Amazon VPC の機能について

Reading Time: 1 minutes

Amazon Virtual Private Cloud (VPC) は、ユーザーが AWS クラウド内に論理的に分離されたセクションを作成できる商用クラウドコンピューティングサービスです。ユーザーは、この仮想ネットワーク内で AWS リソース（データベース、Elastic Compute Cloud (EC2) インスタンスなど）をプライベートで分離された領域に構築できます。

企業は VPC を使用することで、クラウドセキュリティを向上させることができます。プライベート仮想クラウド環境にリソースを起動させ、追加のセキュリティレイヤーを設けることが可能です。

2013 年以降に作成されたすべての Amazon アカウントには、事前設定された VPC がデフォルトで付属しています。これにより、ユーザーは特別な設定をすることなくインスタンスをすぐに起動できます。デフォルトの VPC は次のように設定されています；

最大 65,536 個の IPv4 アドレスを提供するサイズ /16 の IPv4 CIDR ブロック
各アベイラビリティゾーンにサイズ /20 のサブネット、サブネットごとに 4,096 個のアドレスを提供
VPC に接続されたインターネットゲートウェイ
デフォルトのセキュリティグループとネットワークアクセスコントロールリスト (NACL)

VPC のアーキテクチャと動作

Amazon VPC のアーキテクチャは、以下の要素で構成されています：

基盤とフレームワーク： AWS クラウドのコアインフラストラクチャが Amazon VPC の基盤となり、ネットワークの分離とセグメンテーションを提供します。
サブネット： サブネットを作成することで、Amazon VPC 内でリソースを論理的に分離できます。各サブネットには異なる役割（Web サーバー用、アプリケーションサーバー用、データベース用）があります。
アクセス制御： セキュリティグループとネットワークアクセスコントロールリスト (NACL) を使用して、サブネットとインスタンスへのトラフィックを制御します。
ユーティリティとサービス：以下のような仮想インフラストラクチャをサポートします。
– インターネット接続用のインターネットゲートウェイ
– アウトバウンドインターネットアクセス用の NAT ゲートウェイ
– 安全な通信用の VPN 接続
– オンプレミスインフラストラクチャへの専用ネットワーク接続用のダイレクトコネクト
セキュリティとモニタリング：以下の要素は、Amazon VPC の仮想環境を不正アクセスや悪意のあるアクティビティから保護します。
– ネットワークファイアウォール
– 暗号化
– モニタリングツール
– ログ機能
拡張と改修：
Amazon VPC を使用して、必要に応じてネットワークインフラストラクチャを拡張および変更し、セキュリティポリシーを適応させます。また、新しい AWS サービスを統合し、ビジネスのニーズに合わせてサブネットを追加または削除できます。

デフォルト VPC

AWS アカウントを作成すると、全てのリージョンにデフォルトの VPC が設定されています。これはすぐに使用できる環境で、インスタンスを即座に起動できます。Amazon EC2 はクラウド上で仮想マシンを作成・実行するためのサービスです。デフォルト VPC に起動される各 EC2 インスタンスにはプライベート IP アドレスとパブリック IP アドレスが割り当てられ、AWS のインフラストラクチャを介してインスタンスとインターネット間の通信が容易になります。

VPC の追加作成

新たに VPC を作成することで、ネットワークを異なるセグメントに分割できます。例えば、開発環境と本番環境で別々の VPC を持つことができます。追加で作成された VPC は他の VPC から完全に独立しており、環境を分離してセキュリティを強化できます。

新しい VPC は、独自の IP アドレス範囲、ルーター、NACL、デフォルトのセキュリティグループ、ルートテーブルを使用して起動されます。また、プロジェクトのニーズに応じて、サブネット、セキュリティグループ、ネットワーク ACL などの数を増やすことができます。

デフォルト VPC は新しいインスタンスの起動に適していますが、IAM ポリシーは適用されません。新しく VPC を作成することで、仮想ネットワークを定義・カスタマイズし、組織の IAM ポリシーに準拠させることができ、より安全で信頼性の高いネットワークを実現できます。

サブネットの設定

サブネットは VPC 内の IP アドレス範囲であり、VPC 内に1つ以上のサブネットを設定できます。各サブネットは1つのアベイラビリティゾーン内に完全に含まれる必要があり、1つのサブネットが複数のゾーンにまたがることはできません。サブネットの用途は多様で、インターネットから直接アクセスできないリソース用のプライベートサブネットや、インターネットからアクセスできるリソース用のパブリックサブネットなどがあります。

ルートテーブルの定義

ルートテーブルは、ネットワークトラフィックの流れを管理するためのルール（ルート）の集まりです。各サブネットにはルートテーブルが接続されており、ネットワークトラフィックの送信先を指定します。1つのルートテーブルに複数のサブネットをリンクできますが、1つのサブネットには1つのルートテーブルしか接続できません。

インターネットゲートウェイ

インターネットゲートウェイは、VPC とインターネット間の通信を可能にする VPC コンポーネントです。これは冗長性と高可用性を備え、信頼性とパフォーマンスを確保するように設計されています。

インターネットゲートウェイの主な役割は次の2つです。

VPC がインターネットと通信するためのルートとして機能
パブリック IPv4 アドレスが割り当てられたインスタンスに対して NAT を実行

VPC 内のインターネット接続を設定するには、インターネットゲートウェイを VPC に接続し、インスタンスにパブリック IP アドレス（パブリック IP または Elastic IP）を割り当て、サブネットのルートテーブルを変更してトラフィックをインターネットゲートウェイに転送する必要があります。

VPN 接続

VPN 接続を使用することで、オンプレミスネットワークと仮想プライベートネットワーク (VPN) 間で安全なインターネット通信が可能になります。現在のネットワークインフラストラクチャを AWS クラウドに安全に拡張し、オンプレミスのデータセンターやオフィスと AWS 上のリソースやアプリケーションをシームレスに統合することができます。

VPC ピアリング

VPC ピアリングは、AWS インフラストラクチャ内の2つの仮想プライベートクラウド (VPC) 間で、安全な直接通信を可能にするネットワーク機能です。これにより、ピア接続された VPC 内のリソースは、同じネットワーク内にあるかのように通信でき、パブリックインターネットを経由する必要がなくなります。

AWS はトランジットゲートウェイと VPC ピアリングという2つの接続手法を提供しています。トランジットゲートウェイは複数の VPC やオンプレミスネットワークを中央集権的なハブとして接続し、VPC ピアリングはシンプルな VPC 間の接続を提供します。

例えば、VPC_AとVPC_B、VPC_AとVPC_Cの間にVPCピアリング接続がある場合、VPC_BからVPC_C へのトラフィックをVPC_Aを介してルーティングすることはできません。VPC_ BとVPC_C間でトラフィックを転送するには、直接の VPC ピアリング接続が必要です。

VPC は、アプリケーションとサービスのために共有ネットワークとセキュリティ境界を確立し、完全に自己完結型で分離されています。
インスタンスは VPC 内でのみ通信でき、VPC 外のリソースへのアクセス方法を完全に制御します。
この場合、パブリック IP アドレスが割り当てられたインスタンスにインターネット接続を提供するためにインターネットゲートウェイを VPC に接続します。
パブリックサブネット: インターネットへのルートが設定されているため、公開Webページをホストするサーバーを配置できます。
プライベートサブネット: インターネットへのルートが設定されていないため、重要なデータベースなどを配置し、外部からのセキュリティ保護が強化されます。
サイト間 VPN 接続を使用して、VPC を企業のデータセンターに接続し、AWS クラウドをデータセンターの拡張として使用できます。
プライベートサブネットがインターネットにアクセスできるようにするためには、NAT ゲートウェイが必要です。プライベートインスタンスからパブリックサブネットに設置された NAT ゲートウェイへのルートを設定し、インターネットゲートウェイに NAT ゲートウェイを接続します。これにより、プライベートサブネット内のリソースがインターネットにアクセスできるようになります。

トラフィックのフローを制御する方法

NACL (ネットワークアクセスコントロールリスト)
– ステートレスファイアウォールで、サブネットレベルでトラフィックを規制します。
– IP アドレスごとに通信を許可または拒否するルールを設定できます。
セキュリティグループ
– 仮想ファイアウォールとして機能し、複数のインスタンスのトラフィックを管理します。
– プロトコル、ポート、送信元および宛先 IP アドレスに基づいて、インスタンス間のトラフィックを許可するルールを定義します。

Amazon VPC のセキュリティ保護と監視の重要性

Amazon VPC を使用する主な理由はセキュリティです。VPC は AWS パブリッククラウドとは別のセクションであり、AWS リソースを安全に起動できます。従来のネットワーク環境よりも安全ですが、依然として監視とセキュリティ対策が必要です。Amazon VPC はサイバー犯罪者の標的になることがあります。
保護されていない VPC はオンライン攻撃に脆弱です。Amazon VPC を監視することで、問題をプロアクティブに検出・修正し、リソースの使用率を最大化することで、セキュリティと規制の標準に準拠できます。VPC セキュリティの維持がネットワークインフラストラクチャの強化に重要な理由は他にもあります。

パフォーマンスの向上：Amazon VPC の重要なコンポーネントを監視することで、ネットワークインフラストラクチャのパフォーマンスに関する洞察を得られます。これにより、問題を早期に特定し対処して、リソースの使用率を最適化し、パフォーマンスを向上させます。監視が必要なコンポーネントには、ネットワークトラフィック、ロードバランサー、NAT ゲートウェイ、VPN フローログ、VPN 接続パフォーマンス、サブネットパフォーマンスなどがあります。
リソース使用率：EC2 インスタンス、データベース、その他のサービスを含む VPC 内のリソース使用率を追跡することで、リソース割り当ての最適化とコスト削減の機会を特定できます。
セキュリティとコンプライアンス：ネットワークトラフィックとアクセスパターンを監視して、潜在的なセキュリティ侵害、不正アクセスの試み、または異常なアクティビティを特定できます。これにより、インフラストラクチャのセキュリティとコンプライアンスを維持できます。
トラブルシューティング：ネットワークスループット、レイテンシー、エラー率を監視することで、アプリケーションのパフォーマンスや可用性に影響する前に、問題を迅速にトラブルシューティングできます。
コスト管理：リソース使用率を可視化し未使用のリソースを特定することで、インフラストラクチャを最適化し、不要な費用を削減できます。

Amazon VPC の監視とセキュリティ保護の詳細については、こちらのページをご覧ください。

Amazon VPCの詳細は、以下のページを参考にしてください。

※本記事はグローバル本社のブログ記事を日本語版に修正したものです。
原文はこちらをご参照ください。