AWS上にセキュアなプライベートネットワークを構築できる「Amazon VPC」とは

AWS上に非公開のプライベートネットワークを構築できるAmazon VPC（Virtual Private Cloud）は、AWS上に構築したシステムで、自社専用のネットワーク空間を作るには欠かせない機能です。本記事では、Amazon VPCの役割と導入のメリット、目的別のネットワーク構築方法について解説します。

AWS上にプライベートネットワークを構築するAmazon VPC

Amazon VPCは、オンプレミスの環境で構築された社内ネットワークと同じようなプライベートネットワークを、AWS上に作成するためのサービスです。

プライベートネットワークは論理的に分離され、自社専用のネットワーク空間として利用でき、IPアドレスも自社で設定可能です。作成したプライベートネットワークは、インターネットゲートウェイを介してインターネットに接続できます。

Amazon VPCで作成したプライベートネットワーク空間の中には、インターネットに公開する「パブリックサブネット」と、非公開の「プライベートサブネット」を作成できます。プライベートサブネットは、外部ネットワークとは完全に遮断されますので、安全です。
パブリックサブネットには、一般に公開するWebサーバなどのインスタンスを配置し、プライベートサブネットには、DBサーバや社内システムなど、外部からアクセスさせたくないインスタンスを配置します。

Amazon VPCを構築するメリット

VPCを構築する最大のメリットは、リージョン（AWSサーバのある地域・国）内にある複数のアベイラビリティーゾーン（AZ）をまたいで構成できる点にあります。

AZとは、リージョン内にある複数の独立した場所にあるデータセンターの集合単位です。複数のAZを利用するマルチAZで冗長構成を組むことにより、耐障害性を高められます。

VPCを複数作成することで、物理的に複数のデータセンターに環境を構築するのと同等の冗長構成を、設定画面だけで組むことが可能です。

複数作成したVPCは完全に分離されていますが、VPCピアリングという機能を利用して、複数のVPCを接続することも可能です。VPCピアリングを利用すると、クロスリージョン（リージョンを超えてVPCを接続すること）や、クロスアカウント（AWSアカウントを超えてVPC間を接続すること）といった、柔軟な接続が実現できます。

目的別のAmazon VPC間ネットワーク構築方法

ここからは、目的別のVPC間ネットワーク構築方法について見ていきましょう。

異なるVPCからのアプリケーション共用

「AWS PrivateLink」という機能を利用することで、異なるVPCから簡単にアプリケーションの共用が可能になります。AWS PrivateLinkを利用するためには、AWSマネジメントコンソールやAWSコマンドラインインターフェースなどから、利用したいアプリケーションに必要なVPCのエンドポイントを作成します。

組織内リソースの共用にはVPCピアリング接続を利用

組織内リソースを共用するためには、VPCピアリングを利用します。ここでは、VPCピアリング接続手順を示します。

1. 1.
   Amazon VPCコンソール を開く
2. 2.
   左ペインで、[ピアリング接続]を選択する
3. 3.
   画面右上の[ピアリング接続を作成]をクリックする
4. 4.

   表示画面で必要な情報を入力する

   

   情報入力の参考：https://docs.aws.amazon.com/vpc/latest/peering/create-vpc-peering-connection.html

5. 5.
   [ピアリング接続を作成]をクリック
6. 6.
   確認ダイアログボックスでOKをクリックする
7. 7.
   確認ダイアログで、[はい]、[同意する]を選択する
8. 8.
   [今すぐルートテーブルを変更する]をクリックする

ネットワークの共用にはAWS Transit Gatewayを利用

「AWS Transit Gateway」とは、複数のVPCと社内ネットワーク（オンプレミスネットワーク）を単一のゲートウェイに接続するサービスです。このサービスによって、ネットワークの管理を簡素化できます。トランジットゲートウェイを利用するには、以下のステップを踏んで構築を進めてください。

1. 1.
   Amazon VPCコンソール を開く
2. 2.
   左ペインで、[Transit Gateway]を選択する
3. 3.
   画面右上の[Transit Gatewayの作成]をクリックする
4. 4.

   トランジットゲートウェイを作成する

   

5. 5.
   左ペインで、[Transit Gateway 接続]を選択する
6. 6.
   画面右上の「Transit Gateway アタッチメントを作成」をクリック
7. 7.

   アタッチメントタイプに「VPC」を指定し、アタッチメント先に先ほど作成したトランジットゲートウェイと、アタッチメントするVPCとサブネットを指定する。

   

8. 8.
   左ペインで、[ルートテーブル]を選択する
9. 9.
   ルートテーブル一覧からVPCに関連付けられているルートテーブルを選択する
10. 10.

    「ルートタブ」を選択し、「ルートの編集」を選択する

    

11. 11.

    「送信先」、「ターゲット」を入力し「変更を保存」をクリックする

    

12. 12.
    トランジットゲートウェイをテストする
    それぞれのVPC内のEC2インスタンスからお互いにPingを打つことで、トランジットゲートウェイが正しく設定されたかを確認できます。

VPCシェアリングによるITリソースの統合・効率化

管理対象のVPC増加に伴う、管理コストやVPC間トラフィックの増大などに困る場合は、VPCシェアリングの利用を検討しましょう。VPCシェアリングとは、同じ組織で使っている複数のAWSアカウント間でVPCをシェアする機能です。

AWS上でのネットワーク構築が難しい場合は専用サービスの利用を

VPCを利用することで、さまざまなネットワーク構成を柔軟に構築できます。ただ、ネットワーク構成は自由度が高いため、自社ではどのようなネットワーク構成が適しているのか迷うことがあるかもしれません。そのような場合は、専門業者の提供するネットワーク構築サービスの利用もご検討ください。

当社では、お客様のご要望と現状の環境に応じ、最適なネットワーク設計や接続方式のご提案を行う「ネットワークコンサルティングサービス」を提供しています。ネットワーク構築にお悩みの場合は、ぜひお気軽にご相談 ください。

関連サービス

AWS導入サポート

おすすめ記事

• 2020.06.23

  Amazon Connectで在宅勤務でも対応できる問合せ窓口を立ち上げてみた

  

• 2020.08.17

  Datadogで実現するモニタリングとオペレーションのオートメーション化

  

• 2020.04.27

  Amazon FSx for Windows ファイルサーバーへの移行と活用方法

  

• 2020.06.11

  Amazon WorkSpacesとは？その特長をまとめてみた

  

• 2020.06.23

  AWSのDevOpsサービスと当社マネージドサービスを活用したDevOpsの実装①～概念編～