Amazon Virtual Private Cloud(Amazon VPC)の概要とインターネット接続に必要なステップを紹介します。
Amazon VPCとは
Amazon VPCとは、リソースの配置、接続性、セキュリティなど、仮想ネットワーク環境をフルで制御できるサービスです。*1
- AWS上にプライベートネットワーク空間を構築
- 論理的なネットワーク分離が可能
- ネットワーク環境のコントロールが可能
- 複数のコネクティビティオプションが選択可能
また、ネットワーク要件に応じて自由な設定が可能です。
- ネットワーク同士を接続する
- ルートテーブルや各種ゲートウェイ、各種コンポーネントを配置する
- インターネット経由で接続する
- VPN/専用線(AWS Direct Connect)を利用する
インターネット接続のステップ
Amazon VCPをインターネットに接続する流れを、4つのステップに分けて解説します。
アドレスレンジを選択
Amazon VPCにアドレスを設定する際に避けるべきポイントです。
- 既に使っているネットワークアドレスは避ける
- 今後利用する可能性のあるネットワークアドレスも避ける
また、次の2点も合わせて推奨します。
- RFC1918レンジを使用(衝突で使えない場合はRFC6598)
- CIDR/16を使用
最初に作成したアドレスブロックは作成後に変更できないので注意が必要です。2個目以降は追加、削除ができます。
※ 本記事では、172.31.0.0/16を例として採用しました
推奨のCIDR/16を設定した場合の各サブネット数と使えるIPアドレス数は以下となります。
| サブネットマスク | サブネット数 | サブネット当たりのIPアドレス数 |
|---|---|---|
| /18 | 4 | 16379 |
| /20 | 16 | 4091 |
| /22 | 64 | 1019 |
| /24 | 256*2 | 251 |
| /26 | 1024 | 59 |
| /28 | 16384 | 11 |
Availability ZoneにおけるSubnetを選択
Availability Zone(AZ)は、1つ以上のデータセンターで構成されます。
AZ同士はそれぞれ独立しており、互いに影響が出ない状態で運用管理が行われています。
もし、どこかで障害が起こっても、それ以外の部分が問題なければ、システムを停止させずに稼働できる仕組みになっています。
そのため、複数のAZにSubnetを配置することが推奨されています。*3
サブネット作成時に指定するIPアドレスには、一部、利用できないホストアドレスがあるので注意してください。/24の場合に利用できないIPアドレスは以下となります。
| ホストアドレス | 用途 |
|---|---|
| .0 | ネットワークアドレス |
| .1 | VPCルータ |
| .2 | Amazonが提供するDNSサービス |
| .3 | AWSで予約 |
| .255 | ブロードキャストアドレス |
インターネットへの経路を設定
インターネットへの経路を設定するにはルートテーブルを利用します。
- ルートテーブルはパケットがどこに向かえば良いかを⽰すもの
- VPC作成時にデフォルトで1つルートテーブルが作成される
- VPC内は作成時に指定したCIDRアドレスでルーティングされる
ルートテーブルに設定した送信先のIPアドレスをもとにターゲットにパケットが転送されるため、インターネットへ通信する場合は、インターネットゲートウェイ*4向きにルートを追加する必要があります。
Amazon VPCへのIN/OUTトラフィックの許可
Amazon VPCのセキュリティコントロールにはセキュリティグループとNetwork ACLがあります。
セキュリティグループは、Amazon VPC 内のリソースが送受信を許可されているトラフィックを制御するファイアウォールとして機能します。*5
ネットワークアクセスコントロールリスト (ACL) は、サブネットレベルで特定のインバウンドまたはアウトバウンドのトラフィックを許可または拒否します。*6
それぞれの特徴は以下となります。
| ネットワークACL | セキュリティグループ |
|---|---|
| サブネットレベルで効果 | サーバレベルで効果 |
| Allow/DenyをIN・OUTで指定可能 | AllowのみをIN・OUTで指定可能 |
| ステートレスなので戻りのトラフィックも明示的に許可設定する | ステートフルなので戻りのトラフィックを考慮しなくて良い |
| 番号順序通りに適用 | 全てのルールを適用 |
| サブネット内のすべてのインスタンスがACL管理下に入る | インスタンス管理者がセキュリティグループを適用すればその管理下になる |
おわりに
本記事ではAmazon VPCの概要とインターネット接続に必要なステップについて記載しました。
各設定項目ではなく、インターネット接続するには何が必要なのか、概要レベルで知りたい方の参考になれば幸いです。
*1:Amazon VPCとは
Amazon VPC とは? - Amazon Virtual Private Cloud
*2:VPC当たりのサブネット作成上限数はデフォルト200個のため、200個以上作成する場合は上限緩和申請が必要となります。
Amazon VPC クォータ - Amazon Virtual Private Cloud
*3:サブネットとは
VPC のサブネット - Amazon Virtual Private Cloud
*4:インターネットゲートウェイは、AWSが提供するAmazon VPCとインターネットとの間の通信を可能にするAmazon VPCコンポーネントです。
インターネットゲートウェイを使用してインターネットに接続する - Amazon Virtual Private Cloud
*5:セキュリティグループとは
セキュリティグループ - Amazon Virtual Private Cloud
*6:ネットワークACLとは
ネットワーク ACL を使用してサブネットへのトラフィックを制御する - Amazon Virtual Private Cloud
