ネットワーク ・
Amazon VPC とは?仮想ネットワークの基本・サブネット設計・ルーティング
VPC は AWS 上に作成する独自の仮想ネットワーク空間。CIDR 範囲(例:`10.0.0.0/16`)を指定し、その中にサブネット・ルートテーブル・SG・NACL を配置する。EC2・RDS・Lambda(VPC 接続時)などほぼ全てのサービスが VPC 内で動く、A...
AWS 上に構築する論理的に隔離されたプライベート仮想ネットワーク。AWS のすべてのリソースの基盤。
1. 概要(端的に)
VPC は AWS 上に作成する独自の仮想ネットワーク空間。CIDR 範囲(例:10.0.0.0/16)を指定し、その中にサブネット・ルートテーブル・SG・NACL を配置する。EC2・RDS・Lambda(VPC 接続時)などほぼ全てのサービスが VPC 内で動く、AWS の中核ネットワーク。
2. 何ができるか
- 論理ネットワーク作成:CIDR 範囲を指定したプライベート空間
- サブネット分割:パブリック・プライベートに分ける
- インターネット接続制御:IGW でパブリック化
- NAT で送信限定:プライベートサブネットからの外向き通信
- VPC 間接続:Peering / Transit Gateway / VPN
- セキュリティ制御:SG(インスタンス)・NACL(サブネット)
- VPC Endpoint:インターネット経由せず AWS サービスに接続
- Flow Logs:ネットワークトラフィックを記録
- DNS 解決:プライベートホストゾーン
3. 特徴
| 観点 | 特徴 |
|---|---|
| 追加料金 | VPC 自体は無料(NAT GW・VPN 等は別途) |
| CIDR | 通常 /16 (65,536 IP)から /28 まで |
| AZ | リージョン内の複数 AZ にまたがれる |
| デフォルト VPC | アカウント作成時に自動作成 |
| 複数 VPC | 1 アカウント・1 リージョンで複数 VPC 可(デフォルト 5、上限引き上げ可) |
| IPv4 / IPv6 | 両対応 |
サブネットの考え方
- パブリックサブネット:IGW にルーティング → インターネットアクセス可
- プライベートサブネット:IGW へのルートなし → インターネットから隔離(NAT 経由で外向き可)
- AZ 単位:1 サブネットは 1 AZ に紐づく
- CIDR:VPC の CIDR の中で重複しないよう分割
4. 仕組み
VPC は 論理的なネットワーク仮想化で実現される。物理ネットワークは AWS が運用し、利用者は CIDR / サブネット / ルーティング を定義するだけ。
構成要素
- VPC 本体:論理ネットワーク(CIDR 指定)
- サブネット:VPC 内の IP セグメント(AZ ごと)
- ルートテーブル:パケットの転送先
- Internet Gateway(IGW):インターネット接続の出入口
- NAT Gateway:プライベートからの送信専用 NAT
- Security Group(SG):インスタンスのファイアウォール
- Network ACL(NACL):サブネット単位のファイアウォール
- VPC Endpoint:AWS サービスへのプライベート接続
- VPC Peering / Transit Gateway:VPC 間接続
標準構成パターン(公式推奨)
[VPC: 10.0.0.0/16]
├ パブリックサブネット(10.0.1.0/24)AZ-a
│ ├ ALB
│ └ NAT Gateway
├ パブリックサブネット(10.0.2.0/24)AZ-c
│ └ NAT Gateway
├ プライベートサブネット(10.0.11.0/24)AZ-a
│ └ EC2(アプリ)
├ プライベートサブネット(10.0.12.0/24)AZ-c
│ └ EC2(アプリ)
├ プライベートサブネット(10.0.21.0/24)AZ-a
│ └ RDS Primary
└ プライベートサブネット(10.0.22.0/24)AZ-c
└ RDS Standby5. ユースケース
ユースケース 1:標準的な Web 3 層構成
ALB(パブリック)→ EC2(プライベート)→ RDS(プライベート)。
ユースケース 2:マルチティア企業システム
DMZ・アプリ層・DB 層・管理層をサブネット分離。
ユースケース 3:オンプレ接続
VPN / Direct Connect で社内ネットワークと接続。
ユースケース 4:マルチアカウント
Transit Gateway で複数アカウントの VPC を集約。
ユースケース 5:マイクロサービス分離
サービスごとに VPC を分けて隔離。
6. 関連用語
- Subnet / SG / NACL / Route-Table — VPC の構成要素
- IGW / NAT-Gateway / EIP — インターネット接続
- VPC-Peering / Transit-Gateway — VPC 間接続
- Direct-Connect / VPN — オンプレ接続
- VPC-Endpoint / PrivateLink — AWS サービス接続
- VPC-Flow-Logs — トラフィック監視
7. 関連サイト
AWS 公式
参考
🎓 試験での出題傾向
| 試験 | 重要度 | 主な出題パターン |
|---|---|---|
| CLF | 高 | VPC の概念、サブネット |
| SAA | 高 | VPC 設計問題(最頻出) |
| DVA | 高 | Lambda の VPC 接続、API Gateway VPC 統合 |
| SOA | 高 | ネットワーク運用・トラブルシュート |