クラウド上にプライベートネットワーク空間を構築できるAmazon VPCの特徴と接続構成

企業のITインフラ環境構築の選択肢として、クラウドの利用が進んでいます。このクラウドの利用を検討するにあたり、社内ネットワークとの接続方法や、企業特有の情報セキュリティ規定に合うかどうかなどの懸念とその解決方法を決定する必要があります。そんな悩みを解決するひとつの方法が「Amazon VPC」です。Amazon VPCによりAWS上にプライベートネットワーク空間を構築し、ネットワークの分離や異なるネットワークの接続を含めたさまざまコントロールが可能となります。本稿では、Amazon VPCの特徴や利用シーンについて紹介します。

クラウドなら手軽にプライベートネットワーク空間を構築できる

企業がオンプレミスのIT環境を構築するためには、データセンターなどの設置場所に加え、電源、ラック、サーバー、空調、回線、ストレージ、ロードバランサーなどといった物理的な設備や機器を確保・調達する必要があります。しかも、それぞれの要件を定義・検討・検証したうえで設備や機器を発注して配備・設定をするためには多くの労力や期間を要します。

一方、AWSのようなクラウドサービスであれば、クラウド事業者によってあらかじめ準備された、設備や機器の利用がサービスメニュー化されているので、オンラインの管理画面から各種サービスを組み合わせて選択することによりすぐに利用ができるというメリットがあります。しかしながら、利用中の社内システムやアプリケーションに悪影響を与えないか、情報セキュリティの社内ルールに合うか、プライベート接続ができるのかなど、クラウド導入に対してさまざまな不安や悩みを持つ企業も多いと思います。

AWSはこのような不安を解消するためのサービスを多く提供していますが、Amazon VPCはそれらの基本となるサービスといえるものです。VPCとはVirtual Private Cloudの略で、Amazon VPCはAWS上の仮想のプライベートネットワーク空間の構築をサポートします。Amazon VPCでは任意のIP アドレスレンジが利用可能で、それにより論理的なネットワークの分離やネットワーク同士の接続ができます。さらに、ルートテーブルや各種ゲートウェイなど、ネットワーク環境をコントロールするコンポーネントも提供されています。

VPCからインターネットや企業内ネットワークにアクセス

Amazon VPC はAWSアカウントに紐づいた専用の仮想ネットワーク環境で、AWSクラウド上のほかのネットワークとは論理的に切り離されています。また、AWS VPC上でEC2インスタンスなどAWSリソースのコンポーネントを動作させることができます。
Amazon VPCでプライベートネットワーク空間を定義したら、その中で利用するEC2インスタンスなどのサブネットを展開(構築)します。展開したEC2インスタンスをインターネットに公開させたい場合には、下図のように、VPC内のサブネットをインターネット接続を設定します。

Amazon VPCにパブリックサブネットを展開し、インターネットへの接続を設定可能

また、Amazon VPCではインターネットに接続しないネットワーク(サブネット)も構築できます。下図のように、プライベートなサブネットを展開し、VPNや専用線などの閉域接続ネットワークにより、オンプレミス環境とのセキュアな接続も可能です。

Amazon VPCにパブリックサブネットを展開し、インターネットへの接続を設定可能

もちろん、下図のように、ひとつのAmazon VPC内に、インターネットと接続するパブリックなサブネット、オンプレミス環境と接続するプライベートなサブネットを展開するなど、要件に応じて、さまざまなコンポーネントを配置・設定したネットワーク環境の構築ができます。

オンプレミス環境、インターネットそれぞれに接続するハイブリッド構成も可能

AWSクラウドは世界中での利用が想定されており、複数のリージョン(地理的領域)に分かれて展開されています。たとえば、日本とシンガポールで事業を展開する企業や組織なら、それぞれの拠点に近いAWSのリソースを利用する場合が多いと思います。この場合にはAmazon VPCはそれぞれのリージョンで展開(構築)されますが、「AWS Direct Connect Gateway」により複数のリージョンをまたいで複数のVPCに接続することも可能です。

AWS Direct Connect Gatewayによって、異なるリージョンにあるVPCにアクセス

※DXGW:Direct Connect Gateway、VIF:ホスト型仮想インターフェイス、VGW:仮想プライベートゲートウェイ

目的に応じた、Amazon VPC接続・管理の機能や方法

AWSアカウント内に目的の異なる複数のAmazon VPCを配置していく場合、それらを相互に接続したり、インターネットに接続したり、オンプレミス環境に接続したり、役割別に境界を設けたりするなど、組織の目的に応じた設計が必要です。ここでは、複数のAmazon VPC間ネットワーク構築のバリエーションを、目的ごとに紹介します。

AWS PrivateLink 〜異なるVPCからのアプリケーション共用

AWSのサービスやAWSアカウントでホストされているサービスおよび、AWS Marketplaceパートナーのサービスと、Amazon VPCとをプライベートに接続する機能に「AWS PrivateLink」があります。異なるAmazon VPCからのアプリケーション共用を行いたい場合に有効な手段で、数千のAmazon VPC接続にも対応できます。

AWS PrivateLinkを使う場合は、インターネットゲートウェイやVPN接続、AWS Direct Connect接続を利用する必要がありません。Amazon VPCと接続するほかのサービス間のトラフィックは、VPC外のAmazonのバックボーンネットワーク内で展開されるので、VPC内のネットワークトラフィックへの負荷によるリスクを気にしたり、帯域幅の制約を課したりする必要もないのです。

Amazon VPC内にエンドポイントを作成し、AWSのほかのサービスとプライベートに接続する

VPC ピアリング接続 〜組織内リソースの共用

「VPC ピアリング接続」は、2つの Amazon VPC間でプライベートに接続できる機能です。いずれのVPCに属するインスタンスともに同じVPCに存在しているかのような通信ができ、組織内のリソース共有に有効です。たとえば、同じ組織のセクションごとにIT部門があり、それぞれが個別のVPCを利用している場合、すべてのVPCをピアリング接続すればお互いのリソースにフルアクセスできるようになります。

なお、AWS では Amazon VPCを構成する既存のインフラストラクチャを使用しVPCピアリングを提供しています。一方のVPCにて、相手側のVPCへのピアリング接続のリクエストを作成し、これを相手側のVPCが承認することで接続が確立されます。このように、別のゲートウェイやVPN、物理的なハードウェアを利用せずVPC間で直接ピアリング接続を確立できるため、通信の単一障害点や帯域幅のボトルネックはありません。

VPCリアピング接続は、アカウントやリージョンの異なるAmazon VPC間でも作成可能

AWS Transit Gateway 〜ネットワークの共用

「AWS Transit Gateway」は、複数のAmazon VPCとオンプレミスネットワークを単一のゲートウェイに接続できるようにするサービスです。連携すべきクラウドやオンプレミスのリソースが増大した場合に管理を簡略化できます。

オンプレミス環境との接続にはVPNとAmazon VPCを関連づける必要があります。VPC同士をピアリングすることもあるでしょう。しかし、組織内で運用するVPCの数が数百、数千にもなると、構築や管理が困難になります。AWS Transit Gatewayなら、一元管理された単一のゲートウェイに接続を集約することができるため、速やかにネットワークサイズを拡張できるようになります。ネットワークの共用に有効な手段で、数千のAmazon VPC接続にも対応できるスケーラビリティがあります。

AWS Transit Gatewayをハブにして、Amazon VPCやオンプレミス環境を接続してネットワークを共用

VPC シェアリング 〜ITリソースの管理効率化

Amazon EC2やAmazon VPCは、デフォルトではIPv4アドレスプロトコルを使用します。しかしながら、管理するVPCが増えてくると、IPアドレス資源が枯渇したり、IPアドレスの割り当てやピアリングの管理が煩雑になったり、またVPC間のトラフィックコストも増大していく可能性があります。

これらの問題を解消するアプローチのひとつに「VPCシェアリング」があります。組織内の異なる複数のAWSアカウント間でVPCをシェアすることによって、使用するVPC数を削減するというやり方です。VPCの数を減らす一方で一つのVPCの役割を大きくして統合していくことで、IPv4アドレスの割り当てを簡略化したり、ピアリングを減らしたりしてよりシンプルな構成を目指します。

VPCを統合・削減しながら、複数のアカウントから利用できるようにする

ただし、VPCシェアリングはすべての組織に向いているやり方ではありません。たとえば、個々にVPCを分離したほうがコンプライアンスを守れる場合や、個人や細かなチーム単位で環境構築・管理をする組織には向いていないと言えます。

まとめ

クラウドサービスであるAWSは、物理的な施設・機器の導入が必要なオンプレミスに比べて容易にIT環境の構築ができます。基本的なサービスと言えるAmazon VPCを利用することで、組織内の情報セキュリティルールや基幹システムとの連携、アプリケーションやデータリソースの共有、インターネットへの接続など、さまざまな要件に対応できるプライベートなネットワークを手軽に構築できます。

実際には、VPCは、組織内部署の関係性や将来の拡大も考慮して設計していく必要があります。AWSには、設計・構築・運用を手助けするツールが各種ありますので、目的にあわせて活用していきましょう。

クラウドの導入・運用に関する
ご相談、お問い合わせをお待ちしております。

無料ダウンロード

自社のクラウド導入に必要な知識、ポイントを
このに総まとめ!

あなたはクラウド化の
何の情報を知りたいですか?

  • そもそも自社は本当にクラウド化すべき?オンプレとクラウドの違いは?
  • 【AWS・Azure・Google Cloud】
    どれが自社に最もマッチするの?
  • 情シス担当者の負荷を減らしてコストを軽減するクラウド化のポイントは?
  • 自社のクラウド導入を実現するまでの具体的な流れ・検討する順番は?

初めての自社クラウド導入、
わからないことが多く困ってしまいますよね。

NTT東日本では
そんなあなたにクラウド導入に必要な情報を

1冊の冊子にまとめました!

クラウド化のポイントを知らずに導入を進めると、以下のような事になってしまうことも・・・

  • システムインフラの維持にかかるトータルコストがあまり変わらない。。
  • 情シス担当者の負担が減らない。。
  • セキュリティ性・速度など、クラウド期待する効果を十分に享受できない。。
理想的なクラウド環境を実現するためにも、
最低限の4つのポイントを
抑えておきたいところです。
  • そもそも”クラウド化”とは?
    その本質的なメリット・デメリット
  • 自社にとって
    最適なクラウド環境構築のポイント
  • コストを抑えるため
    具体的なコツ
  • 既存環境からスムーズにクラウド化
    実現するためのロードマップ

など、この1冊だけで自社のクラウド化のポイントが簡単に理解できます。
またNTT東日本でクラウド化を実現し
問題を解決した事例や、
導入サポートサービスも掲載しているので、
ぜひダウンロードして読んでみてください。

クラウドのわからない・
面倒でお困りのあなたへ

クラウドのご相談できます!
無料オンライン相談窓口

NTT東日本なら貴社のクラウド導入設計から
ネットワーク環境構築・セキュリティ・運用まで
”ワンストップ支援”が可能です!

NTT東日本が選ばれる5つの理由

  • クラウド導入を
    0からワンストップでサポート可能!
  • 全体最適におけるコスト効率・業務効率の改善
    中立的にご提案
  • クラウド環境に問題がないか、
    第3者目線でチェック
    してもらいたい
  • 安心の24時間・365日の対応・保守
  • NTT東日本が保有する豊富なサービスの組み合わせで
    ”課題解決”と”コスト軽減”を両立

特に以下に当てはまる方はお気軽に
ご相談ください。

  • さまざまな種類やクラウド提供事業者があってどれが自社に適切かわからない
  • オンプレミスのままがよいのか、クラウド移行すべきなのか、迷っている
  • オンプレミスとクラウド移行した際のコスト比較を行いたい
  • AWSとAzure、どちらのクラウドが自社に適切かわからない
  • クラウド環境に問題がないか、第3者目線でチェックしてもらいたい
  • クラウド利用中、ネットワークの速度が遅くて業務に支障がでている

クラウドを熟知するプロが、クラウド導入におけるお客さまのLAN 環境や接続ネットワーク、
クラウドサービスまでトータルにお客さまのお悩みや課題の解決をサポートします。

相談無料!プロが中立的にアドバイスいたします

クラウド・AWS・Azureでお困りの方はお気軽にご相談ください。

ページ上部へ戻る