AWSのネットワーク技術、Amazon VPCの概要まとめ

AWSのネットワークに関する技術である、AmazonVPCの概要と使い方をまとめました。

Amazon VPCとは
Amazon VPCはオンプレミス環境でいうところのCiscoのネットワーク機器
Amazon VPCをわかりやすく説明すると
Amazon VPCを使用するメリット
オンプレミスで設計するネットワーク設計・構築の手間をAmazon VPCで削減する
Amazon VPCの使い方

Amazon VPCとは

Amazon VPCは、Amazon Virtual Private Cloudの頭文字です。Amazon EC2で立ち上げたインスタンス（仮想サーバー）のネットワークに関するサービス・技術の設定・管理ができるのがAmazon VPCになります。

【公式】Amazon VPCとは（仮想ネットワーク内での AWS リソースの起動）| AWS

Amazon Virtual Private Cloud (VPC) は、定義した論理的に分離された仮想ネットワークで AWS リソースを起動できるようにするサービスです。

VPCの構成例を図で示すと以下のようになります。

AWS上でどのようにゼロトラストアーキテクチャを考えていくか | Amazon Web Services

2021年7月追記： AWSにおけるゼロトラストに関するアップデートされた情報は、以下をご参照ください。 ht

Amazon VPCはオンプレミス環境でいうところのCiscoのネットワーク機器

Amazon VPCをオンプレミスの環境で例えると、Ciscoのスイッチ（L2）やルータ（L3）に該当する技術です。

Amazon VPCをわかりやすく説明すると

VPCはAWS上に仮想のネットワークを構築できるAWSのサービスです。

図で示すと以下のようになります。

Amazon VPC とは? - Amazon Virtual Private Cloud

Amazon VPC を使用すると、AWS クラウドの論理的に分離されたセクションである仮想ネットワーク内に AWS リソースを起動できます。

Amazon VPCを使用するメリット

Amazon VPCは、AWS内のインスタンスのネットワークを細かく管理・設定できるサービスです。

ITパスポートや基本情報技術者試験などのIT国家資格を提供しているIPAが公開している資料の非機能要件を満たす上でAmazon VPCは重要な役割を果たします。

https://www.ipa.go.jp/archive/digital/iot-en-ci/jyouryuu/hikinou/ps6vr700000077he-att/000066170.pdf

1. 可用性
2. 性能・拡張性
3. 運用・保守性
4. 移行性
5. セキュリティ
6. システム環境・エコロジー

Amazon VPCを使用することで、上記の非機能要件を満たし、セキュリティの担保された、可用性のある、新システムへの移行もしやすく、運用保守体制もとれた、システムを構築・運用できるのがAmazon VPCのメリットです。

オンプレミスで設計するネットワーク設計・構築の手間をAmazon VPCで削減する

サーバーをオンプレミスで構築する際に、合わせてオンプレミスでネットワークの設計・構築も行います。ネットワーク機器の設計・構築を行うには、Cisco機器等に詳しい技術者が必要で、構築した機器を運用保守していくのにもコストがかかります。

Amazon VPCでは、クラウド上で仮想的にネットワークの設計と構築を行うことができます。

Amazon VPCの使い方

まずはAWSのアカウントにログインして、サービスの一覧からVPCを検索します。

Amazon VPCにアクセスすると以下の画像の通り、複数のネットワークに関するサービスを確認できます。

サブネットとは

VPCのサブネットについて詳細を解説します。

VPCのサブネットでは、IPアドレスの範囲を設定できます。

サブネットは、VPC の IP アドレスの範囲です。特定のサブネットには、EC2 インスタンスなどの AWS リソースを作成できます。

VPC のサブネット - Amazon Virtual Private Cloud

サブネットは、VPC の IP アドレスの範囲です。特定のサブネットには、EC2 インスタンスなどの AWS リソースを作成できます。

ルートテーブル

VPCのルートテーブルでは、AWSのルーティングテーブルを設定することができます。

ルートテーブルは、AWSの仮想サーバーの通信経路に関する情報です。

ルートテーブルサーバーは、仮想プライベートクラウド (VPC) のトラフィックコントローラーとして機能します。各ルートテーブルには、ルートと呼ばれる一連のルールが含まれています。ルートは、サブネットまたはゲートウェイからのネットワークトラフィックの経路を決定します。VPC を作成するときは、VPC のメインルートテーブルも作成されます。VPC のネットワークパスをより細かく制御できるように、VPC 用の追加のルートテーブルを作成できます。

ルートテーブルを使用して、VPC が通信できるネットワーク (他の VPC やオンプレミスネットワークなど) を指定できます。各ルートは、送信先 (CIDR ブロックまたはプレフィックスリスト) とターゲット (インターネットゲートウェイ、NAT ゲートウェイ、VPC ピアリング接続、VPN 接続など) を指定します。トラフィックは、送信先 IP アドレスに基づいてターゲットにルーティングされます。ルートテーブルを使用すると、パブリックサブネット、プライベートサブネット、VPN 専用サブネット、隔離されたサブネットを含めた複雑なネットワークアーキテクチャを作成できます。

ルートテーブルを設定する - Amazon Virtual Private Cloud

ルートテーブルを設定して、ネットワークトラフィックの経路をコントロールします。

NATゲートウェイ

NATゲートウェイは、パブリックサブネットと、プライベートサブネットでのIPアドレス変換を行うAWSのサービスです。

NAT ゲートウェイのユースケース - Amazon Virtual Private Cloud

次に、パブリック NAT ゲートウェイおよびプライベート NAT ゲートウェイのユースケースの例を示します。

NAT ゲートウェイは、ネットワークアドレス変換 (NAT) サービスです。NAT ゲートウェイを使用すると、プライベートサブネット内のインスタンスは VPC 外のサービスに接続できますが、外部サービスはそれらのインスタンスとの接続を開始できません。

NAT ゲートウェイ - Amazon Virtual Private Cloud

パブリック VPC サブネットで NAT ゲートウェイを使用して、プライベートサブネットのインスタンスからのアウトバウンドインターネットトラフィックを有効にします。

以下はVPCのNATゲートウェイ作成画面です。

インターネットゲートウェイ

インターネットゲートウェイを使用すると、AWS上のEC2のインスタンスがインターネットに接続できます。

インターネットゲートウェイは、VPC とインターネットとの間の通信を可能にする VPC コンポーネントであり、冗長性と高い可用性を備えており、水平スケーリングが可能です。IPv4 トラフィックおよび IPv6 トラフィックをサポートしています。ネットワークトラフィックに可用性のリスクや帯域幅の制約が発生することはありません。

インターネットゲートウェイを使用すると、リソースにパブリック IPv4 アドレスまたは IPv6 アドレスがある場合、パブリックサブネット内のリソース (EC2 インスタンスなど) がインターネットに接続できるようになります。同様に、インターネット上のリソースはパブリック IPv4 アドレスまたは IPv6 アドレスを使用してサブネット内のリソースへの接続を開始できます。例えば、インターネットゲートウェイを使用すると、ローカルコンピュータを使用して AWS の EC2 インスタンスに接続できます。

インターネットゲートウェイを使用して VPC のインターネットアクセスを有効にする - Amazon Virtual Private Cloud

インターネットゲートウェイをアタッチすることで、VPC からインターネットにアクセスできるようになります。

ネットワークACL

ネットワークACLはネットワークアクセスコントロールリストのことです。通信が可能なルールを設定することでセキュリティを向上させます。

ネットワークアクセスコントロールリスト (ACL) は、サブネットレベルで特定のインバウンドまたはアウトバウンドのトラフィックを許可または拒否します。VPC のデフォルトのネットワーク ACL を使用するか、セキュリティグループと同様のルールを使用して VPC のカスタムネットワーク ACL を作成し、セキュリティの追加レイヤーを VPC に追加できます。

ネットワーク ACL は追加料金なしで使用できます。