【ネットワーク】 AWSと社内をつなぐネットワークはどうするの？

セッションはAWSとオンプレミスの違いです。それは「物理設計が不要」ということ。ネットワークに限った話ではないのですが、特にネットワークでは物理的な配線などがなくなるのは嬉しいポイントかも。論理設計した後に、物理に落とし込む必要もなくなる…というのもネットワーク設計で苦労した方にはかなり魅力的なんじゃないでしょうか。
しかもAWSの各種サービスであれば、最初から冗長化も可用性も考慮された状態で提供されるので、自分で考える必要がなくなります。シェルやCLIを活用して設定変更などを自動化すれば運用負荷も減る！…という話は、いいことばっかりに聞こえます。

とはいえ、そもそも使えなきゃ意味がありません。というわけで、続いてはAWSのネットワーク関連サービスの解説です。主要なサービスとしては「VPC（Virtual Private Cloud）」「Direct Connect」「Route 53」の3つだそう。それぞれひと言で説明すると…

• 「VPC」は、インスタンスを入れておく「箱」のイメージ
• 「Direct Connect（DX）」は、いわゆる専用線
• 「Route 53」は、DNSのマネージドサービス

です。まずはこれをざっくり覚えておきましょう。VPCは「箱」と言われても、正直つかみどころのないハナシではあるのですが（汗）、AWSでは必要だ！ということまでは理解しました。そんなところでVPCの作り方や使い方へと進んでいきます。

基本をおさえたところで具体的な設定に入るのですが…、最初に言われたのが、
「ネットワークはどのサービスを使うかによって設計が異なります」
ということ。

AWSでは、まず“東京”などの「リージョン」を選んで、その中にVPCを作成するのですが、VPCの中は自分たちだけのプライベートIPアドレスで利用する空間、VPCの外側はパブリックIPアドレス空間となります。

ここで解説されたのは

• 「インスタンスを作って使う」サービスはVPCの中で使う（たとえば、EC2やRDS、RedShiftなど）
• 「インスタンスを意識せずに使う」サービスはパブリックIPアドレス空間を使う（S3やLambda、DynamoDBなど）

という基本。

最近クラウド界隈で「サーバレス」という言葉をよく見かけますが、サーバレスを実現する際に使うのはこの「インスタンスを使わない」サービスになるらしく…。つまり、完全にサーバレスな、クラウドネイティブな構成にするならばVPCは要らない！？最初に「VPCが必要」と学んだばかりなのに…。もちろん、完全にサーバレスの環境にするにはほかの問題がありそうなので、VPCナシの構成にするケースはまだ少ないと思いますが、「VPCは必須」とは限らない、ということを学びました。

VPCありの構成の場合、選択肢は「Direct Connect」「VPN接続」「HTTPS/SSH」の3種類あります。
まず「大量のデータ連携をする」「（コンプライアンスなどから）閉域網での接続が必須」といった場合は「Direct Connect」で接続しましょう。
「Direct Connect」よりもコストを重視したい（安くしたい）という場合は「VPN接続」です。VPCの機能を使ってVPN接続を実現できます。
さらにさらに「通信要件は特になし」という環境の場合、「HTTPS/SSH」を使い、プロトコル・アプリケーションレベルでセキュリティを確保するという方法もあります。

「よく分からない場合はAWSのSA（ソリューションアーキテクト）にご相談ください」とのこと。ネットワークトラブルは厄介ですから（苦手意識）、最初からプロに聞いてしまうのもいいかもしれないですね。
ちなみに「Direct Connect」はAPNパートナーから提供するのですが、ソニーネットワークコミュニケーションズでも扱っております。そのほかネットワークのご相談も承っておりますので、よろしくお願いします♪（営業）

VPCなしの場合も基本的にはVPCありと同様なのですが、VPCの機能を利用する「VPN接続」の選択肢がなくなります。つまり、「Direct Connect」（パブリック接続オプション、というものを使うらしい）か、「HTTPS/SSH」で接続するかの二択です。
どちらにしても、慣れないうちはプロにお任せしたいところ…。

ここまで、自社とAWSの間のネットワークについて、おさえておきたい基本サービスやその選び方を学んできました。後編では、具体的にVPCの設定方法をお送りします。