AWSのVPC内ネットワーク構成を理解しよう

こんにちは!今日はAWSのVPC(Virtual Private Cloud)内のネットワーク構成について、できるだけわかりやすく解説していきます。

VPCって何?

VPCは、AWS上に作る「あなた専用の仮想ネットワーク空間」です。自分だけのプライベートなネットワーク環境を、クラウド上に構築できるんですね。

基本的な構成要素

1. VPCとCIDRブロック

まず、VPCを作成する際には、IPアドレスの範囲を決めます。例えば 10.0.0.0/16 のような形で指定すると、10.0.0.0から10.0.255.255までの約65,000個のIPアドレスが使えるようになります。

2. サブネット

VPCの中をさらに小さく区切ったのがサブネットです。用途や配置場所によって分けるのが一般的で、代表的な分け方は次の通りです。

パブリックサブネットは、インターネットから直接アクセスできるサブネットで、Webサーバーなど外部公開するリソースを配置します。プライベートサブネットは、インターネットから直接アクセスできないサブネットで、データベースや内部システムなど、外部に公開したくないリソースを配置します。

各サブネットは特定のアベイラビリティーゾーンに配置されるため、複数のAZにサブネットを分散させることで高可用性を実現できます。

3. インターネットゲートウェイ(IGW)

VPCとインターネットを繋ぐ出入口です。パブリックサブネットからインターネットに出ていくには、このIGWが必要になります。

4. NATゲートウェイ

プライベートサブネット内のリソースがインターネットにアクセスしたい場合に使います。外部からの直接アクセスは受け付けませんが、内部からの外向きの通信は許可するという、一方通行の仕組みです。ソフトウェアのアップデートなどで重宝します。

5. ルートテーブル

「どの通信をどこに送るか」を定義する道路標識のようなものです。各サブネットにはルートテーブルが関連付けられていて、パブリックサブネットのルートテーブルには「インターネット向けの通信はIGWへ」、プライベートサブネットのルートテーブルには「インターネット向けの通信はNATゲートウェイへ」といったルールが設定されます。

6. セキュリティグループ

EC2インスタンスなどのリソースに設定する仮想ファイアウォールです。どのIPアドレスやポートからのアクセスを許可するかを細かく制御できます。ステートフルなので、許可した通信の戻りは自動的に許可されます。

7. ネットワークACL

サブネット単位で設定するファイアウォールです。セキュリティグループとは違ってステートレスなので、インバウンドとアウトバウンドの両方を明示的に設定する必要があります。

典型的な構成例

よくある3層アーキテクチャの場合、以下のような構成になります。

公開層: パブリックサブネットにロードバランサーを配置

アプリケーション層: プライベートサブネットにWebサーバー・アプリケーションサーバーを配置

データ層: プライベートサブネットにデータベースを配置

これを複数のアベイラビリティーゾーンに展開することで、障害に強いシステムが作れます。

まとめ

VPCのネットワーク構成は、最初は複雑に感じるかもしれませんが、各コンポーネントの役割を理解すれば、柔軟で安全なネットワーク環境を構築できます。セキュリティとパフォーマンスのバランスを考えながら、用途に応じた最適な構成を選んでいきましょう!