AmazonVPC(Amazon Virtual Private Cloud)はじめの一歩!

はじめに

AWS(Amazon Web Service)には様々なサービスがありますが、VPCは基本的なAWSのサービスで、避けては通れない知識になります。オンプレミスからクラウド運用化が進んでいる昨今ではよく耳にする用語かもしれません。
そんなVPCとはどういったサービスなのか、基本的な概念とよく使われる用語をお伝えしていきます。

AmazonVPCとは

AmazonVPC、またはVPC(Amazon Virtual Private Cloud)とは、会員専用の仮想ネットワーク空間のことです。
他のVPC仮想ネットワークから論理的に切り離されており、EC2インスタンス等AWSサービスをVPC内に起動するのが一般的なユーズケースです。
またネットワークに接続できる領域や接続しない領域を設定することも可能な為、よりセキュアなクラウド運用ができます。

流れでわかるVPC設定に使う基本的なAWSの用語

リージョン、AZ(アベイラビリティゾーン)

AWSは世界中に物理サーバ、データセンター群を持っています。その地域ひとつひとつをリージョンと呼び、リージョンを更に細かく区分したデータセンター群をAZ(アベイラビリティゾーン)といいます。VPCはいずれかの地域のリージョン内を選択して作成します。日本なら東京リージョンが一般的です。リージョン内に作成したVPC、その中の任意のAZ内にサブネットを作成します。

サブネット

冒頭で少しお話した通り、VPCにはインターネット接続の可否を設定することができ、その可否の領域を分けるには、サブネットと呼ばれる仕組みを利用します。VPCとサブネットにはIPv4のアドレス範囲をCIDR形式で指定することで割り当てることができ、それをCIDRブロックと呼びます。CIDRブロックの範囲は/16〜/28(10.0.0/16等)ですが、サブネットはVPCのブロック範囲より小さくする必要があります。一度範囲を定めてしまうと変更ができない為、大きめに作成したほうが良いです。インターネットに接続できる領域をパブリックサブネット、できない領域をプライベートサブネットと呼び、一つのVPC内にサブネットを分けることによって強固なセキュリティでクラウド運用が可能です。また、複数のAZに同一の役割をもつサブネットを作ることにより、冗長構成も作ることができます。

インターネットゲートウェイ

この時点ではまだパブリックサブネットはインターネット接続はできませんので、VPCにインターネットゲートウェイを設定する必要があります。一つのVPC内にサブネットを2つ作り、片方にインターネットゲートウェイとルートテーブルを関連付けすると、ネットワークに接続可能なパブリックサブネットが作成されます。

ルートテーブル

ルートテーブルとはパケットの送信先を確認して、通信をどこに流すかを定めたルールのことです。ルールなので一つのサブネットに一つしか関連付けできません。逆に複数のサブネットに同一のルートテーブルを関連付することは可能です。デフォルトゲートウェイとは「0.0.0.0」のすべての通信を表しており、もともとAWS側で用意されてます。

セキュリティグループとネットワークACL

AWSの仮想ファイアウォール機能には2パターンあります。
まずセキュリティグループですが、EC2等のインスタンスに機能します。プロトコル、ポート範囲、送信元/送信先IPアドレスによるパケットフィルターが可能です。設定は基本的に拒否になっているので、許可したい項目のみ許可設定にします。
なのでセキュリティグループに何も設定しなければ、何も通さないということになります。ネットワークACLですが、こちらはアクセス制御のことをいい、サブネットに機能します。セキュリティグループと違う点は拒否設定が可能であり、通信の復路も検査しています。

NATゲートウェイ

プライベートサブネットをインターネットに接続したい場合、NATゲートウェイを利用します。NATゲートウェイはパブリックサブネットに配置することにより、そこを通じてインターネットに接続できるようになります。

エンドポイント

VPC内のEC2から、S3やDBなどのAWSサービスにプライベート接続するときに活用します。インターネットゲートウェイやNATゲートウェイを利用せずに接続可能なので、プライベートサブネットに設置したEC2はネットワークを通さずに、エンドポイントを通り、DBにアクセスすることができる機能です。

VPN接続とDirect Connect接続

企業がクラウドを利用する場合、暗号化された安全な通信回路を利用して設定したクラウドに接続したい場合は多々あります。それを可能にするのかVPN、Direct Connect接続の2パターンです。

VPN接続(Virtual Private Network)とは仮想専用線といい、既存のインターネット回線を利用し、インターネット通信の暗号化を用いて接続する方法です。回線混雑時が影響を受けてしまいやすいですが、非常に手軽というメリットもあります。
Direct Connect接続はAWSとの間に専用の線を用いて接続する方法です。VPNとは違い、他の影響を受けにくい為、安定した通信をすることができます。ネットワークを介さないのでセキュリティの観点からも有効です。専用線を用いる為コストがかかってしまいますが、オンプレミスとの連携が必要な場合はこちらの方が有効な手段として利用されています。

まとめ

ここまで読んで頂き、ありがとうございます。
VPCの概念や用語がなんとなく分かってきたでしょうか。しかし実際に触れないと分からないところは多いと思います。AWSには12ヶ月間の無料期間が設けられていますので、この機会にAWSに触れてみるのもおすすめです。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です