みなさんインフラを触る上でコンピューターサイエンスの分野で何を勉強しないといけないと思いますか?多くの人はなんかネットワーク大事そうだな〜と思いますよね?そのため初めにネットワークの話を始めます.
クラウドでシステムを構築する際に避けて通れないのが「VPC」である.でも,「ネットワークの知識が乏しい」「何から始めればいいかわからない」という方も多いのではないでしょうか.この記事では、ネットワークの基礎からAWS VPCの実践的な使い方まで,図解とともにわかりやすく解説していきます.
シリーズ IAM AWS User クラウドサービスをフル活用しよう!
Part1 バックエンドとは何なのか?クラウドコンピューティングとバックエンド開発の関係性を知ろう!
他のシリーズ記事
TypeScriptで学ぶプログラミングの世界
プログラミング言語を根本的に理解するシリーズです.
〇〇チートシート
様々な言語,フレームワーク,ライブラリなど開発技術の使用方法,基本事項,応用事例を網羅し,手引書として記載したシリーズです.
git/gh,lazygit,docker,vim,go/gorm,typescript,SQL,プルリクエスト/マークダウン,ステータスコード,ファイル操作のチートシートがあります.以下の記事に遷移した後,各種チートシートのリンクがあります.
情報処理技術者試験合格への道 [IP・SG・FE・AP]
情報処理技術者試験の単語集です.
クラウドコンピューティングとは
クラウドを一言で表すと「必要な時に必要なだけ,低価格でITリソースを適用/利活用すること」.
対して,オンプレミスは自社でハードウェアとソフトウェアを管理し,自前のシステムを構築する運用手段と言える.
オンプレミスだと初期投資のみで済んだり,自社内のセキュリティで完結でき,既存の自社システムとの互換性を保ちやすい利点がある.しかし,スケーリング(リソースをトラフィック数に応じて動的配置すること)が難しかったり,初期投資の額が高いデメリットがある.
クラウドだと初期投資がかからず,従量課金声で,ベンダーのサービス内容に依存できる.また,自動でスケーリングでき,必要に応じてリソースの大きさや数を選べる.
それではクラウドを始めるにあたって必要なネットワークの知識を紹介する.
ネットワークとは?
私たちが普段使うパソコンやスマートフォンは,単体では限られた機能しか持ちません。しかし,これらの機器をネットワークで接続することで,情報の共有やサービスの利用が可能になる.
検索してからWebサイトを表示するまで
上記で説明したようにパソコン単体ではGoogle.comをはじめとしたWebページにアクセスできない.ご存じのとおり,みなさんのパソコンには当然Googleはいませんし,このQiita記事もないですよね?なぜ今現在GoogleやQiitaは閲覧できるのでしょうか?
例えばみなさんがブラウザにqiita.comとアクセスした場合の流れを考えてみましょう.
【用語説明】
- DNS (Domain Name System): ドメイン名とIPアドレスを紐付けるシステム
- IPアドレス: インターネット上の機器を識別する番号
- TCP (Transmission Control Protocol): データ通信の信頼性を確保するプロトコル
- HTTP (HyperText Transfer Protocol): Webサーバー(Qiitaサーバー)とクライアント(PC)でデータをやりとりするプロトコル
- DOM (Document Object Model): HTMLをツリー構造で表現したもの
TCP,HTTP,IPアドレスは後に詳しく説明します.
1. ブラウザでの入力処理
- ユーザーがブラウザのアドレスバーに「qiita.com」と入力する.
- ブラウザはこのドメイン名をIPアドレスに変換する必要があると判断する.
宛先のWebサーバー(Qiitaサーバー)の情報を得るには宛先のIPアドレスを知る必要がある
2. DNS解決プロセス
宛先のIPアドレスを知るためにPCはまずルートDNSサーバーに問い合わせを行う.
2-1. NSレコードによる権威DNSサーバーの特定
- ルートDNSサーバー → TLDサーバーのNSレコードを返す
. (ルート) → .com のNSレコード - TLDサーバー → 権威DNSサーバーのNSレコードを返す
.com → qiita.com のNSレコード
2-2. Aレコードによる最終的なIPアドレスの解決
- 権威DNSサーバー → ドメインのAレコード(IPアドレス)を返す
qiita.comの権威DNSサーバー → qiita.comのAレコード
【用語説明】
- ルートDNSサーバー: インターネットの最上位に位置するDNSサーバー
- TLD (Top Level Domain): .comや.jpなどのドメインの種類を表す部分
- 権威DNSサーバー: そのドメインの正式なIPアドレス情報を持つサーバー
【DNSレコードとは】
DNSサーバーに登録される様々な種類の情報のことで,ドメインに関する設定を定義する.
1. Aレコード (Address Record)
- ドメイン名とIPv4アドレスを紐付けるレコード
- 例: qiita.com → 54.64.123.456(この値は適当です)
2. NSレコード (Name Server Record)
- ドメインのDNSサーバーを指定するレコード
- そのドメインのDNS情報を管理する権威DNSサーバーを示す
- 例: qiita.com → ns1.qiita.com
3. TCPコネクション確立
宛先のIPアドレスがわかればその宛先に対して3-wayハンドシェイクと呼ばれる手順で接続を確立する
- クライアントがSYNパケットを送信
- サーバーがSYN+ACKパケットで応答
- クライアントがACKパケットを返してコネクション確立
TCP (Transmission Control Protocol) とは
インターネット上でデータを確実に送受信するために使用される通信プロトコル(規約)
【特徴】
1. コネクション型通信
- 通信開始前に接続を確立する(3-wayハンドシェイク)
- 通信終了時に接続を切断する
- 送信相手が特定されている状態で通信を行う
2. 信頼性の高い通信
- データの到着確認を行う
- 欠落したデータの再送を行う
- データの順序を保証する
- 重複したデータを破棄する
3. フロー制御
- 受信側の処理能力に合わせて送信速度を調整する
- バッファオーバーフローを防止する
【3-wayハンドシェイクの詳細】
1. 接続開始(SYN)
- クライアントがサーバーに接続要求を送信
- SYNフラグを立てたパケットを送る
- 初期シーケンス番号を含む
2. 接続応答(SYN+ACK)
- サーバーがクライアントに応答を返す
- SYNとACKフラグを立てたパケットを送る
- サーバーの初期シーケンス番号を含む
- クライアントのシーケンス番号に1を加えた値を含む
3. 接続確立(ACK)
- クライアントが最終確認を送信
- ACKフラグを立てたパケットを送る
- サーバーのシーケンス番号に1を加えた値を含む
【用語説明】
- プロトコル: 通信規約・手順を定めたルール
- パケット: データを分割して送受信する単位
- シーケンス番号: データの順序を管理するための番号
- バッファ: データを一時的に保存する場所
- フラグ: 通信の状態を示す目印
【TCPの用途例】
- Webブラウジング(HTTP通信)
- メール送受信(SMTP, POP3, IMAP)
- ファイル転送(FTP)
- リモート制御(SSH)
4. HTTPによる通信
- クライアントがHTTPリクエストをサーバーに送信する.
- サーバーがHTTPレスポンスを返す.
- レスポンスにはHTML, CSS, JavaScriptなどのリソースが含まれる.
5. ブラウザでのレンダリング処理
- HTML文書の解析を行う.
- DOMツリーを構築する.
- CSSスタイルをDOMツリーに適用する.
- 要素の配置を計算するレイアウト処理を行う.
- 最終的な画面描画を実行する.
これらの一連の処理により,ユーザーはWebページの内容を閲覧することができる.
IPアドレスとは?
インターネット上の機器を識別するために使われるのが「IPアドレス」.現実世界に例えると,住所や電話番号のような役割を果たす.
ここではIPv4の話に絞ります
IPアドレスは4つの数字の組み合わせで,各数字は0から255までの値をピリオドで区切られて表される.
例:192.168.1.10
最大が255である理由は2進数にした時各数字は8ビットで表現されるため,全て1は符号なし2進数で255を表すためです
【プライベートIPアドレスとは】
- ローカルネットワーク内でのみ使用できる特別なIPアドレス
- インターネットでは使用できない(ルーティングされない)アドレス
- RFC1918で規定されている
【プライベートIPアドレスの範囲】
1. クラスA
- 範囲: 10.0.0.0 ~ 10.255.255.255
- プレフィックス: 10.0.0.0/8
- 利用可能IPアドレス数: 約1677万個(16,777,214個)
- 主な用途: 大規模ネットワーク(企業や大学など)
プレフィックス長とは
IPアドレスの各ビットはネットワーク部とホスト部で表せられる.
【ネットワーク部】
ネットワークを識別するためのアドレス部分.同じネットワーク内の機器は,すべて同じネットワーク部を持つ.ルーターはこの部分を見て,パケットの転送先を判断する.プレフィックス(/8など)で指定された先頭ビットまでが,このネットワーク部にあたる.
プレフィックス(/8)は255.0.0.0.0とも表せられる.
【ホスト部】
各機器を識別するためのアドレス部分.同じネットワーク内で重複しない値を割り当てる.ネットワーク管理者が自由に設定でき,プレフィックス以降のビットがこのホスト部にあたる.
【ネットワークアドレスとブロードキャストアドレス】
ホスト部の全ビットが0だとこのプライベートIPアドレスはネットワークアドレスを表すことになり,ネットワークの情報を表す.
また,ホスト部の全ビットが1だとこのプライベートIPアドレスはブロードキャストアドレスを表し,このネットワークに属するすべてのホストを表す.
そのため割り当てられるホストは2の24乗からネットワークアドレスとブロードキャストアドレスを引いたものとなる.
2. クラスB
- 範囲: 172.16.0.0 ~ 172.31.255.255
- プレフィックス: 172.16.0.0/12
- 利用可能IPアドレス数: 約104万個(2^20 - 2 = 1,048,574個)
- 主な用途: 中規模ネットワーク
3. クラスC
- 範囲: 192.168.0.0 ~ 192.168.255.255
- プレフィックス: 192.168.0.0/16
- 利用可能IPアドレス数: 約6.5万個(2^16 - 2 = 65,534個)
- 主な用途: 小規模ネットワーク(家庭やオフィスなど)
サブネットとは?
大きなネットワークを小さく分割したものを「サブネット」と呼ぶ.
イメージはこんな感じで,全体の組織で使えるホストををそれぞれの部署ごとに小さく分割しホストを割り当てるような感覚.
サブネットを使用する利点
- セキュリティの向上
- ネットワークの管理がしやすくなる
- トラフィックの分離が可能
上のネットワークの構成を考えてみる.
ネットワークの全体像
まず, このネットワークは192.168.1.0/24というプライベートIPアドレス空間を使用している. このアドレス空間は, クラスCのプライベートアドレス範囲に属しており, 小規模から中規模の企業ネットワークで一般的に使用される設計である.
サブネット1: クライアントネットワーク
- ネットワークアドレス 192.168.1.0/25
- 使用可能IPアドレス範囲 192.168.1.1 ~ 192.168.1.126
- ブロードキャストアドレス 192.168.1.127
このサブネットには主にクライアントPCが配置されており, PC1とPC2が接続されている. クライアントPCには192.168.1.10と192.168.1.20付近のIPアドレスが静的または動的に割り当てられる.
サブネット2: サーバーネットワーク
- ネットワークアドレス: 192.168.1.128/25
- 使用可能IPアドレス範囲: 192.168.1.129 ~ 192.168.1.254
- ブロードキャストアドレス: 192.168.1.255
このサブネットには主にサーバーが配置されており, Server1とServer2が接続されている. サーバーには192.168.1.130と192.168.1.140付近のIPアドレスが割り当てられている.
デフォルトゲートウェイの役割
ネットワークの中心には, IPアドレス192.168.1.1を持つデフォルトゲートウェイが配置されている. デフォルトゲートウェイはネットワーク内のデバイスが自分のサブネット(ネットワークセグメント)外にある他のネットワークやインターネット上のデバイスと通信する際に、データを送るための中継役となるルーターやネットワークデバイスのこと
-
デフォルトゲートウェイの役割と必要性
サブネット外への通信
コンピュータやデバイスは,同じサブネット内の他のデバイスとは直接通信できる.しかし,異なるサブネットやインターネット上のデバイスと通信するためには,デフォルトゲートウェイを経由する必要がある.
データのルーティング
デバイスが送信するデータ(パケット)の宛先が自分のサブネット外である場合,そのパケットはデフォルトゲートウェイに送られる.デフォルトゲートウェイは,パケットを適切な経路に転送し,最終的な目的地まで届ける.
-
動作の仕組み
ルーティングテーブル
各デバイスにはルーティングテーブルがあり,どのネットワークにパケットをどの経路で送るかが記載されている.デフォルトゲートウェイは,このルーティングテーブルにおける「デフォルトルート」として設定される.
デフォルトルート
デバイスがパケットの宛先を判別した際,ルーティングテーブルにその宛先への明確なルートがない場合,デフォルトルートが使用される.このデフォルトルートの先がデフォルトゲートウェイである.
-
サブネット間での通信はどうなるのか?
同じサブネット内での通信
デバイスA(IPアドレス: 192.168.1.10)がデバイスB(IPアドレス: 192.168.1.20)にデータを送る場合,デフォルトゲートウェイを経由せずに直接通信する.
異なるサブネットへの通信
デバイスA(IPアドレス: 192.168.1.10)がデバイスC(IPアドレス: 192.168.2.10)にデータを送る場合,デバイスAはデフォルトゲートウェイにパケットを送る.ゲートウェイはパケットを適切な経路にルーティングし,デバイスCに届ける.
デフォルトゲートウェイとサブネット1のIPアドレスが重複している?
192.168.1.1というIPアドレスはサブネット1の始めのIPアドレスでもあり,デフォルトゲートウェイのIPアドレスでもある.重複していてもいいのか??? 結論無問題である.その理由は以下の通りである.
-
一貫性と分かりやすさ
予測可能性
常にサブネットの最初のアドレスをゲートウェイにすることで,ネットワーク管理者やユーザーはゲートウェイのアドレスを簡単に予測できる. -
管理の容易さ
ドキュメンテーションの簡素化
ゲートウェイのアドレスが一貫していると,ネットワーク図や設定資料の作成が簡単になる.トラブルシューティングの効率化
問題が発生した場合に,ゲートウェイの場所をすぐに特定できるため,迅速な対応が可能. -
アドレスの整理
アドレス競合の防止
サブネット内で最初(または最後)のアドレスをゲートウェイ用に予約しておくことで,他のデバイスが誤って同じアドレスを使用するリスクを減らせる.IPアドレスの計画
アドレスの割り当てが体系的になるため,ネットワークの拡張や変更が容易になる.
AWS VPCとは?(VPC・サブネット・インターネットゲートウェイ・ルートテーブル・NATゲートウェイ・VPCエンドポイント)
ここまでネットワークの基礎を説明してきたが,これらの概念はAWS VPCでも同じように使われる.
AWSのVPC(Virtual Private Cloud)は,ユーザーが自分専用の仮想ネットワーク環境をクラウド上に構築できるサービス.このVPC内でサブネットやゲートウェイを設定することで,ネットワークの細かな制御やセキュリティの強化が可能になる.
VPCは以下のイメージで構成される.
AWSのVPCコンポーネント詳細
AWSVPCは以下の4つでVPCそのものと以下の4つで構成される.
以下の画像は基本的なVPCの構成をAWSアーキテクチャ図で表現したものである.
-
1. サブネット
パブリックサブネット
インターネットゲートウェイ(IGW)を介してインターネットに直接アクセス可能である.
パブリックIPアドレスを持つリソースを配置できる.
Webサーバーなど外部公開が必要なリソースを配置する.
プライベートサブネット
インターネットへの直接アクセスは不可である.
プライベートIPアドレスのみを使用する.
データベースや内部APIサーバーなど,セキュリティが重要なリソースを配置する.
-
2. インターネットゲートウェイ (IGW)
VPCとインターネットを接続する仮想ルーターである.
パブリックサブネットのリソースがインターネットと通信するために必須である.
双方向の通信を可能にし,インバウンドとアウトバウンドのトラフィックを処理する.
-
3. ルートテーブル
ネットワークトラフィックの経路を定義する設定テーブルである.
送信先IPアドレスの範囲とターゲット(次のホップ)を指定する.
サブネットごとに異なるルーティング設定が可能である. -
4. VPCエンドポイント
AWSのVPC(Virtual Private Cloud)内からインターネットを経由せずに,AWSのサービスやVPCエンドポイントサービス(他のVPCでホストされているサービス)にプライベートに接続するための機能.
VPCエンドポイントの使用により,データがインターネットに露出することなく,安全かつ効率的にAWSサービスと通信できる.
VPCエンドポイントは以下の2種類が存在する.
インターフェイスエンドポイント
ENI(Elastic Network Interface)を作成し,プライベートIPアドレスを割り当てる.
S3(ストレージサービス)やDynamoDB(キーバーリューストア型のデータベース)を除く多くのAWSサービスで使用する.
PrivateLink技術を使用して接続を確立する.
ゲートウェイエンドポイント
S3とDynamoDBに特化したエンドポイントである.
ルートテーブルにエントリを追加して使用する.
インターフェイスエンドポイントより低コストである.
-
5. NAT(Network Address Translation)ゲートウェイ
プライベートサブネット内のリソースがインターネットにアクセスするためのサービス.プライベートサブネットに配置されたインスタンスがインターネットから直接アクセスされないようにしつつ、外部へのアウトバウンド通信を可能にするが,外部からのインバウンド通信は許可されない.
インバウンド通信(Inbound Traffic)とは
外部からネットワークやサーバーに向かう通信.例えば,ユーザーがブラウザからウェブサイトにアクセスするリクエスト.
アウトバウンド通信(Outbound Traffic)とは
ネットワークやサーバーから外部に向かう通信.例えば,サーバーが外部APIにリクエストを送信したり,ソフトウェアをアップデートするための通信.
AWSVPCでのIPアドレス割り当て方法
AWSではネットワークのIPアドレスの割り当てに,CIDR(Classless Inter-Domain Routing) を用いる.
CIDRとは
IPアドレスの割り当てとルーティングを効率的に行うための方法で,従来のクラスA,B,Cといった固定的なネットワーククラスに依存しない柔軟なIPアドレスの指定方法
CIDRブロックは,このCIDR方式を用いて表現されるIPアドレスの範囲を示す.CIDR表記では,IPアドレスとサブネットマスクの長さを組み合わせてネットワークの範囲を指定する点は従来と同じである.
AWSでは,VPCのCIDRブロックは /16から/28 まで指定可能.そのため,/8のCIDRブロックはVPCに割り当てられない.
VPC を作成するときに、その VPC の IPv4 CIDR ブロックを指定する必要があります。許可されるブロックサイズは、/16 ネットマスク(65,536 個の IP アドレス)から /28 ネットマスク(16 個の IP アドレス)の間です。(AWS公式より)
以下の画像はAWSでVPCのみを作成する場合のマネジメントコンソールの画像である.
AWSマネジメントコンソールとは
シンプルで直感的なウェブベースのユーザーインターフェイスからAWS にアクセスして管理できる
VPC以外にもIGW,パブリックサブネット,プライベートサブネット,ルートテーブル,VPCエンドポイントの作成まで同時に行うこともできる.
VPCなどを選択すると以下のような画面になる.
-
IPv4 CIDR ブロック
IPv4 CIDR ブロックはVPCの規模で適切な値を指定する.AWSVPCでは10.0.0.0/16 または 10.0.0.0/24を指定することが多い. -
IPv6 CIDR ブロック
IPv6 CIDRブロックとは,IPv6アドレスの範囲を表す表記方法であり,IPv4のCIDRと同様に「ネットワークアドレス」と「プレフィックス長(サブネットマスクのビット数)」で構成される.IPv6アドレスを使ったネットワーク設計や構築を行う際に必要. -
テナンシー
テナンシーはインスタンスを立てるAWSのハードウェアを他のユーザと共有するか,自分だけで専有するか選択すること.AWSでは、以下の2種類のテナンシーが提供されている.-
1. Default(デフォルト)テナンシー
VPC内のインスタンスは,AWSの共有インフラストラクチャ上で動作し,他のAWSユーザーのインスタンスと物理ホストを共有する.通常,最もコスト効率が良いオプション.
利用シーンはコストを優先する場合や他のワークロードと物理ホストを共有しても問題ない場合. -
2. Dedicated(専有)テナンシー
VPC内のインスタンスは,専用ホスト上で稼働し,他のAWSアカウントのインスタンスと物理ホストを共有しない.他のワークロードの影響を完全に排除できる.専用ホスト(Dedicated Host)または専用インスタンス(Dedicated Instance)を使用する.他のAWSユーザーと物理リソースを共有しないため,セキュリティ要件や規制に適合.セキュリティやコンプライアンスの要件が厳しい場合(例: 金融機関や医療業界),他のユーザーと物理ホストを共有したくない場合に使用する
-
1. Default(デフォルト)テナンシー
-
アベイラビリティゾーン(AZ)・パブリックサブネット・プライベートサブネットの数
VPCがあるリージョン内のどのくらいのAZを跨いで設置するかを決められる.マルチAZ構成にするかを選択できる.基本的に各AZに1つずつのパブリックサブネットとプライベートサブネットを設置することになる.
このように2つのAZを用意するとそれぞれに1つずつパブリックサブネットとプライベートサブネットを設置するか...またはパブリックサブネットはなしでプライベートサブネットのみそれぞれのAZに1つずつ設置することも可能だ.
-
NAT ゲートウェイ
プライベートサブネット内のリソースがインターネットにアクセスできるようにするかどうか選べる.もし設置するなら各プライベートサブネットごとに1つのNATゲートウェイを設置する.
NAT Gateway は配置しているだけで1時間ごとに 0.062 USD の料金が発生する.さらに,データ処理量 1GB ごとに 0.062 USD の料金も発生する.ここでのデータ処理量は行きの通信・戻りの通信の双方を含む.
-
VPCエンドポイント(S3ゲートウェイ)
VPC内のインスタンスがS3(ストレージサービス)にアクセスする場合は作成する
※基本は作成する
ゲートウェイエンドポイント(S3,DynamoDB用のVPCエンドポイント)は追加料金なしで使用することができる.ゲートウェイエンドポイントを経由したS3・DynamoDBとの通信は無料となる.東京リージョンにおけるインターフェイスエンドポイントの料金は,エンドポイントが作成されてから各アベイラビリティゾーンで1時間ごとに0.014USD課金される.
リージョンとアベイラビリティゾーンとは
まずAWSにはリージョン,アベイラビリティゾーンという概念がある.
リージョン
AWSは地理的に離れた領域を表すリージョンという概念がある.たとえば日本では東京(ap-northeast-1)と大阪(ap-northeast-3)が存在する
他にもこのようなリージョンが存在する.
各AWSサービスはこのリージョン上で利用することになる.
アベイラビリティゾーン
アベイラビリティゾーンはリージョン内の独立した場所である.基本的に可用性の観点からAWSサービスを複数のアベイラビリティゾーンを跨いで利用する場合が多い.これをマルチAZという.これにより東京リージョンの1つのアベイラビリティゾーンに何かしらの障害が起きた場合も他のアベイラビリティゾーンに配置したAWSサービスでシステムを動かし続けることができる.
VPCのみ作成した上で個別でサブネット・インターネットゲートウェイ・ルートテーブル・NATゲートウェイ・VPCエンドポイントを設置することもできる.
マネジメントコンソールの上部の検索欄でVPCと入れ,VPC(独立したクラウドリソース)を選択するとVPC・サブネット・インターネットゲートウェイ・ルートテーブル・NATゲートウェイ・VPCエンドポイントの設定ができる.
サブネットの作成
サブネットを作成するVPCを選択する.
IPv4サブネットCIDRブロックの指定をする.VPCが10.0.0.0/16であると仮定する.
- 10.0.0.0/16のVPCは65,536個のIPアドレスを持つため、サブネットごとに細かく分割する。
- サブネットごとに10.0.0.0/24(256 IPアドレス)や10.0.0.0/26(64 IPアドレス)などを割り当てる
2パターンの設計例がある.
具体的な例: AZごとの分割
VPC全体を2つのアベイラビリティゾーン(AZ)に分割し、それぞれにパブリックサブネットとプライベートサブネットを配置する例を示す。
| サブネット名 | CIDRブロック | AZ | 用途 |
|---|---|---|---|
| Public Subnet 1 | 10.0.0.0/24 | ap-northeast-1a | Webサーバー(インターネット接続) |
| Private Subnet 1 | 10.0.1.0/24 | ap-northeast-1a | DBサーバー、アプリケーション |
| Public Subnet 2 | 10.0.2.0/24 | ap-northeast-1b | Webサーバー(インターネット接続) |
| Private Subnet 2 | 10.0.3.0/24 | ap-northeast-1b | DBサーバー、アプリケーション |
具体的な例: 小規模な環境
小規模なネットワーク設計では、サブネットをさらに細かく分割することも可能である。たとえば、/26(64 IPアドレス)を割り当てると、より多くのサブネットを作成できる。
| サブネット名 | CIDRブロック | AZ | 用途 |
|---|---|---|---|
| Public Subnet 1 | 10.0.0.0/26 | ap-northeast-1a | 小規模Webサーバー |
| Private Subnet 1 | 10.0.0.64/26 | ap-northeast-1a | 小規模DBサーバー |
| Public Subnet 2 | 10.0.1.0/26 | ap-northeast-1b | 小規模Webサーバー |
| Private Subnet 2 | 10.0.1.64/26 | ap-northeast-1b | 小規模DBサーバー |
インターネットゲートウェイの作成
インターネットゲートウェイは名前を決定して作成するのみ出会えう.パブリックサブネットへの設置は後ほどルートテーブルで行う.
ルートテーブルの作成
まずルートテーブルの名前とどのVPCのルートテーブルかを選択する.
作成したらルーティングの設定ができる.「ルートの編集」を選択する.
送信先を選択する
-
0.0.0.0/0- 全てのIPv4アドレス範囲を意味する。通常、インターネットゲートウェイやNATゲートウェイへのデフォルトルートとして使用される
-
0.0.0.0/8- IPv4アドレス範囲
0.0.0.0から0.255.255.255までの範囲を示す.この範囲は一般的にAWSでは利用されないが,カスタムルーティングで指定されることがある
- IPv4アドレス範囲
-
0.0.0.0/16- IPv4アドレス範囲
0.0.0.0から0.0.255.255までの範囲を示す.同様に特定用途向け
- IPv4アドレス範囲
-
0.0.0.0/24- IPv4アドレス範囲
0.0.0.0から0.0.0.255までの範囲を示す.特定のサブネットや範囲指定に用いる場合がある
- IPv4アドレス範囲
-
0.0.0.0/32- 単一のIPv4アドレス
0.0.0.0を示す.ピンポイントでのルーティングを指定する際に利用されるが,この特定アドレスは特別な用途がない限りAWSで使われることは少ない
- 単一のIPv4アドレス
-
:/0- IPv6における全てのアドレス範囲を示す.インターネットゲートウェイやEgress-Only Internet Gatewayへのデフォルトルートとして使用される
-
:/16- IPv6アドレス範囲の最初の16ビットを指定.範囲が非常に広いため,特定のルーティングやセグメントに使用されることがある
-
:/32- 単一のIPv6アドレスを指定.この場合,具体的なエンドポイントや個別アドレスへの通信経路を示すために使われる
-
:/64- 一般的なIPv6サブネット範囲を示す.このサイズはAWS内でVPCサブネットを作成する際のデフォルトであり,通常のサブネットルーティングに用いられる
VPC内に設置し,ルーティングするサービスを選択する.
パブリックサブネットのルートテーブルは基本的には0.0.0.0/0(全てのIPv4アドレス)を送信先にして,ターゲットはインターネットゲートウェイを選択し,作成済みのインターネットゲートウェイのインスタンスを選択する.
プライベートサブネットのルートテーブルは基本的には0.0.0.0/0(全てのIPv4アドレス)を送信先にして,ターゲットはNATゲートウェイを選択し,作成済みのNATゲートウェイのインスタンスを選択する.
「サブネットの関連付け」を選択し,「サブネットの関連付けを編集」を選択する.その後,このルートテーブルを適用するサブネットを選択する.
NATゲートウェイの作成
名前とNATゲートウェイを設置するサブネットを選択する.ここでNATゲートウェイはサブネット内に設置するインスタンスで,基本的にはパブリックサブネットに設置する.その後ルートテーブルの設定でプライベートサブネットからパブリックサブネットに設置したNATゲートウェイへの通信のルーティングを行う.
NATゲートウェイそのものをプライベートサブネットに設置しても意味がない
-
NATゲートウェイの役割
- NATゲートウェイは、プライベートサブネット内のリソースがインターネットにアクセスできるようにするための中継装置である。
- NATゲートウェイ自体は、インターネットに接続するためのパブリックIPアドレス(Elastic IP)を持ち、インターネットゲートウェイを経由して通信する。
-
設置要件
- NATゲートウェイはパブリックサブネット内に配置する必要がある。これは、NATゲートウェイがパブリックIPアドレスを利用して外部と通信する設計になっているためである。
- プライベートサブネットに設置された場合、インターネットゲートウェイに接続できず、NATゲートウェイとしての役割を果たせない。
-
想定される問題点
- プライベートサブネット内では、インターネットゲートウェイへの直接アクセスができないため、NATゲートウェイが動作しない。
- NATゲートウェイのトラフィックが循環するループが発生する可能性がある(例: プライベートサブネット内のリソースから別のプライベートリソースへの不適切な経路設定)。
- AWS管理コンソールやCLIでエラーが発生することがある。
VPCエンドポイントの作成
VPCから直接アクセスするAWSのサービスを選択して作成する.VPCの中に設置するタイプのサービスとVPC外のフルマネージドサーバーレスのサービスがあるのでVPC外のサービスにインターネットを経由せずにアクセスするAWSサービスを選択する.
ゲートウェイエンドポイント(S3,DynamoDB用のVPCエンドポイント)は追加料金なしで使用することができる.ゲートウェイエンドポイントを経由したS3・DynamoDBとの通信は無料となる.東京リージョンにおけるインターフェイスエンドポイントの料金は,エンドポイントが作成されてから各アベイラビリティゾーンで1時間ごとに0.014USD課金される.
一旦Part2はここまで.VPC関連のAWSサービスはこのように使います.次は複数のサブネットにトラフィックを分散させるロードバランサーについて説明します!