Amazon VPCの基本 - サブネット・ゲートウェイ・接続方式を理解する
どうも、Shinyaです。この記事では、AWSのネットワークの基盤となるAmazon VPC(Virtual Private Cloud)について解説します。VPCの基本概念であるサブネット、ゲートウェイの種類、そしてVPCへの接続方式(インターネットゲートウェイ、VPN、Direct Connect)について整理します。
- AWSのネットワーク構成を理解したい人
- VPCのサブネット設計について学びたい人
- VPN接続やDirect Connectの違いを知りたい人
- AWSでセキュアなネットワーク環境を構築したい人
Amazon VPCとは
Amazon VPC(Virtual Private Cloud)は、AWSクラウド内に論理的に分離された仮想ネットワークをプロビジョニングするサービスです。VPC内で定義したネットワーク空間にAWSリソースを配置し、外部との通信を制御できます。
VPCはAWSクラウドにおける自分専用のネットワーク空間であり、外部との境界線として機能します。VPC内のリソースには、自分で定義したゲートウェイを通じてのみアクセスが可能です。
サブネット
VPC内にはサブネットと呼ばれるIPアドレスの範囲を定義し、リソースをグループ化します。サブネットにはパブリックサブネットとプライベートサブネットの2種類があります。
パブリックサブネット
パブリックサブネットは、インターネットとの通信が可能なサブネットです。インターネットゲートウェイへのルーティングが設定されており、外部からのアクセスを受け付けるリソースを配置します。
主な用途:
- Webサーバー(EC2インスタンス)
- ロードバランサー(ALB / NLB)
- NAT Gateway(プライベートサブネットからインターネットへの通信用)
プライベートサブネット
プライベートサブネットは、インターネットからの直接アクセスができないサブネットです。外部からのアクセスが想定されない、機密性の高いリソースを配置します。
主な用途:
- データベース(RDS、DynamoDB VPCエンドポイント経由)
- アプリケーションサーバー
- 内部向けのバッチ処理サーバー
| 項目 | パブリックサブネット | プライベートサブネット |
|---|---|---|
| インターネット接続 | 可能 | 不可(直接) |
| 外部からのアクセス | 可能 | 不可 |
| 主な配置リソース | Webサーバー、LB | データベース、内部サーバー |
| ルーティング | インターネットGW経由 | NAT GW経由(送信のみ) |
VPCへの接続方式
VPC内のリソースへアクセスする方法は、リソースの公開範囲によって異なります。
インターネットゲートウェイ
顧客向けのWebサイトなど、パブリックにアクセスされるリソースがある場合は、VPCにインターネットゲートウェイをアタッチします。インターネットゲートウェイはVPCとインターネット間の通信を仲介するゲートウェイです。
VPN接続(仮想プライベートゲートウェイ)
インターネット経由のパブリックアクセスではなく、プライベートな経路でVPCに接続する場合は、仮想プライベートゲートウェイをVPCにアタッチし、AWS VPN経由で接続します。VPN接続はインターネット上に暗号化されたトンネルを構築し、オンプレミス環境からVPCへの安全な通信を実現します。
Amazon Direct Connect
Amazon Direct Connectは、オンプレミス環境とAWSの間に物理的な専用回線を敷設するサービスです。VPN接続と同様に仮想プライベートゲートウェイを使用しますが、インターネットを経由せず専用の物理回線を使用します。
VPNとDirect Connectの比較
| 項目 | AWS VPN | Amazon Direct Connect |
|---|---|---|
| 接続経路 | インターネット経由(暗号化トンネル) | 物理的な専用回線 |
| コスト | 比較的安価 | 高価(専用回線の敷設が必要) |
| 帯域幅 | 接続数が増えると低速になりやすい | 安定した帯域幅を確保 |
| レイテンシ | インターネットの状態に依存 | 安定した低レイテンシ |
| 適したユースケース | 一般的なリモートアクセス | 大量データ転送、低レイテンシが必要なアプリケーション |
プライベートなVPC環境への安全な接続は、用途に応じてVPNとDirect Connectを使い分けます。一般的なリモートアクセスやコスト重視であればVPN、大量のデータ転送やレイテンシに厳しい要件がある場合はDirect Connectが有効です。
まとめ
この記事では、Amazon VPCの基本概念として、サブネット(パブリック・プライベート)によるリソースの分離、インターネットゲートウェイによるパブリックアクセス、VPNとDirect Connectによるプライベート接続の3つの接続方式について解説しました。VPCはAWSにおけるネットワーク設計の基盤であり、パブリックサブネットとプライベートサブネットの適切な使い分けと、ユースケースに応じた接続方式の選択がセキュアなインフラ構築の基本となります。
参考リンク:
