0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@handson-lab(ハンズオンラボ)

【未経験でもわかる】サブネットとCIDR—「マンションの区画割り」でVPCネットワーク設計を完全理解

0
Posted at

〜「10.0.0.0/16って何?」が「あ、マンションの区画割りと同じ」に変わる10分間〜

こんにちは!ハンズオンラボ運営のえむです。

VPCを設計するときに必ず出てくる「CIDR」と「サブネット」。

「10.0.0.0/16って何を意味するの?」

「パブリックサブネットとプライベートサブネットって何が違うの?」

実は、これは**「マンションの区画割り」**と同じ仕組みです。

この記事を読むと、以下のことができるようになります

  • CIDRの読み方が理解できる
  • パブリックとプライベートサブネットの違いがわかる
  • AWS VPCの基本設計ができる

日常の比喩:「VPCはマンションの敷地」

マンションを建てるとき、こんな設計をしますよね。

【マンションの区画設計】
敷地全体(VPC):渋谷区〇〇町の土地全体
  ├── 1棟目(パブリックサブネット):玄関・受付・来客用
  │    誰でも出入りできる
  └── 2棟目(プライベートサブネット):住居・収納・バックヤード
       住人と関係者のみ

【AWS VPCの設計】
VPC:10.0.0.0/16(全体の土地)
  ├── パブリックサブネット:10.0.1.0/24(Webサーバー)
  │    インターネットからアクセス可能
  └── プライベートサブネット:10.0.2.0/24(DBサーバー)
       内部からのみアクセス可能

CIDRの読み方

CIDRは「IPアドレスの範囲」を表す記法です。

【10.0.0.0/16 の読み方】

10.0.0.0 → 範囲の先頭アドレス
/16      → 先頭16ビットを固定(残り16ビットが自由)

自由なビット数:32 - 16 = 16ビット
使えるIPアドレス数:2の16乗 = 65,536個

→ 10.0.0.0 〜 10.0.255.255 の範囲

【よく使うCIDRの大きさ比較】

/8  → 16,777,216個(巨大な土地)
/16 → 65,536個(VPC全体によく使う)
/24 → 256個(サブネットによく使う)
/28 → 16個(小さなサブネット)
/32 → 1個(1つのIPアドレス)

パブリックとプライベートサブネットの違い

【パブリックサブネット】
「インターネットゲートウェイ(IGW)を経由してインターネットに繋がれる」

配置するもの:
・Webサーバー(EC2)
・ロードバランサー(ALB)
・NATゲートウェイ

特徴:
・インターネットから直接アクセス可能
・グローバルIPアドレスを持てる

【プライベートサブネット】
「インターネットに直接繋がらない」

配置するもの:
・DBサーバー(RDS)
・アプリサーバー
・バックエンドの処理サーバー

特徴:
・インターネットから直接アクセス不可
→ セキュリティが高い
・NATゲートウェイ経由でインターネットへ出ていける

基本的なVPC設計パターン

【3層アーキテクチャの例】

インターネット
    ↓
インターネットゲートウェイ(IGW)
    ↓
パブリックサブネット(10.0.1.0/24)
    ├── ALB(ロードバランサー)
    └── NATゲートウェイ
         ↓
プライベートサブネット-1(10.0.2.0/24)
    └── EC2(アプリサーバー)
         ↓
プライベートサブネット-2(10.0.3.0/24)
    └── RDS(データベース)

マルチAZ:可用性を高める設計

本番環境では複数のアベイラビリティゾーン(AZ)に分散させます。

【マルチAZの構成例(東京リージョン)】

ap-northeast-1a(東京AZ-1)    ap-northeast-1c(東京AZ-2)
パブリック:10.0.1.0/24       パブリック:10.0.3.0/24
プライベート:10.0.2.0/24     プライベート:10.0.4.0/24

→ 一方のAZが障害になっても、もう一方で稼働し続ける

ビフォーアフター

【ビフォー:サブネット設計なし】
「とりあえず全部パブリックサブネットに置く」
→ DBがインターネットに直接さらされる
→ セキュリティリスクが高い

【アフター:適切なサブネット設計】
「Webサーバーはパブリック、DBはプライベート」
→ DBにインターネットから直接到達できない
→ AZ分散で可用性確保
→ セキュリティと耐障害性が両立

まとめ

VPC = 「マンションの敷地(ネットワーク全体)」

CIDR:
・IPアドレスの範囲を表す記法
・/16 = 65,536個、/24 = 256個

2種類のサブネット:
・パブリック:IGW経由でインターネットと繋がる(Webサーバー・ALB)
・プライベート:インターネットに直接繋がらない(DB・アプリ)

設計の基本:
「外に公開するものはパブリック」
「内部だけで使うものはプライベート」
「本番はマルチAZで冗長化」

VPC設計は「セキュリティと可用性のトレードオフ」です。最初から正しい設計をすると、後の運用が格段に楽になりますよ!

ハンズオンラボでは、未経験からでも「作って覚える」をモットーにしたITハンズオンイベントを定期開催しています。

👉 イベント一覧はこちら

面白かったら
「👇いいね」で応援

0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?