VPC サブネットとは？パブリック・プライベートの違いと設計の基本

VPC を分割する論理 IP セグメント。AZ 単位で作成し、パブリック・プライベートで役割を分ける。

---

1. 概要（端的に）

サブネットは VPC を細分化する論理セグメント。1 サブネット = 1 AZ に紐付き、VPC の CIDR を分割した小範囲（例：10.0.1.0/24）を持つ。ルートテーブルとの紐付けで「パブリック / プライベート」が決まる点が重要。

---

2. 何ができるか

• VPC 内の論理分割：機能別・セキュリティ別にサブネット分け
• AZ 配置：1 サブネット = 1 AZ → Multi-AZ 構成の基盤
• ルートテーブル紐付け：通信経路の決定
• NACL 適用：サブネット単位のファイアウォール
• CIDR 設計：適切な IP 数の確保

サブネットの種類

種類	特徴
パブリックサブネット	IGW へのルートあり → インターネットから直接接続可
プライベートサブネット	IGW なし → インターネットから隔離
VPN-only サブネット	VPN GW にルート → オンプレからのみアクセス

---

3. 特徴

観点	特徴
AZ 単位	1 サブネットは 1 AZ にのみ存在
CIDR	VPC CIDR の部分集合（重複不可）
AWS 予約 IP	各サブネットで先頭 4 + 末尾 1 = 5 IP 予約
最小サイズ	/28（16 IP）
最大サイズ	/16（VPC と同サイズ）
タイプ判定	ルートテーブルの紐付けで決まる（属性ではない）

予約 IP（CIDR 内の予約）

アドレス	用途
.0	ネットワークアドレス
.1	VPC ルーター
.2	DNS サーバー
.3	将来拡張用
.255	ブロードキャスト（実装上未使用）

→ /24 のサブネット（256 IP）から 5 IP 予約 = 利用可能 251 IP

サイズ設計の指針

• 小規模：/24（251 利用可能）
• 中〜大規模：/22 or /20
• EC2 が多い：/19 以上で 8,000 IP 確保

---

4. 仕組み

サブネットは VPC ルーティングの単位。各サブネットには 1 つのルートテーブルが関連付けられ（明示しなければデフォルト）、その内容で「パブリック / プライベート」が決まる。

パブリック化のルール

ルートテーブルに次のエントリがある = パブリックサブネット
0.0.0.0/0 → IGW

このルートがなければプライベートサブネットになる。

サブネット作成時の主要設定

• VPC 選択
• AZ 選択
• CIDR 範囲
• 自動パブリック IP 割当（オプション）
• タグ・名前

Multi-AZ 構成

[VPC]
 ├ サブネット A（AZ-a, 10.0.1.0/24）
 ├ サブネット B（AZ-c, 10.0.2.0/24）
 └ サブネット C（AZ-d, 10.0.3.0/24）

→ ALB / RDS Multi-AZ / Auto Scaling は複数サブネットを使い、AZ 障害に耐える。

---

5. ユースケース

ユースケース 1：Web 3 層構成

パブリック（ALB）/ プライベート（アプリ）/ プライベート（DB）の 3 階層分離。

ユースケース 2：Multi-AZ 高可用性

RDS Multi-AZ / ALB / Auto Scaling は最低 2 AZ 必要。

ユースケース 3：DMZ 設計

パブリックには ALB のみ、内部は全部プライベートに。

ユースケース 4：管理サブネット

Bastion ホスト用に専用サブネット。

ユースケース 5：エッジ接続

Direct Connect Gateway 用のサブネット。

---

6. 関連用語

• VPC — サブネットの親
• Route-Table — パブリック/プライベートを決定
• IGW — パブリックサブネットの出入口
• NAT-Gateway — プライベートサブネットの外向き
• NACL — サブネット単位の FW
• SG — インスタンス単位の FW

---

7. 関連サイト

AWS 公式

• VPC とサブネット

参考

• Classmethod：VPC サブネット設計

---

🎓 試験での出題傾向

試験	重要度	主な出題パターン
CLF	高	サブネットの基本概念
SAA	高	サブネット設計、Multi-AZ、CIDR 計算
DVA	中	Lambda の VPC 接続でのサブネット指定
SOA	高	サブネット運用・トラブルシュート

---