AWSでシステムを構築する際、VPC(Virtual Private Cloud)の理解は必須です。
VPCは、AWSクラウド上に自分専用の仮想ネットワークを作成するサービスです。
「ネットワークって何?」と感じるかもしれませんが、
簡単に言えば、インターネット上に自分専用の「町」を作り、その中にサーバーやデータベースを配置することです。
このページでは、VPCの基本から実践的な活用方法まで、AWS初心者向けに詳しく解説します。
VPCとは?基本的な仕組みをわかりやすく説明
VPC(Virtual Private Cloud)は、AWSクラウド上に構築された独立したネットワーク環境です。
あなたが「このネットワークを作ってほしい」と指定することで、AWSが仮想ネットワークを用意してくれます。
ネットワークがない場合の問題:
インターネットに接続されたコンピュータが何も設定されていないと、以下の問題が起こります。
- 他のユーザーのサーバーと区別されない
- セキュリティ上、外部からのアクセスを制御できない
- 複数のアプリケーションが同じネットワークを使って混在してしまう
- プライベートなデータベースをインターネットから守れない
VPCなら:
これらの課題が全て解決されます。
VPCを使うことで、あなたのシステムのためだけのプライベートで安全なネットワークを手に入れられます。
外部とのアクセスは自分で完全に制御できます。
VPCの主要な構成要素と機能を詳しく解説
1. VPC自体(IP アドレス空間)
VPCを作成するとき、まずIPアドレスの範囲を決めます。
IPアドレスとは、インターネット上の「住所」のようなものです。
例えば、「10.0.0.0/16」という範囲を指定すれば、
その中に最大65,536個のコンピュータを接続できます。
このCIDR表記で、ネットワークの大きさを柔軟に決められます。
2. サブネット
VPC内をさらに細分化したのが「サブネット」です。
VPCが「町」なら、サブネットは「区」や「ブロック」のようなものです。
サブネットは以下の2種類があります:
- パブリックサブネット: インターネット接続可能。Webサーバーなど外部公開するシステムに使用
- プライベートサブネット: インターネット非接続。データベースやバックエンドシステムに使用
複数のアベイラビリティゾーン(異なるデータセンター)に、
パブリック・プライベートのサブネットをそれぞれ配置することで、
高い可用性とセキュリティを実現します。
3. インターネットゲートウェイ(IGW)
VPCをインターネットと接続するための「玄関」がインターネットゲートウェイです。
これがないと、VPC内のサーバーはインターネットに接続できません。
パブリックサブネットをインターネットに公開するためには、
このインターネットゲートウェイとサブネットを接続する必要があります。
4. ルートテーブル
ルートテーブルは、ネットワークトラフィック(通信)をどこに送るか指示する道標です。
「192.168.1.1 というIPアドレスへの通信は、インターネットゲートウェイに送る」
「10.1.0.0 というIPアドレス範囲への通信は、別のサブネットに送る」
というルールをここで定義します。
各サブネットに異なるルートテーブルを関連付けることで、
通信パターンを細かく制御できます。
5. セキュリティグループ
セキュリティグループは、インスタンスレベルのファイアウォールです。
EC2やRDSなどのリソースに対して、
- どのIPアドレスからのアクセスを許可するか
- どのポート(通信路)を開くか
- インバウンド(受信)・アウトバウンド(送信)ルール
これらを詳細に設定できます。
6. ネットワークACL(Access Control List)
ネットワークACLは、サブネットレベルのファイアウォールです。
セキュリティグループより低い層で通信を制御します。
ステートレス(状態を保持しない)な制御のため、
明示的に許可・拒否ルールを設定する必要があります。
セキュリティグループとACLの2層防御で、堅牢なセキュリティを実現します。
7. NAT ゲートウェイ
プライベートサブネット内のサーバーが、
インターネットにアクセスしたい場合(例:ソフトウェア更新)があります。
ただし、外部からの直接アクセスは受け付けたくない、という状況です。
NAT(Network Address Translation)ゲートウェイは、
プライベートネットワーク→インターネットへの通信を仲介します。
外部には「NAT ゲートウェイからの通信」に見え、
プライベートサーバーの存在が隠蔽されます。
VPCが優れている理由と強み
1. セキュリティの完全なコントロール
VPCを使うことで、ネットワークレベルでセキュリティを完全に制御できます。
セキュリティグループとネットワークACLの2層防御で、
不正アクセスから強力に保護されます。
インターネットに直接公開するサーバーと、
内部用のデータベースを明確に分離できます。
2. 複数のアベイラビリティゾーン対応
一つのVPC内で、複数のアベイラビリティゾーンにリソースを配置できます。
東京リージョンなら、複数の異なるデータセンターを利用できるということです。
一つのデータセンターが故障しても、
別のデータセンターでサービスを継続できます。
3. オンプレミスとの接続が容易
企業が既に保有している社内システムをオンプレミスという呼び方で、
自社で管理しているサーバーのことを指します。
VPCなら、VPN(仮想プライベートネットワーク)や
AWS Direct Connect を使って、
オンプレミスのシステムとシームレスに接続できます。
4. IPアドレス管理の柔軟性
VPCを作成する時にIPアドレス範囲(CIDR)を自由に選択できます。
異なるVPCを作成して、各VPCで異なるIPアドレス範囲を使用することも可能です。
VPC Peering で VPC同士を接続することで、
複数のプロジェクトやチームの独立したネットワークを管理できます。
5. コストの最適化
VPC自体の作成は無料です。
コストがかかるのは、NAT ゲートウェイや VPN接続など、
実際に使用するサービスのみです。
不要なトラフィックを制御することで、
データ転送料金を最小化できます。
VPCと類似・関連サービスとの違いを比較
VPC vs デフォルト VPC
AWSアカウントを作成すると、自動的に「デフォルト VPC」が作成されます。
これは、設定済みのVPCで、すぐに使用できます。
- デフォルト VPC: 初心者向け、すぐに使える、カスタマイズが限定的
- カスタム VPC: 企業向け、完全にカスタマイズ可能、ネットワーク設計の自由度が高い
開発環境なら デフォルト VPCで十分ですが、
本番環境や複雑なシステムなら、カスタム VPCを設計することが重要です。
VPC vs EC2のセキュリティグループ
セキュリティグループはVPCの一部ですが、EC2を保護するために使われます。
VPCのネットワークACLはサブネット全体を保護します。
- VPC ネットワークACL: サブネットレベル、ステートレス、順序重要
- セキュリティグループ: インスタンスレベル、ステートフル、順序不重要
両者を組み合わせることで、多層防御を実現します。
VPCと連携する代表的なAWSサービス
1. EC2(Elastic Compute Cloud)
EC2インスタンスは必ずVPC内に起動されます。
VPCの設定により、EC2へのアクセス制御が決定されます。
2. RDS(リレーショナルデータベースサービス)
データベースはプライベートサブネットに配置するのが基本です。
VPCのセキュリティグループで、
特定のEC2インスタンスからのみアクセスを許可します。
インターネット経由の直接アクセスは受け付けません。
3. ElastiCache(キャッシュサービス)
Redis や Memcached などのキャッシュシステムを、
VPC内のプライベートサブネットで実行できます。
アプリケーション層(EC2)からのみアクセス可能にできます。
4. Lambda(サーバーレスコンピュート)
Lambda 関数をVPC内で実行することで、
VPC内のリソース(RDS、ElastiCache など)に
直接アクセスできます。
5. ALB/NLB(ロードバランサー)
Application Load Balancer や Network Load Balancer は、
VPC内に配置され、複数のEC2インスタンスへのトラフィック分散を担当します。
6. VPN ゲートウェイ / AWS Direct Connect
オンプレミスのネットワークをVPCに接続する場合、
VPN や Direct Connect を使用します。
安全な専用線でデータセンターとクラウドを接続できます。
VPC の料金体系を理解しよう
VPCサービス自体は基本的に無料です。
ただし、付随するサービスに料金が発生します。
1. VPC 基本機能(無料)
- VPC 作成・削除
- サブネット作成
- ルートテーブル設定
- セキュリティグループ設定
- ネットワークACL設定
- インターネットゲートウェイ(IGW)
これらの基本的なネットワーク設定には料金はかかりません。
2. NAT ゲートウェイ(有料)
NAT ゲートウェイは、時間単位で課金されます。
また、データ転送量によっても別途課金されます。
例えば、東京リージョンでは:
- NAT ゲートウェイの利用:時間あたり約0.045ドル
- データ処理:GB あたり約0.045ドル
プライベートサブネットからのインターネットアクセスが必要な場合、
このコストを考慮に入れる必要があります。
3. VPN 接続(有料)
VPN ゲートウェイの接続:時間あたり約0.05ドル
データ転送:GB あたり約0.02ドル
オンプレミスとの接続が必要な場合、
継続的なコストが発生します。
4. AWS Direct Connect(有料)
専用ネットワーク接続:ポート時間あたり約0.30ドル
データ転送:GB あたり約0.02ドル
VPN より高速で安定した接続が可能ですが、
VPN より高い料金がかかります。
5. VPC エンドポイント(有料)
S3 や DynamoDB へのインターフェースエンドポイント:時間あたり約0.007ドル
データ処理:GB あたり約0.01ドル
データをインターネット経由ではなく、
AWS内部ネットワークで転送することで、
セキュリティ向上とコスト削減を両立できます。
VPCの実装パターンと設計例
パターン1:シンプルな Web アプリケーション
VPCに2つのサブネット(パブリック×2、プライベート×2)を作成します。
パブリックサブネットにALB(ロードバランサー)と複数のEC2 Webサーバーを配置。
プライベートサブネットにRDSデータベースを配置。
EC2 からのみ RDS にアクセス可能。
パターン2:マイクロサービスアーキテクチャ
複数のVPCを作成し、VPC Peering で接続。
各VPCで異なるマイクロサービスを実行。
API Gateway で各サービス間の通信を制御。
セキュリティと運用の分離を実現。
パターン3:オンプレミスハイブリッド環境
VPCをオンプレミスのデータセンターと VPN 接続。
既存システムをそのまま利用しながら、
新しいシステムをAWSで構築。
段階的なクラウド移行に対応。
VPCを使う際の注意点とベストプラクティス
1. ネットワーク設計を慎重に
VPC と サブネットの IP アドレス範囲は、
作成後の変更が困難です。
事前に十分な設計を行うことが重要です。
将来の拡張を見込んだ、十分に大きいCIDR範囲を選択してください。
2. セキュリティグループとネットワークACLの両方を設定
2層防御により、セキュリティを大幅に向上させられます。
最小権限の原則に従い、必要な通信のみを許可してください。
3. パブリック・プライベート サブネットの明確な分離
インターネット公開が必要なリソース(Webサーバー)と
非公開のリソース(データベース)を明確に分離してください。
これにより、セキュリティリスクを最小化できます。
4. VPC フローログの有効化
VPC フローログを有効にすることで、
ネットワークトラフィックのログを記録できます。
セキュリティ監視とトラブルシューティングに役立ちます。
5. NAT ゲートウェイのコスト管理
NAT ゲートウェイは継続的なコストが発生します。
本当に必要かどうか、定期的に確認してください。
データ転送量を最小化することで、コストを削減できます。
VPCでセキュアなシステムを構築するステップ
VPCを使ってセキュアなシステムを構築するには、
以下のステップを推奨します:
- VPC を作成(IPアドレス範囲を決定)
- 複数のアベイラビリティゾーンにサブネットを作成
- インターネットゲートウェイ(IGW)を作成してVPCに関連付け
- ルートテーブルを設定(パブリック・プライベート)
- セキュリティグループを作成(Webサーバー用、DB用など)
- ネットワークACLの設定(必要に応じて)
- プライベートサブネット用の NAT ゲートウェイを設定
- EC2、RDS等のリソースを起動
- VPC フローログを有効化して監視開始
これらのステップを通じて、
スケーラブルでセキュアなクラウドインフラを構築できます。
まとめ:VPCはAWSの基盤となる重要なサービス
VPCは、AWSで安全で堅牢なシステムを構築するための基盤となるサービスです。
ネットワークの完全な制御、複数層のセキュリティ、グローバル展開への対応など、
エンタープライズグレードの機能を提供しています。
初心者のうちはデフォルトVPCでも問題ありませんが、
本番環境や複雑なシステムを構築する際には、
VPCの詳細な理解が不可欠です。
セキュリティグループ、ネットワークACL、ルートテーブルなど、
各コンポーネントの役割を正確に理解して、
セキュアで効率的なネットワーク設計を心がけてください。
AWS学習を進める上で、VPCの知識は
他の全てのサービスの基盤となります。
このようにして、VPCについて学んだ知識を実務で活かすことで、
より安全で効率的なクラウドシステムの構築に取り組むことができるようになります。
