フェイス・ソリューション・テクノロジーズ株式会社 IS本部オペレーションサービスユニットのToshiです。此度初めてAWSの勉強を始めてみました。よろしくお願いいたします。
今回はAWS VPCについて勉強したことを書いていきます。
はじめに
まずプライベートクラウドとは、クラウドサービスが個人単位で様々なデータのやり取りをするものに対し、企業が自分たちのみでの利用のためだけに用意したクラウド環境です。
VPCとは自分たちで設備や環境を用意するのではなく、専門のクラウド事業者などにそれらを用意してもらいデータセンター内から自分たち専用の区画を借り受けて運用する方式のことです。
リージョンとAZ
AWSではデータセンターが物理的、ソフトウェア的に自律している1つ以上のデータセンタの集合の単位をAZ(アベイラリティゾーン)と呼びます。複数のAZが隔離され、物理的にも分離された地域のことをリージョンと呼びます。
ユーザーはAZやリージョンはAWS側が用意したものを使用し、VPCやサブネットといった論理的な区画を自分たちで作成し整備していくことになります。
サブネット
VPCを作成するとリージョン内のAZをすべて利用できるようになりますが、AZ内のネットワークを分割し、複数の小さなネットワークにし、セキュリティレベルを高めることができます。この分割された小さなネットワークのことをサブネットといいます。
サブネットは、1つのAZに所属する必要があり、複数のAZにまたがることはできません。つまり、複数AZにリソースを配置して可用性を高くしたい場合は、サブネットも合わせて複数作成する必要があります。
このサブネットの中に仮想サーバーのEC2インスタンスを立てていくことになりますが、インターネットと通信できるパブリックサブネット、外部からのアクセスを遮断するプライベートサブネットを定義することになります。
パブリックサブネット
パブリックサブネットはルートテーブルを使ってインターネットゲートウェイとつなぐことでインターネットに接続することができるようになりVPCの外部と通信ができるようになります。主にパブリックサブネットにはWebサイトなどを設置します。
プライベートサブネット
プライベートサブネットは外部と通信できませんがパブリックサブネットにNATゲートウェイを設置、ルートテーブルを設定することでインターネットと通信することができます。ただし、こちらはVPCの外部からアクセスすることはできず、通信は内部から外部への一方通行です。プライベートサブネットには外からアクセスされると困るDBサーバーなどが設置されます。また、NATゲートウェイは時間、およびデータ量の従量制課金システムとなっています。
インターネットゲートウェイとNATゲートウェイ
インターネットゲートウェイはVPCからインターネットへつなぐためのものです。
NATゲートウェイはインターネットから接続されたくないが、VPC内からインターネットに接続したい時に使用します。
ルートテーブル
サブネット内の通信がどの宛先のネットワークに対して、どのコンポーネントに転送されて欲しいかを設定するコンポーネントのことをルートテーブルといいます。
一つのサブネットに一つのルートテーブルを用意できますが、指定がない場合はVPC作成時に自動生成されるメインルートテーブルがサブネットに割り当てられます。
VPC エンドポイント
VPC エンドポイントとはインターネットゲートウェイやNATゲートウェイなどを経由することなく、VPCと他のAWSのサービスとをプライベートに接続できるAWSのサービスです。
これまでの流れだとVPCを構築していく際、サブネットに配置させたEC2 インスタンスからAmazon S3などほかのAWSのサービスへアクセスする場合、VPCの外へ通信をするためインターネットゲートウェイを通過することになります。
しかし、VPCエンドポイントを利用することでEC2 インスタンスから他サービスへのアクセスはインターネットゲートウェイを経由しないプライベートなアクセス経路を実現することができるうえ、NATゲートウェイを通過しないので利用料金も抑えられます。
終わりに
AWS VPCはネットワークに関してあまり知識のない人でも設定することができ、さらにVPC自体は無料で利用できますがNATゲートウェイに関しては設置時間、1GBのデータ処理料金、データ転送料金など利用料金がかかってきますのではじめのうちは慎重に運用することが必要だと思います。
コメント