2021.10.25 AWS上にセキュアなプライベートネットワークを構築できる「Amazon VPC」とは

AWS上に非公開のプライベートネットワークを構築できるAmazon VPC(Virtual Private Cloud)は、AWS上に構築したシステムで、自社専用のネットワーク空間を作るには欠かせない機能です。本記事では、Amazon VPCの役割と導入のメリット、目的別のネットワーク構築方法について解説します。

AWS上にプライベートネットワークを構築するAmazon VPC

Amazon VPCは、オンプレミスの環境で構築された社内ネットワークと同じようなプライベートネットワークを、AWS上に作成するためのサービスです。

プライベートネットワークは論理的に分離され、自社専用のネットワーク空間として利用でき、IPアドレスも自社で設定可能です。作成したプライベートネットワークは、インターネットゲートウェイを介してインターネットに接続できます。

Amazon VPCで作成したプライベートネットワーク空間の中には、インターネットに公開する「パブリックサブネット」と、非公開の「プライベートサブネット」を作成できます。プライベートサブネットは、外部ネットワークとは完全に遮断されますので、安全です。
パブリックサブネットには、一般に公開するWebサーバなどのインスタンスを配置し、プライベートサブネットには、DBサーバや社内システムなど、外部からアクセスさせたくないインスタンスを配置します。

Amazon VPCを構築するメリット

VPCを構築する最大のメリットは、リージョン(AWSサーバのある地域・国)内にある複数のアベイラビリティーゾーン(AZ)をまたいで構成できる点にあります。

AZとは、リージョン内にある複数の独立した場所にあるデータセンターの集合単位です。複数のAZを利用するマルチAZで冗長構成を組むことにより、耐障害性を高められます。

VPCを複数作成することで、物理的に複数のデータセンターに環境を構築するのと同等の冗長構成を、設定画面だけで組むことが可能です。

複数作成したVPCは完全に分離されていますが、VPCピアリングという機能を利用して、複数のVPCを接続することも可能です。VPCピアリングを利用すると、クロスリージョン(リージョンを超えてVPCを接続すること)や、クロスアカウント(AWSアカウントを超えてVPC間を接続すること)といった、柔軟な接続が実現できます。

目的別のAmazon VPC間ネットワーク構築方法

ここからは、目的別のVPC間ネットワーク構築方法について見ていきましょう。

異なるVPCからのアプリケーション共用

「AWS PrivateLink」という機能を利用することで、異なるVPCから簡単にアプリケーションの共用が可能になります。AWS PrivateLinkを利用するためには、AWSマネジメントコンソールやAWSコマンドラインインターフェースなどから、利用したいアプリケーションに必要なVPCのエンドポイントを作成します。

組織内リソースの共用にはVPCピアリング接続を利用

組織内リソースを共用するためには、VPCピアリングを利用します。ここでは、VPCピアリング接続手順を示します。

  1. 1.
  2. 2.
    左ペインで、[ピアリング接続]を選択する
  3. 3.
    画面右上の[ピアリング接続を作成]をクリックする
  4. 4.

    表示画面で必要な情報を入力する

    情報入力の参考:https://docs.aws.amazon.com/vpc/latest/peering/create-vpc-peering-connection.html 新規ウィンドウで開く

  5. 5.
    [ピアリング接続を作成]をクリック
  6. 6.
    確認ダイアログボックスでOKをクリックする
  7. 7.
    確認ダイアログで、[はい]、[同意する]を選択する
  8. 8.
    [今すぐルートテーブルを変更する]をクリックする

ネットワークの共用にはAWS Transit Gatewayを利用

「AWS Transit Gateway」とは、複数のVPCと社内ネットワーク(オンプレミスネットワーク)を単一のゲートウェイに接続するサービスです。このサービスによって、ネットワークの管理を簡素化できます。トランジットゲートウェイを利用するには、以下のステップを踏んで構築を進めてください。

  1. 1.
  2. 2.
    左ペインで、[Transit Gateway]を選択する
  3. 3.
    画面右上の[Transit Gatewayの作成]をクリックする
  4. 4.

    トランジットゲートウェイを作成する

  5. 5.
    左ペインで、[Transit Gateway 接続]を選択する
  6. 6.
    画面右上の「Transit Gateway アタッチメントを作成」をクリック
  7. 7.

    アタッチメントタイプに「VPC」を指定し、アタッチメント先に先ほど作成したトランジットゲートウェイと、アタッチメントするVPCとサブネットを指定する。

  8. 8.
    左ペインで、[ルートテーブル]を選択する
  9. 9.
    ルートテーブル一覧からVPCに関連付けられているルートテーブルを選択する
  10. 10.

    「ルートタブ」を選択し、「ルートの編集」を選択する

  11. 11.

    「送信先」、「ターゲット」を入力し「変更を保存」をクリックする

  12. 12.
    トランジットゲートウェイをテストする
    それぞれのVPC内のEC2インスタンスからお互いにPingを打つことで、トランジットゲートウェイが正しく設定されたかを確認できます。

VPCシェアリングによるITリソースの統合・効率化

管理対象のVPC増加に伴う、管理コストやVPC間トラフィックの増大などに困る場合は、VPCシェアリングの利用を検討しましょう。VPCシェアリングとは、同じ組織で使っている複数のAWSアカウント間でVPCをシェアする機能です。

AWS上でのネットワーク構築が難しい場合は専用サービスの利用を

VPCを利用することで、さまざまなネットワーク構成を柔軟に構築できます。ただ、ネットワーク構成は自由度が高いため、自社ではどのようなネットワーク構成が適しているのか迷うことがあるかもしれません。そのような場合は、専門業者の提供するネットワーク構築サービスの利用もご検討ください。

当社では、お客様のご要望と現状の環境に応じ、最適なネットワーク設計や接続方式のご提案を行う「ネットワークコンサルティングサービス」を提供しています。ネットワーク構築にお悩みの場合は、ぜひお気軽にご相談 新規ウィンドウで開くください。

関連サービス

おすすめ記事

導入のお問い合わせはこちら

AWSやAmazon WorkSpacesの導入から接続回線、運用・保守まで何でもお任せください。

お問い合わせ・資料請求