明した上で、VPCでどのように使用されているのか簡単に説明します。

IPアドレス(IPV4)の範囲

IPアドレスは0〜255の数字4つの組み合わせで、表記され、範囲は0.0.0.0〜255.255.255.255で表す事が出来ます。

この範囲を2進数表記にすると、00000000.00000000.00000000.00000000〜11111111.11111111.11111111.11111111です。

一般的にユーザ独自のネットワークとして利用できるネットワークの範囲としてはRFC 1918で規定されており、下記の範囲が利用できます。

・10.0.0.0 〜 10.255.255.255(2進数表記:00001010.00000000.00000000.00000000〜00001010.11111111.11111111.11111111)

・172.16.0.0 〜 172.31.255.255(2進数表記:10110000.00010000.00000000.00000000〜10110000.00011111.11111111.11111111)

・192.168.0.0 〜 192.168.255.255(2進数表記:11000000.10101000.00000000.00000000〜11000000.10101000.11111111.11111111)

CIDR表記

CIDR表記はIPアドレスの後ろに「/16」のような記載をする表記方法で、この値はプレフィックスと呼ばれます。(表記例:192.168.0.0/16)

この数値の範囲は0〜32で指定でき、IPアドレスを2進数表記で表した際の数32個に対応しています。IPアドレスを2進数表記にした際に数値の分だけ左から範囲が固定されていくようなルールです。(0は何も固定しない)上記のRFC1918で規定された範囲をCIDR表記すると以下になります。(固定される値はマーカーで強調)

プレフィックスが8なので、左から8個の数字が固定される

・10.0.0.0/8 (2進数の範囲:00001010.00000000.00000000.00000000〜00001010.11111111.11111111.11111111)

プレフィックスが12なので、左から12個の数字が固定される

・172.16.0.0/12 (2進数の範囲:10110000.00010000.00000000.00000000〜10110000.00011111.11111111.11111111)

プレフィックスが16なので、左から16個の数字が固定される

・192.168.0.0/16(2進数の範囲:11000000.10101000.00000000.00000000〜11000000.10101000.11111111.11111111)

VPCでの設定

一般的に16や24といったプレフィックスを使用する事が多いようです。

(例)

VPC:192.168.0.0/16 …192.168.0.0〜192.168.255.255をVPCの範囲として設定できる。(RFC1918で規定されている範囲。)

サブネット1:192.168.1.0/24…192.168.1.0〜255がサブネット1のネットワークの範囲となる。

サブネット2:192.168.2.0/24…192.168.2.0〜255がサブネット2のネットワークの範囲となる。

上記の例のようにVPCで16などの大きな範囲を設定しておいて、その範囲内でサブネットの区分けを24など小さな範囲で指定します。サブネット1にメインサーバのIPを割り当てて、サブネット2にサブサーバのIPを割り当てるような使い方をされます。

ルートテーブル

ネットワーク内で通信可能な経路のルールを設定しており、サブネット作成時にはVPC内でアクセス可能なルートが設定されます。これにより、VPC内のサブネット同士がアクセス可能です。

インターネットゲートウェイ

インターネットとの通信を可能にする機能で、これをルートテーブルに設定する事で、サブネットからインターネットへの接続が可能です。

インターネット接続可能なサブネットをパブリックサブネット、インターネットへのルートが設定されていない物をプライベートサブネットと呼びます。

NATゲートウェイ

インターネットへルートしていない、プライベートサブネットからインターネットへ接続したい時に、利用されます。

NATゲートウェイ自体はパブリックサブネットに作成し、プライベートサブネットのルートテーブルにNATゲートウェイを追加する事でインターネットへアクセスが可能です。

エンドポイント

Amazonが提供している、VPC外部に作成されたリソースにインターネットを介さずに接続できます。

接続したい外部リソース向けにエンドポイントを作成し、ルートテーブルの設定でインスタンスに関連付ける事で外部のリソースへ接続可能です。

ネットワークACL

サブネットやネットワークに対してのアクセス制御ができます。

アクセスのIN/OUTに対して許可、拒否を設定して制御します。

ステートレスな機能で以前の通信の状態を保持しません。送信に対する応答が条件により拒否されるといった事が起こります。OUTが許可でINが拒否の場合、自分から相手への送信は可能ですが、相手からの応答が拒否されます。逆にINが許可でOUTが拒否の場合は相手からの送信は受け取れるが、自分から相手への応答が拒否されます。

セキュリティグループ

インスタンスに対してのアクセス制御ができます。

アクセスのIN/OUTに対して許可を設定して制御をします。

ステートフルな機能で、以前の通信状態を保持します。許可された通信に対する応答は必ず許可されます。OUTが許可でINが無許可の相手へ送信した場合、相手からの応答は無許可であっても受け取る事ができます。逆にINが許可でOUTが無許可の相手からの送信に対する自分からの応答も無許可であっても相手に届きます。

カテゴリー
AWSVPC

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

AWS

前の記事

AWS Data Exchangeとはどのようなものか
2020年7月31日
AWS

次の記事

機械学習の入門におすすめのAmazon SageMakerとKerasについて
2020年8月2日