COLUMN

1.Amazon VPCとは？概要を解説

Amazon VPC（Virtual Private Cloud）とは、アマゾンが提供しているクラウドサービス「AWS（Amazon Web Service）」上の機能の一つです。Amazon VPCはAWSアカウント内に専用の仮想ネットワーク空間を構築でき、構築した空間内で、仮想サーバー「EC2」やデータベース「RDS」など、多くのAWSサービスが利用できます。

Amazon VPCを利用することにより、どのようなメリットがあるのでしょうか。ここからは、Amazon VPCを利用するメリットについて解説します。

2.Amazon VPCを利用するメリット

Amazon VPCのメリットは、以下のとおりです。

• 手間やコストを省いてネットワーク空間を構築できる
• カスタマイズ性が高い
• 保守・監視を一括で管理できる

順番に見ていきましょう。

2-1.手間・コストを省いて構築できる

Amazon VPCを利用すれば、手間やコストを省いてプライベートネット空間を構築できます。たとえば企業がオンプレミスにおいてIT環境を構築する場合、以下のものが必要です。

• データセンターなどの設置場所
• 電源
• ラック
• サーバー
• 空調
• 回線
• ストレージ
• ロードバランサー　など

物理的な機器を揃えるための労力や手間が発生するだけでなく、それぞれの要件を提示し、検討を重ね、検証したうえで、設備や機器を発注して、配備と設定を行わなければなりません。オンプレミスにおいて構築に必要な手間や初期コストは、計り知れないものとなるでしょう。

一方で、Amazon VPCであれば、AWSによりあらかじめサービスが準備されているため、オンラインの管理画面から必要なサービスを組み合わせて選択するだけで、すぐに利用できます。必要な手間や初期コストが省ける点は、Amazon VPCを利用する大きなメリットといえるでしょう。

2-2.カスタマイズ性が高い

カスタマイズ性が高い点も、Amazon VPCを利用するメリットです。Amazon VPCのさまざまな設定や機能を適切に定めれば、インターネットをはじめとした外部ネットワークの接続有無など、自社に合うネットワーク環境の構築が可能です。

またAmazon VPCは、リソースのスケールアウトや、新たな環境への移行も比較的容易です。サービスのアクセス数に合わせたスペックも調整可能であるため、自社で提供しているサービスの成長に合わせ、性能を変えていける点も大きなメリットといえます。

2-3.保守・監視を一括で管理できる

Amazon VPCを利用するメリットとして最後に紹介する特徴は、保守・監視を一括で管理できる点です。Amazon VPCによって構築した空間では、ネットワークやリソースはすべて一括で管理できます。

さまざまなネットワークやリソースを一括で管理できることは、保守や監視を行ううえで大きなメリットです。たとえば障害が起こる前にリスクを検知して対処すれば、迅速な対応が可能となるでしょう。

【無料】NTT東日本のクラウドエンジニアがお客さまのクラウド化に関するお悩みにお答えします。

3.Amazon VPCで設定する主な機能

Amazon VPCはAWSを利用するうえで、最初に設定する機能です。Amazon VPCで設定する具体的な機能には、以下の4つがあります。

• サブネット
• ルートテーブル
• インターネットゲートウェイ（IGW）
• NATゲートウェイ

ここからは、Amazon VPCで設定する4つの機能について、概要を見ていきましょう。

3-1.サブネット

Amazon VPCで設定する機能に、サブネットがあります。サブネットとは、VPCのIPアドレスの範囲を指し、IPネットワークを細分化させる役割を持っています。

AWSのリソースをサブネットに割り当てれば、サブネットのネットワーク内で起動させられます。VPCの上限を超えなければいくつでも割り当てられるため、VPCを複数のサブネットに分割し、ネットワークをセグメント化しての制御も可能です。

またAmazon VPCでは、インターネットに接続しないサブネットの構築も行えます。インターネットに接続できないサブネットを「プライベートサブネット」、インターネットに接続できるサブネットを「パブリックサブネット」と呼ぶ点は、覚えておきましょう。

Amazon VPCはプライベートサブネットを展開し、VPNや専用線などの閉域接続ネットワークによるオンプレミスとのセキュアな接続ができるだけでなく、一つのAmazon VPC内にパブリックサブネット、プライベートサブネットの両方を展開するなど、自社に合ったさまざまな配置、設定でのネットワーク環境の構築が行えます。

3-2.ルートテーブル

Amazon VPCで設定する機能に、ルートテーブルがあります。Amazon VPCを利用する際、一連のルールに従って、ルートと呼ばれるネットワーク経路を選択する必要がありますが、そのルールが記載されたテーブルが、ルートテーブルです。

ルートテーブルは、利用ゲートウェイごとに関連付け、必要なアクセス経路を提供します。サブネットを利用するための仮想的なルーターをイメージしてもらえばよいでしょう。

たとえばルートテーブルを作成し、接続先に作成したインターネットゲートウェイ（IGW）を使えば、ネットワークがインターネットゲートウェイに転送されるようになり、サブネットがパブリックサブネットとなります。インターネットゲートウェイに関しては後述しますので、ルートテーブルの説明と合わせて確認してみてください。

3-3.インターネットゲートウェイ（IGW）

インターネットゲートウェイ（IGW）も、Amazon VPCで設定する機能です。インターネットゲートウェイは、VPC内部から外部のインターネットへ通信するための機能で、AWS上のアプリケーションをインターネットへ公開する場合、必ず使用するものです。

インターネットゲートウェイは一つのVPCに対し、一つしか作成できない点は注意が必要です。

3-4.NATゲートウェイ

Amazon VPCで設定する機能として、NATゲートウェイもあります。上記のインターネットゲートウェイと混同してしまう方もいるかもしれませんが、NATゲートウェイは、プライベートサブネットに配置したサービスから、外部のインターネットへ接続するための機能です。

インターネットトラフィックがプライベートサブネットからNATゲートウェイに向かうようにルーティングを設定すれば、プライベートサブネットから外部ネットワークへアクセスできます。

【無料】NTT東日本のクラウドエンジニアがお客さまのクラウド化に関するお悩みにお答えします。

4.Amazon VPCの接続・管理方法の一例

AWSアカウント内に異なる複数のAmazon VPCを配置していく場合、VPC同士を相互に接続したり、インターネットやオンプレミスに接続したりするなど、自社の目的に沿った設計が必要です。ここからはAmazon VPCの接続や、管理方法の一例として、以下の4つを紹介します。

• AWS PrivateLink
• VPCピアリング接続
• AWS Transit Gateway
• VPCシェアリング

Amazon VPC間におけるネットワーク構築のバリエーションを、順番に見ていきましょう。

4-1.AWS PrivateLink 〜異なるVPCからのアプリケーション共用

AWSのサービスやAWSアカウントでホストされているサービスおよび、AWS Marketplaceパートナーのサービスと、Amazon VPCとをプライベートに接続する機能に「AWS PrivateLink」があります。異なるAmazon VPCからのアプリケーション共用を行いたい場合に有効な手段で、数千のAmazon VPC接続にも対応できます。

AWS PrivateLinkを使う場合は、インターネットゲートウェイやVPN接続、AWS Direct Connect接続を利用する必要がありません。Amazon VPCと接続するほかのサービス間のトラフィックは、VPC外のAmazonのバックボーンネットワーク内で展開されるので、VPC内のネットワークトラフィックへの負荷によるリスクを気にしたり、帯域幅の制約を課したりする必要もないのです。

出典：Amazon VPCのしくみ（AWS公式ページ）

4-2.VPC ピアリング接続 〜組織内リソースの共用

VPCピアリング接続は、2つの Amazon VPC間でプライベートに接続できる機能です。いずれのVPCに属するインスタンスともに同じVPCに存在しているかのような通信ができ、組織内のリソース共有に有効です。たとえば、同じ組織のセクションごとにIT部門があり、それぞれが個別のVPCを利用している場合、すべてのVPCをピアリング接続すればお互いのリソースにフルアクセスできるようになります。

なお、AWS では Amazon VPCを構成する既存のインフラストラクチャを使用しVPCピアリングを提供しています。一方のVPCにて、相手側のVPCへのピアリング接続のリクエストを作成し、これを相手側のVPCが承認することで接続が確立されます。このように、別のゲートウェイやVPN、物理的なハードウェアを利用せずVPC間で直接ピアリング接続を確立できるため、通信の単一障害点や帯域幅のボトルネックはありません。

出典：VPC ピア機能とは（AWS公式ページ）

4-3.AWS Transit Gateway 〜ネットワークの共用

AWS Transit Gatewayは、複数のAmazon VPCとオンプレミスネットワークを単一のゲートウェイに接続できるようにするサービスです。連携すべきクラウドやオンプレミスのリソースが増大した場合に管理を簡略化できます。

オンプレミス環境との接続にはVPNとAmazon VPCを関連づける必要があります。VPC同士をピアリングすることもあるでしょう。しかし、組織内で運用するVPCの数が数百、数千にもなると、構築や管理が困難になります。AWS Transit Gatewayなら、一元管理された単一のゲートウェイに接続を集約することができるため、速やかにネットワークサイズを拡張できるようになります。ネットワークの共用に有効な手段で、数千のAmazon VPC接続にも対応できるスケーラビリティがあります。

出典：AWS Transit Gateway(AWS公式ページ)

4-4.VPC シェアリング 〜ITリソースの管理効率化

Amazon EC2やAmazon VPCは、デフォルトではIPv4アドレスプロトコルを使用します。しかしながら、管理するVPCが増えてくると、IPアドレス資源が枯渇したり、IPアドレスの割り当てやピアリングの管理が煩雑になったり、またVPC間のトラフィックコストも増大していく可能性があります。

これらの問題を解消するアプローチのひとつに「VPCシェアリング」があります。組織内の異なる複数のAWSアカウント間でVPCをシェアすることによって、使用するVPC数を削減するというやり方です。VPCの数を減らす一方で一つのVPCの役割を大きくして統合していくことで、IPv4アドレスの割り当てを簡略化したり、ピアリングを減らしたりしてよりシンプルな構成を目指します。

出典：[AWS Black Belt Online Seminar] Amazon Virtual Private Cloud (VPC) 2019/03/13

5.Amazon VPCのセキュリティ機能

Amazon VPCには、セキュリティを高めるためのファイアウォールに相当する機能として、以下の3つのサービスがあります。

• ネットワークACL
• セキュリティグループ
• ネットワークファイアウォール

ネットワークACL（アクセスコントロールリスト）は、設定されたルールに従うファイアウォールです。Amazon VPC内でネットワーク通信を「許可」または「拒否」することで、ネットワーク通信を制御できます。

ネットワークACLと同じような働きを持つファイアウォールが、セキュリティグループです。ネットワークACLとセキュリティグループは設定対象や設定ルール、設定方向やステートフル・ステートレス、評価順などの点に違いがあり、ネットワークACLは作成できるルールに制限があるなど、少々設定が難しい面があります。

ネットワークファイアウォールは、VPC内に配置するファイアウォールです。インターネットとVPC間との通信を行う際に、不正な通信がないかどうかを検知し、ブロックする働きを持っています。

上記の3つの中で多く使用されているのは、セキュリティグループです。ネットワークACLは設定が複雑でミスが起こる可能性が高いため、設定がシンプルで、インスタンス単位で細かいアクセス制御が行えるセキュリティグループを使う企業が多いのではないかと想定されます。

ただしセキュリティグループは、特定のターゲットをブロックしたいといった用途で使用することはできません。セキュリティグループの欠点と、設定の煩雑なネットワークACLの欠点を補える目的で登場したサービスが、ネットワークファイアウォールです。

ネットワークファイアウォールにより柔軟なアクセス制御を実現できるようになりましたが、ルートテーブル等の設定すべき項目が複雑になってしまう点や、料金が高めである点から、Amazon VPCの使用に慣れていない方は、やはりセキュリティグループを使用することが望ましいといえるでしょう。

【無料】NTT東日本のクラウドエンジニアがお客さまのクラウド化に関するお悩みにお答えします。

6.Amazon VPCの設定フロー

Amazon VPCの概要や設定する機能、接続や管理方法、セキュリティ機能について解説していきましたが、ここからは実際にAmazon VPCコンソールを用いた設定の一例を見ていきましょう。Amazon VPCの設定の方法は、以下のとおりです。

• AWSコンソールから「VPC」を検索し、作成する
• VPCのサブネットを作成し、詳細設定を行う
• インターネットゲートウェイを作成する
• ルートテーブルを設定する

はじめに、AWSコンソール画面の検索窓に「VPC」と入力し、VPCコンソールに移動しましょう。VPCコンソール画面の右上に「VPCを作成」と書かれたボタンがあるので、クリックします。

Amazon VPCの作成画面で最初に設定することは、CIDR表記を用いたサブネットの作成です。CIDRとはネットワークの規模を表すもので、インターネット上のIPアドレスの割り当てと、ルーティングを柔軟に運用できます。

Amazon VPCの「IPv4 CIDRブロック」には、「10.0.0.0/16」というネットワークを指定しましょう。「VPCを作成」ボタンを押せば、VPCの作成が完了します。

VPCを作成した後に行う設定は、サブネットの作成です。前述しましたが、サブネットにはインターネットに通信できないプライベートサブネットと、インターネットへ通信できるパブリックサブネットがあるため、目的に応じたサブネットを作成しましょう。

サブネット名やアベイラビリティーゾーン、IPv4CIDRブロックなどの設定を完了させて「サブネットの作成」ボタンを押せばサブネットが作成できますが、まだこの状態では、インターネットにアクセスできません。インターネットにアクセスするためには、インターネットゲートウェイを作成して、ルートテーブルの設定を行う必要があります。

Amazon VPCをインターネットに接続する仮想ルーターであるインターネットゲートウェイの作成は、メニューより「インターネットゲートウェイ」を選択し、「インターネットゲートウェイの作成」をクリックしてください。インターネットゲートウェイの作成は簡単で、名前を設定するだけです。

名前を設定して「インターネットゲートウェイの作成」をクリックした後は、作成したVPCにチェックをつけて、アクションから「VPCにアタッチ」を選択し、作成したVPCにアタッチできることを確認しておきましょう。インターネットゲートウェイを作成した後は、最後にルートテーブルの設定を行います。

サブネットのデータの流れを制御するルートテーブルは、インターネット向けの通信をインターネットゲートウェイに飛ばす設定を行わなければなりません。画面左のメニューより「ルートテーブル」を選択し、VPCに紐付いているルートテーブルを選択して、「ルートの編集」をクリックしましょう。

「ルートの追加」を選択し、送信先を「0.0.0.0/0」ターゲットに、作成したインターネットゲートウェイを選択します。「サブネットの関連付けの編集」をクリックし、作成したサブネットにチェックをつけて保存すれば、ルートテーブルとサブネットの関連付けが完了です。

Amazon VPCの作成は上記のとおり難しくはありませんが、それぞれの単語や意味を理解していないと、つまづいてしまう可能性があります。「Amazon VPCで設定する主な機能」で紹介した用語を何度も読み、理解しておきましょう。

【無料】NTT東日本のクラウドエンジニアがお客さまのクラウド化に関するお悩みにお答えします。

7.Amazon VPCの料金について

Amazon VPCの料金は、VPCの作成・使用は無料です。しかし以下のオプション機能は使用した分に応じて料金が発生するため、注意しましょう。

• NATゲートウェイ：利用可能なNATゲートウェイの時間に対し、処理データ1GBあたりの料金が発生
• Amazon VPC Reachability Analyzer：指定接続ポイント間の分析処理ごとに料金が発生
• Amazon VPC トラフィックミラーリング：有効の場合、1時間単位で料金が発生

ほかにもAmazon EC2やRDSなど、ほかのAWSの利用により、料金が追加されます。各サービスには無料利用枠が設けられているものもあるため、範囲内であれば無料で利用できますが、AWSのデフォルト設定では、無料利用枠を超えて料金が発生しても通知は来ません。

それぞれ使用するサービスにおいて、何がどの範囲で無料利用できるのか、確認しておくことが大切です。

【無料】NTT東日本のクラウドエンジニアがお客さまのクラウド化に関するお悩みにお答えします。

8.Amazon VPCの導入ならNTT東日本へご相談ください

Amazon VPCは、AWSを利用する際に必要となるものですが、サブネットやルートテーブル、インターネットゲートウェイ、NATゲートウェイなど、聞き慣れない単語が多く、導入が難しいと感じてしまう方も多いのではないでしょうか。

Amazon VPCを含め、クラウド導入や運用に関しての疑問を解決したい場合は、NTT東日本にお任せください。NTT東日本のクラウド導入・運用サービスであれば、クラウドサービスAWSやAzureの資格を持つプロが、貴社の悩みに答えます。

時間がなかったり面倒だったりと、後回しにしがちなクラウド化の導入から運用まで一元的にサポートさせていただくため、ご担当者さまは本当に必要な業務にのみ集中していただけます。以下のページに詳細が書いてあるので、ぜひご確認ください。

貴社の悩みをお聞かせいただければ、どのような手順を踏めば解決へと至るか、ご提案させていただきます。NTT東日本のクラウド導入・運用サービスへのご相談をお待ちしています。

NTT東日本のクラウド導入・運用サービス

9.まとめ

Amazon VPCとはAWS上で提供している機能の一つで、AWSアカウント内に専用の仮想ネットワーク空間を構築できるものです。Amazon VPCを利用すれば、手間やコストが省ける点や、カスタマイズ性が高い点、保守・監視を一括で管理できる点などでメリットを感じていただけます。

Amazon VPCの設定自体も比較的容易な作業で行えますが、サブネットやルートテーブル、インターネットゲートウェイ、NATゲートウェイなど、設定するべき機能に聞き覚えがなく、不安を感じる方も多いのではないでしょうか。また中にはクラウド化を行うための時間が取れなかったり、兼任業務があり集中して取り組めなかったりする方もいるかと思います。

クラウドの導入や運用についてお悩みがあれば、ぜひNTT東日本のクラウド導入・運用サービスにご相談ください。150社以上の実績を持つクラウド化のプロが、ご担当者さまの悩みに寄り添い、解決へとサポートします。

多くのお客さまに喜ばれているNTT東日本のクラウド導入・運用サービスをぜひご活用ください。