ネットワーク ・
Amazon VPC とは?仮想ネットワークの基本・サブネット設計・ルーティング
VPC は AWS 上に作成する独自の仮想ネットワーク空間。CIDR 範囲(例:`10.0.0.0/16`)を指定し、その中にサブネット・ルートテーブル・SG・NACL を配置する。EC2・RDS・Lambda(VPC 接続時)などほぼ全てのサービスが VPC 内で動く、A...
AWS 上に構築する論理的に隔離されたプライベート仮想ネットワーク。AWS のすべてのリソースの基盤。
1. 概要(端的に)
VPC は AWS 上に作成する独自の仮想ネットワーク空間。CIDR 範囲(例:10.0.0.0/16)を指定し、その中にサブネット・ルートテーブル・SG・NACL を配置する。EC2・RDS・Lambda(VPC 接続時)などほぼ全てのサービスが VPC 内で動く、AWS の中核ネットワーク。
2. 何ができるか
- 論理ネットワーク作成:CIDR 範囲を指定したプライベート空間
- サブネット分割:パブリック・プライベートに分ける
- インターネット接続制御:IGW でパブリック化
- NAT で送信限定:プライベートサブネットからの外向き通信
- VPC 間接続:Peering / Transit Gateway / VPN
- セキュリティ制御:SG(インスタンス)・NACL(サブネット)
- VPC Endpoint:インターネット経由せず AWS サービスに接続
- Flow Logs:ネットワークトラフィックを記録
- DNS 解決:プライベートホストゾーン
3. 特徴
| 観点 | 特徴 |
|---|---|
| 追加料金 | VPC 自体は無料(NAT GW・VPN 等は別途) |
| CIDR | 通常 /16 (65,536 IP)から /28 まで |
| AZ | リージョン内の複数 AZ にまたがれる |
| デフォルト VPC | アカウント作成時に自動作成 |
| 複数 VPC | 1 アカウント・1 リージョンで複数 VPC 可(デフォルト 5、上限引き上げ可) |
| IPv4 / IPv6 | 両対応 |
サブネットの考え方
- パブリックサブネット:IGW にルーティング → インターネットアクセス可
- プライベートサブネット:IGW へのルートなし → インターネットから隔離(NAT 経由で外向き可)
- AZ 単位:1 サブネットは 1 AZ に紐づく
- CIDR:VPC の CIDR の中で重複しないよう分割
4. 仕組み
VPC は 論理的なネットワーク仮想化で実現される。物理ネットワークは AWS が運用し、利用者は CIDR / サブネット / ルーティング を定義するだけ。
構成要素
- VPC 本体:論理ネットワーク(CIDR 指定)
- サブネット:VPC 内の IP セグメント(AZ ごと)
- ルートテーブル:パケットの転送先
- Internet Gateway(IGW):インターネット接続の出入口
- NAT Gateway:プライベートからの送信専用 NAT
- Security Group(SG):インスタンスのファイアウォール
- Network ACL(NACL):サブネット単位のファイアウォール
- VPC Endpoint:AWS サービスへのプライベート接続
- VPC Peering / Transit Gateway:VPC 間接続
標準構成パターン(公式推奨)
[VPC: 10.0.0.0/16]
├ パブリックサブネット(10.0.1.0/24)AZ-a
│ ├ ALB
│ └ NAT Gateway
├ パブリックサブネット(10.0.2.0/24)AZ-c
│ └ NAT Gateway
├ プライベートサブネット(10.0.11.0/24)AZ-a
│ └ EC2(アプリ)
├ プライベートサブネット(10.0.12.0/24)AZ-c
│ └ EC2(アプリ)
├ プライベートサブネット(10.0.21.0/24)AZ-a
│ └ RDS Primary
└ プライベートサブネット(10.0.22.0/24)AZ-c
└ RDS Standby5. ユースケース
ユースケース 1:標準的な Web 3 層構成
ALB(パブリック)→ EC2(プライベート)→ RDS(プライベート)。
ユースケース 2:マルチティア企業システム
DMZ・アプリ層・DB 層・管理層をサブネット分離。
ユースケース 3:オンプレ接続
VPN / Direct Connect で社内ネットワークと接続。
ユースケース 4:マルチアカウント
Transit Gateway で複数アカウントの VPC を集約。
ユースケース 5:マイクロサービス分離
サービスごとに VPC を分けて隔離。
6. 関連用語
- Subnet / SG / NACL / Route-Table — VPC の構成要素
- IGW / NAT-Gateway / EIP — インターネット接続
- VPC-Peering / Transit-Gateway — VPC 間接続
- Direct-Connect / VPN — オンプレ接続
- VPC-Endpoint / PrivateLink — AWS サービス接続
- VPC-Flow-Logs — トラフィック監視
7. 関連サイト
AWS 公式
参考
🎓 試験での出題傾向
| 試験 | 重要度 | 主な出題パターン |
|---|---|---|
| CLF | 高 | VPC の概念、サブネット |
| SAA | 高 | VPC 設計問題(最頻出) |
| DVA | 高 | Lambda の VPC 接続、API Gateway VPC 統合 |
| SOA | 高 | ネットワーク運用・トラブルシュート |
🛠 現場ノート:公式ドキュメントに載っていない実務の勘所
VPC は「つながらない」と「課金が止まらない」の二大ハマり所がある。実務での勘所を整理する。
よくあるコスト事故
| やりがちなミス | 何が起きるか | 回避策 |
|---|---|---|
| NAT Gateway を立てっぱなし | 時間課金+データ処理課金が EC2 を消しても残る | 検証 VPC は丸ごと削除。NAT は消し忘れ筆頭 |
| S3 / ECR を NAT 経由でアクセス | 本来不要なデータ転送課金が発生 | **VPC エンドポイント(Gateway 型は無料)**を使う |
| AZ を跨ぐ通信を多用 | AZ 間データ転送料が地味に積もる | 同一 AZ 内に寄せる設計、不要なクロス AZ を減らす |
試験&実務のひっかけ(SAA 最頻出)
- Security Group はステートフル(戻り通信は自動許可)/ NACL はステートレス(戻りも明示的に許可が必要)← 超頻出
- IGW を付けただけでは通信できない。ルートテーブルに
0.0.0.0/0 → IGWが必要 - プライベートサブネットからの外向き通信は NAT Gateway 経由(IGW は直接使えない)
- 1 サブネット = 1 AZ。サブネットは AZ を跨げない
判断の分かれ目
- VPC Peering:1 対 1 の接続(少数なら手軽)/ Transit Gateway:多数の VPC・オンプレをハブ&スポークで束ねる
- パブリック/プライベートサブネット分割は「インターネットから直接触られてよいか」で切る