Amazon VPC
AWS クラウド内に自分専用の仮想ネットワークを構築できるサービス
何ができるか
Amazon VPC (Virtual Private Cloud) は、AWS クラウド内に論理的に隔離された自分専用のネットワーク空間を作成できるサービスです。IP アドレスの範囲、サブネット、ルーティングテーブル、ネットワークゲートウェイなどを自由に設定でき、オンプレミスのネットワークと同じような構成をクラウド上に再現できます。EC2 インスタンスや RDS データベースなど、ほぼすべての AWS リソースは VPC 内に配置されます。
どのような場面で使うか
EC2 インスタンスやデータベースのネットワーク環境構築、パブリックサブネットとプライベートサブネットによるセキュリティ分離、オンプレミスネットワークとの VPN 接続、マルチ AZ 構成による高可用性ネットワークの設計など、AWS 上のあらゆるリソースのネットワーク基盤として利用されています。 この分野について体系的に学びたい方は、関連書籍 (Amazon) も参考になります。
身近な例え
自社ビルのフロア設計に例えるとわかりやすいでしょう。ビル全体 (VPC) の中に、来客用の受付フロア (パブリックサブネット) と社員専用の執務フロア (プライベートサブネット) を分けて配置します。各フロアへの入退室 (通信) はセキュリティゲート (セキュリティグループ) で管理し、外部との出入口 (インターネットゲートウェイ) も制御できます。
VPC とは
Amazon Virtual Private Cloud (VPC) は、AWS クラウド内に作成する仮想的なネットワーク環境です。AWS アカウントを作成すると、各リージョンにデフォルト VPC が自動的に用意されますが、本番環境では要件に合わせたカスタム VPC を作成するのが一般的です。VPC は他のユーザーのネットワークから完全に隔離されており、自分だけの安全なネットワーク空間として機能します。
サブネットとルーティング
VPC 内にはサブネットと呼ばれる小さなネットワーク区画を作成します。インターネットからアクセス可能なパブリックサブネットと、インターネットから直接アクセスできないプライベートサブネットに分けるのが基本的な設計パターンです。Web サーバーはパブリックサブネットに、データベースはプライベートサブネットに配置することで、セキュリティを確保しつつ必要な通信を実現します。ルートテーブルで通信経路を制御します。
セキュリティ機能
VPC には 2 層のセキュリティ機能があります。セキュリティグループはインスタンスレベルのファイアウォールで、許可する通信のみを定義するホワイトリスト方式です。ネットワーク ACL はサブネットレベルのファイアウォールで、許可と拒否の両方を定義できます。これらを組み合わせることで、きめ細かなアクセス制御が可能です。
はじめかた
VPC を作成するには、VPC コンソールで「VPC の作成」をクリックします。CIDR ブロック (IP アドレスの範囲) を指定し、必要なサブネットを作成します。インターネットゲートウェイをアタッチし、ルートテーブルを設定すれば、基本的なネットワーク環境が完成します。VPC ウィザードを使えば、一般的な構成を数クリックで作成することもできます。
注意点
- CIDR ブロックは作成後に変更できないため、将来の拡張を見据えて十分な IP アドレス範囲を確保すること
- セキュリティグループのルールを緩くしすぎると、意図しない通信が許可されるリスクがあるため、最小権限の原則に従うこと
- NAT ゲートウェイは時間課金とデータ転送量課金が発生するため、コストに注意すること
さらに詳しく知りたい方は、関連書籍 (Amazon) で理解を深められます。