クラウド 元SEママの情シスなりきりAWS奮闘記

【ネットワーク】 脱・知ってるつもり!AWSのネットワーク関連用語を基礎からおさらい

2019年12月20日掲載

こんにちは。シイノキです。朝晩、冷えるようになり、子どもたちが起こしても起こしても、布団から出てきません(気持ちは分かる)。タイムリミットがあるので、なんとか布団から出すと、走って布団に戻ります。お母さんも一緒に戻りたい。

さて、今回のコラムのテーマは「AWSのネットワーク設計」。AWSを使おうと思ったら、EC2のインスタンスだのを作る前に、まずはネットワーク設計的なことをしなければなりません。あれです、VPC。Virtual Private Cloud、AWS内の自社専用の領域です。自社専用のネットワーク領域を作ったら、当然そのなかでのIPアドレス管理や、インターネットとどう接続させるかなどの設定が必要になります。そして飛び交う用語たち。「インターネットGateway」「NAT Gateway」「サブネット」などなど……あーそれ聞いたことあるーと思いつつも、正直なにがどれだったかは記憶のかなた(前にも書いた気がしますが、ネットワークは苦手分野なんです)。というよりも!一般的に使われているそれらと、AWSで使われているその用語は意味が同じなの?というのは疑問です!

ということで、半年近く前になってしまいましたが、AWS Summit Tokyo 2019で聞いたセッションを参考に、ネットワーク用語の基本をご紹介します!

VPC、インターネットGW、NAT GW……それぞれどう使うもの?

はい、ではいきなりですが、AWSのネットワークの全体像だそうです。

AWSネットワーク全体像

AWSネットワーク全体像イメージ図

いろいろ入ってますね。もちろん、毎回これらのサービスすべてを使うとは限りませんが、結構な頻度で出てくるものばかり。順を追って、解説していきましょう。

Amazon VPC

AWS上に構築するプライベートなネットワーク空間のことです。要するに仮想的な自社専用領域です。AWSアカウント内には1つ以上のVPCを構成して使います。1つ“以上”なので複数作成することができ、それぞれ細かくアクセス先などを設定可能。もちろん、オンプレミス環境から接続させることもOKで、インターネット、インターネットVPN、専用線(AWS Direct Connect)のどれとも接続できます。

アベイラビリティゾーン

リージョンとセットで語られることの多いアベイラビリティゾーン(AZ)がここで出てきます。AZはリージョンの中にあるデータセンター群を指し、「1つのリージョンは2つ以上のAZで構成され、それぞれ災害などの影響を受けにくい地理的に離れた場所にある」とされています。 そして、1つのVPCのなかに複数のAZがある状態になり、これを活用することで冗長構成が可能になります。リージョン内のAZは2つとは限らないのですが、通常2つのAZを利用するケースが多いため、構成図にも2つで記載されています。

サブネット

AWSの構成では必ず出てくる「サブネット」ですが、これは基本的には一般的なネットワーク用語としての「サブネット」と同じ理解で問題ないように思っています。要するに、ネットワークを分割して作った小さなネットワークのこと。AWSの場合、VPC内にサブネットを構成して利用するのが基本で、サブネットごとに外部(インターネット)やオンプレミス環境の接続要件を設定できます。サブネットはAZごとに構成する必要があることと、EC2インスタンスはサブネット内に配置することは覚えておきましょう。

ルートテーブル

サブネットごとに「どこに接続できるか」を設定するもの。これをきちんと設定することで、システムからの通信経路を制御し、安全性を担保できます。

セキュリティグループ

セキュリティグループはインスタンス単位で設定できるファイアウォールです。つまり、どのインスタンスがどこと通信できるかを制御できるということ。
ルートテーブルと機能がかぶる気がしますが、そこはもちろん違いがあります。VPC内にサブネットを複数構成した場合、ルートテーブルの設定ではサブネット間の通信は制御できず、サブネット同士の通信はすべて許可されてしまいます。でもサブネット間でも「こことここは通信NG」と制限したいケースもあるはず。この制御を実現するのがセキュリティグループ。サブネット単位ではなく、インスタンス単位に通信の許可/禁止を設定できるため、より細かな通信制御が可能になります。

インターネットGateway

VPC内からインターネットに接続するためのゲートウェイです。これを使うことで、VPC内のシステムがグローバルIPを使えるようになります。

Virtual Private Gateway

インターネットGatewayがインターネットに接続するのに対し、こちらはオンプレミス環境に接続するためのゲートウェイです。自社拠点やデータセンターとVPCを接続するときはこちらを使うのだそうです。

NAT Gateway

VPC内に構成した「プライベートサブネット」からインターネットに接続するためのゲートウェイ。プライベートサブネット、つまり、インターネットに接続できないサブネットの中に配置したシステムが、これを経由することでインターネットに安全に出れるようになります。

AWS Direct Connect

いわゆる「AWSへの専用線的なサービス」ですね。これについては過去のコラムで詳しく解説しているので、そちらをどうぞ!

VPC / Interface エンドポイント

私は今回のセッションではじめて聞いたものなのですが、インターネット接続できないサブネットから各種AWSサービスを使うためのアクセスポイントだそうです。ここでいう「AWSサービス」とは、Amazon S3などのVPCの外で使うサービスのこと。Amazon S3などを利用する場合、以前はEC2インスタンスからもインターネット経由で接続する必要がありましたが、セキュリティの都合上インターネットに接続できないインスタンスも多くあります。そういうときに、これを使えばOK、ということですね。

VPCを複数のAWSアカウントで共有できる「Shared VPC」

AWSのネットワーク基本用語を改めて学びまして、これでネットワーク設計できるわけではないですが、構成図が出てきたときに、ほうほうなるほど、そういうことなのね、と思えるくらいにはなった気がします。ここからはせっかくなので、AWS Summitのセッションで取り上げられていた、VPC関連の新機能から1つ紹介したいと思います。

それが、異なるアカウントで1つのVPCを共有できる「Shared VPC」。これまではアカウントをまたがってVPC同士を通信させたい場合、VPCピアリングを利用して1対1でつなぐ方法がありましたが、VPCの数が増えれば増えるほど接続数がどんどん増えて煩雑になることが課題でした。Shared VPCを利用すれば、どちらかのアカウントでVPCを共有するだけでOK。しかもピアリングでは接続したVPC内がすべてアクセス可能だったのも、サブネット単位で制御可能に。

たとえば社内で開発用、本番用など複数のアカウントを使い分け、共通して利用するものを共通アカウントに配置する……といった構成が可能になります。これは結構便利そう!ただし、一部のサービスは対応していないものがあること、また規模が大きくなるとShared VPCがボトルネックになる可能性があるということなので、そのあたりは注意が必要です。

AWS接続ネットワークサービス

AWSまでつなぐネットワークを ワンストップで提供

マネージドクラウド with AWS

はじめてのAWSから 一歩進んだ活用までトータルサポート

まとめ

ネットワーク関連についても、ユーザのニーズや課題をうけてどんどん進化していくAWS。いろいろできすぎて、なにをどう活用すればいいのか分からなくなりそうですが、いきなり複雑なネットワークを構成するのではなく、スモールスタートして拡張、というずーーっと言われている方法がベストなんだろうなと思います。とはいえ、それでも「あとから拡張しやすい設定やお勧めの構成」というものはあります。マネージドクラウド with AWSでは、ベストプラクティスに沿った初期設定も代行。もちろんお客さまごとの課題や状況あった構成のご提案もしていますので、まずはお問い合わせください!無料のなんでも相談室もお申込みをお待ちしております。
以上、シイノキでした!

お役立ち資料をダウンロード

AWS Direct Connect 入門

「AWS Direct Connect 入門」のダウンロードをご希望のお客様は、
以下必要事項をご入力ください。

関連コラム

このコラムに関連する製品

このコラムに関連する
導入事例

【ネットワーク】 脱・知ってるつもり!AWSのネットワーク関連用語を基礎からおさらい

SHARE
シェアシェア ポストポスト
【ネットワーク】 脱・知ってるつもり!AWSのネットワーク関連用語を基礎からおさらい
SHARE
ポスト シェア