ネットワーキング

Amazon VPC のネットワーク設計 - サブネット構成と NAT Gateway の最適化

パブリック/プライベートサブネットの分離設計、セキュリティグループの層別管理、Gateway VPC エンドポイントによる NAT Gateway コスト削減を紹介します。

約 2 分で読めます

VPC の概要

VPC は AWS 上に論理的に分離された仮想ネットワークを構築するサービスです。CIDR ブロックで IP アドレス範囲を定義し、サブネット、ルートテーブル、セキュリティグループ、ネットワーク ACL でネットワークを制御します。パブリックサブネットとプライベートサブネットの分離で、インターネットに公開するリソースと内部リソースのセキュリティ境界を確立します。

サブネット設計と NAT Gateway

パブリックサブネットはインターネットゲートウェイへのルートを持ち、ALB や NAT Gateway を配置します。プライベートサブネットはインターネットへの直接ルートを持たず、EC2RDSLambda を配置します。NAT Gateway はプライベートサブネットからのアウトバウンド通信 (パッケージ更新、API 呼び出し) を提供しますが、時間課金とデータ処理課金が発生します。S3 や DynamoDB へのアクセスは VPC エンドポイント (ゲートウェイ型、無料) を使用し、NAT Gateway を経由しないことでコストを削減します。VPC Flow Logs は ENI レベルのトラフィックを CloudWatch Logs や S3 に記録し、不正アクセスの検出や通信障害の調査に使用します。

セキュリティグループと NACL の設計

セキュリティグループはステートフルなインスタンスレベルのファイアウォールで、許可ルールのみを定義します。アプリケーション層 (ALB)、ビジネスロジック層 (EC2/ECS)、データ層 (RDS) ごとにセキュリティグループを分離し、層間の通信をセキュリティグループ ID で参照する設計が推奨されます。ネットワーク ACL はステートレスなサブネットレベルのファイアウォールで、許可と拒否の両方を定義できます。特定の IP レンジからのアクセスを明示的にブロックする場合や、サブネット単位での粗い制御に使用します。 VPC Flow Logs を有効にして、セキュリティグループと NACL で拒否されたトラフィックを分析し、ルールの過不足を定期的に見直します。 ネットワーク設計の知見を広げたい場合はAmazon の専門書も活用できます。

NAT Gateway のコスト最適化

NAT Gateway はデータ処理料金 (1 GB あたり約 0.062 ドル) と時間課金 (約 0.062 ドル/時) が発生し、大量のアウトバウンド通信がある環境ではコストが急増します。S3 と DynamoDB への通信は Gateway VPC エンドポイント (無料) を設定して NAT Gateway を経由させないことが最も効果的な削減策です。ECR、CloudWatch Logs、STS など頻繁にアクセスする AWS サービスにはインターフェース VPC エンドポイントを設定し、NAT Gateway のデータ処理量を削減します。マルチ AZ 構成で各 AZ に NAT Gateway を配置する場合、AZ 間のデータ転送料金は発生しませんが、NAT Gateway の時間課金が AZ 数分になります。Cost Explorer で NAT Gateway のコストを月次追跡し、VPC エンドポイントの追加による削減効果を定量的に評価します。

まとめ

VPC はサブネット分離、セキュリティグループ、ネットワーク ACL でネットワークセキュリティを多層的に確保するサービスです。アプリケーション層、ビジネスロジック層、データ層ごとにセキュリティグループを分離し、VPC Flow Logs でトラフィックを分析します。Gateway VPC エンドポイントで S3/DynamoDB への無料プライベート接続を確立し、NAT Gateway のデータ処理コストを最適化します。

関連するサービス

Amazon VPCAWS 上に論理的に分離された仮想ネットワークを構築するサービスAmazon EC2クラウド上で仮想サーバーを提供するコンピュートサービスAWS PrivateLinkVPC からインターネットを経由せずに AWS サービスやサードパーティサービスにプライベート接続するサービス

関連する記事

AWS Transit Gateway で構築するハブ&スポークネットワーク - マルチ VPC 接続の設計ハブ&スポーク型で複数 VPC とオンプレミスを集約し、ルートテーブル分離でセキュリティ境界を確立する。ピアリングによるマルチリージョン接続も紹介します。AWS PrivateLink でプライベート接続を実現 - VPC エンドポイントとエンドポイントサービスインターネットを経由せず AWS サービスにプライベート接続する。Gateway エンドポイントの無料活用とエンドポイントサービスの構築を紹介します。専用線接続の設計 - Direct Connect による安定した閉域網接続の実現AWS Direct Connect を活用した専用線接続の設計手法を解説し、専用接続とホスト接続の選択、冗長構成、VPC との統合による安定した閉域網接続の実現方法を紹介します。

同じテーマの記事

AWS App Mesh で構築するサービスメッシュ - マイクロサービス間通信の制御と可観測性Envoy サイドカーによるカナリアデプロイ、リトライポリシー、mTLS 暗号化を宣言的に設定し、X-Ray 統合でサービス間の依存関係を可視化する手法を紹介します。AWS Cloud Map でサービスディスカバリを実現 - マイクロサービス間の動的な名前解決DNS ベースと API ベースの 2 方式でマイクロサービスのエンドポイントを動的に検出する。ECS・EKS との統合でサービスの登録・解除を自動化する手法を紹介します。CloudFront の 600 超 PoP はどう動いているのか - Anycast ルーティングとキャッシュ階層の仕組みCloudFront がユーザーのリクエストを最寄りの PoP にルーティングする Anycast の仕組み、エッジロケーションとリージョナルエッジキャッシュの 2 層構造、キャッシュヒット率を左右する設計要因を解説します。専用線接続の設計 - Direct Connect による安定した閉域網接続の実現AWS Direct Connect を活用した専用線接続の設計手法を解説し、専用接続とホスト接続の選択、冗長構成、VPC との統合による安定した閉域網接続の実現方法を紹介します。AWS Direct Connect で構築する専用線接続 - 冗長構成とトラフィック制御専用線接続の冗長構成を設計し、Direct Connect Gateway で複数リージョンの VPC に接続する。LAG による帯域集約と MACsec 暗号化も紹介します。Elastic IP アドレスの管理と設計 - 静的 IP の活用とコスト最適化Elastic IP の割り当て、EC2 との関連付け、未使用 EIP のコスト影響、代替手段の検討を解説します。ELB の 3 種類はなぜ 3 種類あるのか - ALB・NLB・CLB が分かれた設計判断の裏側ALB、NLB、CLB (Classic) の 3 種類のロードバランサーがなぜ統合されずに併存しているのかを、OSI 参照モデルのレイヤー、パフォーマンス特性、歴史的経緯から解説します。AWS Global Accelerator によるグローバルネットワーク最適化 - 低レイテンシ配信とフェイルオーバーAnycast IP で AWS グローバルネットワークにトラフィックを誘導し、エンドポイントグループの設計とヘルスチェックによるフェイルオーバーを実現する手法を紹介します。

内容が近い記事・サービス

Amazon VPCAWS クラウド内に論理的に隔離された仮想ネットワークを構築し、IP アドレス範囲やルーティング、セキュリティを完全に制御できるサービスNAT Gateway の料金が高い本当の理由 - データ処理料金の仕組みと回避策NAT Gateway の時間料金とデータ処理料金が高額になるメカニズムを分解し、VPC エンドポイント、NAT インスタンス、IPv6 への移行など、コストを削減する実践的な回避策を解説します。AWS PrivateLink でプライベート接続を実現 - VPC エンドポイントとエンドポイントサービスインターネットを経由せず AWS サービスにプライベート接続する。Gateway エンドポイントの無料活用とエンドポイントサービスの構築を紹介します。AWS PrivateLinkVPC 内からインターネットを経由せずに AWS サービスやサードパーティサービスにプライベート接続するネットワーク機能