AWS SAA-C03 の頻出VPC設計パターンを構成図でまとめた
はじめに
AWS SAA-C03 の問題で「VPC・サブネット・NATゲートウェイ」は高頻度で出題されます。
ところが、テキストを読むだけでは「どこに何を置くか」が曖昧になりがちです。この記事では、頻出パターンを構成図として整理します。
パターン1:基本のパブリック / プライベートサブネット構成
SAA-C03 で最も基本となる構成です。
Internet
|
Internet Gateway
|
+---VPC (10.0.0.0/16)------------------------+
| |
| +--パブリックサブネット (10.0.1.0/24)--+ |
| | EC2(Webサーバー) | |
| | NATゲートウェイ | |
| +--------------------------------------+ |
| |
| +--プライベートサブネット (10.0.2.0/24)+ |
| | EC2(アプリサーバー) | |
| | RDS | |
| +--------------------------------------+ |
+---------------------------------------------+
ポイント
- パブリックサブネット:Internet Gatewayへのルートを持つ。外部から直接アクセスできる
- プライベートサブネット:Internet Gatewayへのルートを持たない。外部から直接アクセスできない
- NATゲートウェイはパブリックサブネットに置く(試験頻出の引っかけ)
パターン2:プライベートサブネットからのアウトバウンド通信
プライベートサブネット内のEC2がパッケージ更新などで外部と通信したいケース。
プライベートEC2
↓
NATゲートウェイ(パブリックサブネット)
↓
Internet Gateway
↓
Internet
試験での問われ方
「プライベートサブネットのEC2がインターネットと通信できるようにしたい。インバウンドは許可しない」
→ NATゲートウェイをパブリックサブネットに配置し、プライベートサブネットのルートテーブルにNATゲートウェイへのルートを追加する。
NATゲートウェイ vs NATインスタンス
| NATゲートウェイ | NATインスタンス | |
|---|---|---|
| 管理 | AWSマネージド | 自己管理(EC2) |
| 可用性 | 高可用性 | 単一障害点 |
| 帯域 | 自動スケール | インスタンスサイズ依存 |
| コスト | 高め | 低め |
試験では「高可用性・管理不要」→ NATゲートウェイ が基本の答え。
パターン3:マルチAZ構成(高可用性)
本番環境では単一AZでは可用性が不十分。
+---VPC---------------------------------------------+
| |
| AZ-a AZ-b |
| +--パブリックSN--+ +--パブリックSN--+ |
| | NATゲートウェイ| | NATゲートウェイ| |
| +----------------+ +----------------+ |
| |
| +--プライベートSN+ +--プライベートSN+ |
| | EC2 | | EC2 | |
| | RDS (Primary) | | RDS (Standby) | |
| +----------------+ +----------------+ |
| |
| ←-----------ALB(両AZに分散)-----------→ |
+----------------------------------------------------+
ポイント
- NATゲートウェイはAZごとに1つ配置する(AZ障害時のフォールバックのため)
- RDSはMulti-AZデプロイで自動フェイルオーバー
- ALBは複数AZに跨って分散
パターン4:VPC間接続(VPCピアリング)
複数VPCのリソースを接続したいケース。
VPC-A (10.0.0.0/16) VPC-B (10.1.0.0/16)
EC2-A ←→ EC2-B
↖ VPC Peering ↗
特徴と制約
- 推移的ルーティング不可:A↔B、B↔C が繋がっていても A↔C は通信できない
- CIDRが重複するVPCはピアリングできない
- 別リージョン間も対応(インターリージョンVPCピアリング)
多対多接続ならAWS Transit Gateway
VPC-A ─┐
VPC-B ─┼─ Transit Gateway
VPC-C ─┘
Transit Gatewayはハブとして機能し、接続数が増えても管理しやすい。
パターン5:オンプレミスとの接続
| 接続方式 | 帯域 | 安定性 | コスト | ユースケース |
|---|---|---|---|---|
| Site-to-Site VPN | 最大1.25Gbps | インターネット経由(不安定) | 低 | 開発・テスト環境 |
| AWS Direct Connect | 1/10/100Gbps | 専用線(安定) | 高 | 本番・機密データ |
| Direct Connect + VPN | 専用線 | 高 | 高 | バックアップ回線付き本番環境 |
試験での判断基準
- 「安定した高帯域が必要」「機密データを扱う」→ Direct Connect
- 「コストを抑えたい」「すぐに接続したい」→ VPN
- 「Direct Connectが落ちたときのバックアップが欲しい」→ Direct Connect + VPN の冗長構成
SAA-C03で問われるセキュリティグループ vs NACL
よく混同される2つ。
| セキュリティグループ | ネットワークACL(NACL) | |
|---|---|---|
| 適用範囲 | インスタンス(ENI) | サブネット |
| ステートフル | ✅ 戻りトラフィック自動許可 | ❌ インバウンド・アウトバウンド別に設定 |
| デフォルト | 全トラフィック拒否 | 全トラフィック許可 |
| ルール | 許可ルールのみ | 許可・拒否ルール両方 |
試験での問われ方
「特定のIPアドレスからのトラフィックを明示的に拒否したい」
→ NACLの拒否ルールを使う(セキュリティグループは拒否ルールを書けない)
まとめ
SAA-C03 の VPC 問題で押さえるべきポイントは以下です。
- NATゲートウェイはパブリックサブネットに置く
- マルチAZ構成ではNATゲートウェイもAZごとに配置する
- VPC間の多対多接続はTransit Gateway
- オンプレミス接続は安定・高帯域 → Direct Connect
- 明示的な拒否ルールはNACLで設定
構成図で手を動かして練習する
これらの構成パターンを、実際にブラウザ上で組み立てて採点を受けられるサービスを作っています。
「図で分かった気になっても、自分で描けるかは別」という壁を超えたい方にお勧めです。
👉 https://archicraft-1b747.web.app
SAA-C03・395問・無料で10問体験できます(登録不要)。
開示:筆者はArchiCraftの開発者です。