AWSのVPC(仮想ネットワーク)についてまとめています。
AWSのVPCは、AWSリソースを起動できる仮想ネットワーク
Amazon Virtual Private Cloud (Amazon VPC)は、仮想ネットワークでAWSリソースを起動できるサービス。
【関連記事】
▶AWS VPCは変更、拡張、自由自在な仮想ネットワーク
インスタンスやサブネットレベルでインバウンド、アウトバウンドフィルタリングをかけられます。Amazon S3に格納したデータにたいしてアクセス制限も可能。VPC内部のインスタンスからのアクセスだけを許可できるんですね。Amazon VPCには監視機能もあり、帯域外監視やインライントラフィック検査が可能です。
ネットワークのセットアップが簡単で、AWSマネジメントコンソールまたはCLIから作成可能。一般的なネットワーク設定から選択すると、VPC は、必要なサブネット、IP 範囲、ルートテーブル、およびセキュリティグループを自動的に作成します。
Webサーバ用のパブリックサブネット、バックエンドサーバ用のプライベートサブネットを作るなど仮想ネットワークでのカスタマイズが可能です。
関連)Amazon VPC(仮想ネットワーク内での AWS リソースの起動)
データセンターなどでハードウェアを組み合わせて構成する従来のネットワークとの大きな違いは、可用性の点とスケーラブルな点。
小さい構成から徐々に大きくしていくことが可能で、物理的なデータセンターやネットワーク機器が不要です。障害時の切り替えやイベントなどでのアクセス集中に対して一時的にスケールアップしてアクセス減少後に元に戻すといった運用が柔軟にできます。
Amazon VPCの仕組み
Amazon VPCは、AWSアカウント専用の仮想ネットワーク。AWSクラウドの他の仮想ネットワークから論理的に切り離されていて、互いに影響を受けることがありません。Amazon EC2インスタンスなどのAWSリソースをネットワーク上に配置することが可能です。
Amazon VPCを使って、以下に接続が可能です。
- インターネット (インターネットゲートウェイ経由)
- AWS サイト間 VPN 接続を使用する、お客様の自社データセンター (仮想プライベートゲートウェイ経由)
- インターネットとお客様の自社データセンターの両方 (インターネットゲートウェイと仮想プライベートゲートウェイの両方を利用)
- (インターネットゲートウェイ、NAT、仮想プライベートゲートウェイ、VPC エンドポイント経由での) その他の AWS のサービス
- その他の Amazon VPC (VPC ピアリング接続経由)
Amazon VPC用のファイアウォール(AWS ネットワークファイアウォール)も用意されています。マネージド型で簡単に設置でき可用性が高いのがポイント。ファイアウォールポリシーを設定することで、Amazon VPC内のAWSリソースを保護します。
ファイアウォールポリシーは、ルール設定画面で設定可能ですが、JSON形式のファイルで定義可能です。
{
"RulesSource": {
"RulesSourceList": {
"TargetType": "FQDN_SNI","HTTP_HOST",
"Targets": [
"test.example.com",
"test2.example.com"
],
"GeneratedRulesType": "DENYLIST"
}
}
}
また、VPCピアリング接続機能を使って2つのピアVPC間のトラフィックをルーティングできます。IPv6アドレスにも対応。異なるAWSアカウント間でも利用できます。この機能を使って、AWSのVPS、Amazon LightsailとVPCを接続することも可能です。
【関連記事】
▶AWSのVPS、Amazon Lightsailの特徴と用途 EC2へのアップグレードも可能
VPCピアリングには、接続先を経由して別のネットワークに多段的にアクセスしたり、接続先のインターネットゲートウェイからインターネットに直接通信することはできないなど、一定の制限があります。
関連)VPCピアリングを作りながら学んでみた | DevelopersIO
また、2021年5月から、VPC ピアリング接続経由で 1 つのアベイラビリティーゾーン (AZ) 内で行われるすべてのデータ転送が無料化されています。
関連)Amazon VPC が VPC ピアリングの料金変更を発表
Amazon VPCの料金
Amazon VPC自体は追加料金なしで利用できます。料金はAmazon EC2などAWSリソースからのみ発生します。
AWSサイト同士をVPN接続した場合には、トラフィックに対して料金が発生します。
また、EC2インスタンスのトラフィックミラーやNATゲートウェイの利用にも料金が発生します。
EC2インスタンスのトラフィックミラーは、ネットワークを流れるパケットを検査してのデバッグなどをおこなう際に利用できます。
関連)【ハンズオン】VPCトラフィクミラーリングを使ってEC2にログインせずにパケットキャプチャする方法を学ぼう#AWSSummit | DevelopersIO
実際、どの程度の料金が発生するのでしょうか?例えばNATゲートウェイの場合、リージョンがオハイオの場合で1時間あたり0.045USD、処理データ1Gあたり0.045USDが発生します。
Amazon VPCはコンソールで管理
VPCはAWSマネジメントコンソールで管理可能です。AWSクラウドを管理するために必要な機能が1つのウェブインタフェースに集められています。コンソールから以下が可能です。
- 150 を超える AWS のサービスが利用可能。サービスの多くは無料で試用できる
- 世界各地の AWS データセンターでクラウドベースのアプリケーションを構築できる
- ユーザー、サービス使用状況、サービス状態、毎月の請求額を管理してモニタリング
【関連記事】
▶AWSを集中管理したい!AWS マネジメントコンソールを使いこなそう!
Amazon VPCの管理はCLI(コマンドライン)でも可能ですが、ブラウザベースのAWSマネジメントコンソールを使えば、コマンドやプログラムに精通していないユーザでも手軽に操作が可能です。
AWSマネジメントコンソールには、トップ画面にアイコンつきサービスショートカットを追加したり、EC2のログインせずにSSH接続したりといった便利機能が用意されています。
こちらは、実際にコンソールを活用しているかたの、コンソール活用方法のまとめです。
関連)AWS運用はコンソールを徹底活用してラクになろう | AWS運用最適化サービス cloud link (クラウドリンク)
AWSのVPC まとめ
- AWSのVPCは、AWSサービスを起動できる仮想ネットワーク
- ネットワークの設定は、ウェブブラウザベースの管理画面から設定可能。CLIも使用可。
- VPCの管理はAWSマネジメントコンソールを使うとコマンドに精通していなくても操作が可能。
