COLUMN

AWSのネットワークを構築する！
押さえておきたいポイントを解説

AWSといえば、Amazon EC2やAmazon S3などの個々のサービスをまず思い浮かべる方が多いかもしれません。しかし、実際に利用するには、AWSの全体像を把握することから始めるとよいでしょう。AWSはネットワーク経由で利用するため、そのためには、まずAWSのネットワークを理解しましょう。
今回は、AWSのネットワークを構築する方法やサービスの概要、それぞれの特徴などを紹介したうえで、ネットワーク構築方法を選ぶポイントについて解説します。

クラウドサービスに必要な主なネットワーク環境

クラウドサービスは、当然のことながらネットワーク経由での利用が前提であるため、活用するにはネットワークの理解が不可欠です。

まずは、クラウドサービスに必要な主なネットワーク環境について解説しましょう。

ネットワークの役割とは

クラウドサービスにおけるネットワークの主な役割としては、ローカル環境でクラウド上のIaaSを利用したり、インターネットに接続をしてサービスを外部に公開したりすることなどが挙げられます。
サーバーレスでネットワークを構築したり、あるいは自社のサーバーとクラウドサービスを接続したりするなど目的や用途に応じ、さまざまなネットワークの構築方法があります。基本的にクラウドサービスを活用するためには、ネットワークへの接続は不可欠です。

自社に合ったネットワークを構築するための考え方

ひと口に「ネットワーク」といっても、構築する方法やその際に使用するサービスにはいくつかの種類があります。そして、それぞれコストや特徴が異なります。
自社に合ったネットワークを構築するためには、コストだけではなく通信の安定性やセキュリティ面を踏まえる必要があります。

AWSにおけるネットワーク関連のサービス

では、AWSにおけるネットワーク関連のサービスについて見ていきましょう。

Amazon VPC

Amazon VPCとは、ネットワーク上に作る仮想の専用スペースです。VPCの内部にIPサブネットを構築してその中に、「EC2」や「RDS」などのAWSリソースを配置します。VPCという入れ物に入れることによって、作成したクラウドサービスをネットワーク経由で自社サーバーと接続したり、インターネットに公開したりすることができます。

AWS Direct Connect

AWS Direct Connectは主に大量のデータを高速、かつセキュアに通信したい際に用いる仮想の専用網です。

Amazon Route 53

Amazon Route 53は独自DNS名を割り当て、管理することのできるサービスです。

AWSでのネットワーク構築
その1：Amazon VPC

Amazon VPCの仕組みや特徴について解説します。

VPCの特徴

Amazon VPCには以下のような、3つの特徴が挙げられます。

設計の自由度が高い

Amazon VPCは独立したひとつのIPアドレスの範囲を持つことができるので、インターネットやほかのVPCと重複しない独立したネットワークを構築することができ、このIPアドレスの範囲を任意に設定することができます。

また、Amazon VPCの中でも、IPサブネットによってネットワークを分割することができます。したがって、Amazon VPCの中をひとつのIPサブネットで構成したり、反対に用途や管轄部署ごとに細かく分割したりといった自由な設計が可能です。

こうした設計度の柔軟性により、Amazon VPCと外部のネットワークのIPアドレスが重複することなく相互に接続できる、アクセスレベルの階層化の設定が行える、といったメリットがあります。

ネットワークを構築してさまざまな外部通信が可能

Amazon VPCそのものは、外部のネットワークと完全に分断されていますが、ネットワークゲートウェイを設定することにより外部ネットワークとの通信が可能になります。ネットワークゲートウェイには、インターネットとの接続を可能にするインターネットゲートウェイ、自社サーバーとのVPN通信を行うための仮想プライベ―トゲートウェイ、Amazon VPC同士を接続するVPCピア接続の3つの種類があります。

これらのネットワークゲートウェイをうまく併用することで、通信速度、セキュリティ、コストを用途に合わせて調整することができます。

セキュリティ機能が利用できる（セキュリティグループ、ネットワークACL）

Amazon VPCには、セキュリティグループとネットワークACLという、2つのセキュリティを強化してくれる機能があります。
セキュリティグループは、EC2やRDSなどのAWSリソースに関連付けることにより、サーバーのファイアウォールのように働きます。設定した一定のルールに合致した通信のみを許可するという使い方が可能です。

ネットワークACLはIPサブネットレベルで制御するセキュリティ機能です。セキュリティグループよりも細かなレベルでのフィルタリングが可能です。

Amazon VPC構築の手順

Amazon VPCを構築してネットワーク設定する手順は以下の通りです。

Amazon VPCを構築

Amazon VPCを構築して自動割り当てのDNS、あるいはAmazon Route 53を使用して独自DNSを設定します（AWSはIPアドレスではなく、DNS名を活用してアプリ設計を行うことを推奨しています）。

IPサブネットの構成

Amazon VPCの内部に、必要なIPサブネットを作成し、必要に応じてIPアドレスレンジの切り出しやサブネット分割を行います。

Amazon VPCコンポーネントの配置とルートテーブルの設定

Amazon VPCごとにAmazon VPCコンポーネントを、IPサブネットごとにルートテーブルを設定します。接続先に応じたコンポーネントを設定する必要があります。

インスタンスの配置

セキュリティポリシーを設定し、インスタンスを設置します。

名前の設定

DNS名の設定を行います。

VPCが接続できるネットワーク

Amazon VPCが接続できるネットワークは、主に以下の通りです。

社内のデータセンター（オンプレミスサーバー）

仮想VPN通信といったものを活用し、自社のサーバーをクラウド上で利用することができます。

インターネット

クラウドサービスをインターネット公開することができます。

同じリージョン内のほかのAmazon VPC

同じリージョン内のAmazon VPC同士であれば、他社のAmazon VPCであっても接続が可能です。逆に、リージョンが異なる場合は、自社のAmazon VPCであっても接続できない点に注意しましょう。

Amazon VPCの料金

Amazon VPCはVPNへの接続やNATゲートウェイの利用に応じて料金が発生します。

VPNへの接続

AWS東京リージョンの場合VPN接続料は1時間当たり0.048ドルです。

NATゲートウェイの利用料金

AWS東京リージョンの場合、NATゲートウェイの利用料金は1時間当たり0.062ドルです。
※料金はすべて2019年6月現在の設定です。

最新の料金につきましては、AWSの公式サイトをご覧ください。
https://aws.amazon.com/jp/vpc/pricing/

AWSでのネットワーク構築
その2：AWS Direct Connect

AWS Direct Connectについて解説します。

AWS Direct Connectの特徴

AWS Direct ConnectはVPCとオンプレミス環境をプライベートに接続するためのサービスです。VPN通信と比較してコストは高くなる反面、セキュリティと通信の安定性に優れています。

閉域網でセキュアな通信が可能

AWS Direct Connectの1つ目の特徴は閉域網ということです。閉域網であることから、セキュアな通信が可能になります。閉域網サービスを利用するためにAWSとは別に通信キャリアとの契約が必要になります。

高速で安定的な通信が可能

AWS Direct Connectは、仮想上の専用回線を利用できることから高速かつ安定した通信が可能です。

AWS Direct Connectの料金

AWS Direct Connectはポート時間とデータ転送量に応じた料金が発生します。今回は、東京リージョンにおける専用接続の料金を紹介します。

ポート時間（専用接続）

1G…0.285ドル／時間

10G…2.142ドル／時間

データ転送

データ転送の料金は、送信元のAWSリージョンとAWS Direct Connect のロケーションによって異なります。東京リージョンから東京リージョンへデータを送信する場合、1G当たり0.041ドルの料金が発生します。
※料金はすべて2019年6月現在の設定です。

最新の料金につきましては、AWSの公式サイトをご覧ください。
https://aws.amazon.com/jp/directconnect/pricing/

AWSでのネットワーク構築
その3：Amazon Route 53

Amazon Route 53の特徴について解説します。

Amazon Route 53のメリット

Amazon Route 53のメリットは以下の3点です。

高い可用性と信頼性

Amazon Route 53は、DNSサーバーの分散機能により、万が一接続が途切れてもすぐにルーティングできる高い可用性を備えています。冗長化されたロケーションにより高い信頼性を確保しています。Amazon Route 53のトラフィックフロー機能を活用すると、アプリケーションのプライマリポイントが利用できない場合でも代替場所に再ルーティングできるため、信頼性がさらに向上します。

柔軟性

Amazon Route 53は重み付けラウンドロビンにより、複数のサーバーに対してスペックに応じてリクエストを振り分けるといった柔軟性を備えています。

AWSのほかのサービスと併用しやすい

Amazon Route53はAWSのほかのサービスと併用できるように設計されているので、Amazon EC2インスタンスやAmazon S3バケットとドメイン名を連携させてマッピングすることができます。また、エイリアスレコードという、AWSのサービスエンドポイントのIPアドレスを直接返答できる機能を使用し、連携できる範囲を拡大したり高速でのレスポンスを実現したりすることができます。

Amazon Route 53の料金

Amazon Route 53は従量課金制です。主にホストゾーンとクエリの数によって料金が決まります。

ホストゾーン

ホストゾーンが25以下の場合には、ホストゾーン当たり0.50ドル／月です。26以上のホストゾーンを有する場合は、26個目以降0.10ドル／月となります。

クエリ

クエリの件数が10億件までは、100万件のクエリごとに0.4ドル／月です。10億件を超えた分以降は、100万件のクエリごとに0.2ドル／月です。
※料金はすべて2019年6月現在の設定です。

最新の料金につきましては、AWSの公式サイトをご覧ください。
https://aws.amazon.com/jp/route53/pricing/

ネットワークの構築方法を選ぶポイント

AWSでネットワークを構築する際には、前述したネットワークに関するサービスを組み合わせて構築します。したがって、用途やボリュームなどに応じてサービスを選ぶことが重要です。

Amazon VPCによるネットワーク構築は、自由度の高さやインターネットへの公開のしやすさ、AWS Direct Connectと比較した場合のコストの安さが魅力です。AWS Direct Connectは、コストがかかってしまう反面、自社サーバーとAWSとの間を仮想上の専用回線で安定したセキュアな高速通信が行える点が魅力です。AWS Route 53はほかのAWSサービスとの連携に優れ、パブリックにもプライベートにも対応したマネージドDNSサービスです。
これらの特性をうまく活用することで、システム要件に沿ったネットワーク構築を実現することができます。

まとめ

AWSではAmazon S3のようにサーバーを経由せずに利用できるものもありますが、大半のケースではネットワーク構築が不可欠です。用途やボリュームに応じて最適なネットワークを構築すれば、AWSをより快適にかつ安全に使いこなすことができます。

これからAWSの導入を検討されている方やAWSについて知識を深めたいと思われている方は、ぜひ今回の記事を参考にネットワークに関する知識を深めていきましょう。

AWS導入に向けて他に知っておくべきこと

AWSの各サービスは構築する情報システムによって利用適性が異なります。実際の構築にあたってはクラウド導入・運用支援事業者が提供している支援サービスを活用することで、自社の検討・構築・運用工数の削減が期待できます。

• はじめてのクラウド導入や社内ファイル共有環境のクラウド化を検討されている方はこちらから
  はじめてのクラウドはファイルサーバーから

AWSが提供する、AWSクラウドのネットワークサービスとAWSへの接続ネットワークサービスは複数あります。もしあなたが詳細設計を行う担当者である場合には、AWSでのネットワーク構築でよく利用されるAWSサービスそれぞれの概要や特徴は知っておきましょう。

• AWSとのVPN接続サービスの概要を学びたい方はこちらから
  AWS VPNを活用したセキュアなネットワーク
• AWSとの閉域ネットワーク接続サービスの概要を学びたい方はこちらから
  AWSを使ってクローズドな社内システムを構築するなら「AWS Direct Connect」を検討しよう
• AWS側のネットワークインターフェース設定サービスの概要を学びたい方はこちらから
  AWSのネットワークインターフェース「ENI」とは
• AWSのDNSサービスの概要を学びたい方はこちらから
  企業向けネットワーク構築におけるAWSのDNSサービスAmazon Route53の役割