AWSでネットワークを構築するには?基本用語や構築手順を解説!

AWSでネットワークを構築するには?基本用語や構築手順を解説!

政府によるDXの推進からはじまり、働き方改革やコロナ禍などのさまざまな影響から、社内システムをクラウド化する企業が増加しています。AWS※(読み方:エー・ダブリュー・エス)は、国内でも世界的にもトップシェアのクラウドサービスです。この記事では、AWSでネットワークを構築するために知っておくべき、用語や手順について解説します。

目次

AWSのネットワークを構築するうえで知っておきたい用語

まずは、AWSのネットワークを構築する上で知っておくべき用語について解説します。そもそもAWSとはAmazon Web Serviceの略で、世界最大のクラウドサービス提供会社です。

【AWSのネットワークを構築するうえで知っておきたい用語】

  • Amazon VPC
  • AWS Direct Connect
  • ルートテーブル
  • アベイラビリティゾーン(AZ)
  • サブネット
  • セキュリティグループ
  • IGW(Internet Gateway)
  • Virtual Private Gateway
  • NAT Gateway

それぞれ解説します。

Amazon VPC

Amazon VPC(読み方:アマゾン・ブイ・ピー・シー)とは、Amazon Virtual Private Cloudを略した用語で、ユーザー専用のプライベートなネットワーク領域サービスのことです。

自社でネットワークを構成する際、ネットワーク設計から機器の選定・手配、構築・運用・保守を実施しなければなりません。また、一部の保守作業も実施するケースもあるでしょう。

Amazon VPCを導入すれば、AWS上に仮想ネットワーク空間を数分で構築できるため、大きな手間がかかりません。ルータ機能や、DNS、NTPなど、高セキュリティな環境のネットワークに必要な基本機能をAWS側によって提供されます。

AWS Direct Connect

AWS Direct Connect(読み方:ダイレクト・コネクト)とは、自社システムとAWSをプライベート接続(専用接続)するクラウドサービスソリューションのことです。インターネットを経由せずダイレクト(直接的)に接続できるため、高セキュリティを保持したまま安定性のある通信を確保できるメリットがあります。

AWSとダイレクトに接続するといっても、自社とAWSのデータセンターを直接通信ケーブルで繋ぐという意味ではありません。AWSと契約しているパートナー企業のデータセンターを相互接続ポイントとして、AWSと間接的に接続する仕組みとなっています。

ルートテーブル

ルートテーブルとは、どこを経由して通信をするのかを定められた表(テーブル)です。VPCを利用する際は、一連のルールに従ってネットワーク経路を選択しなければなりません。通信の際は、ルートテーブルをみてデータを送信するため、表にない宛先へは通信できません。

この設定を簡単にするのがAmazon Route 53です。 Amazon Route 53は、AWS マネジメントコンソールから簡単に操作・管理が行えるインターネットアプリケーションをルーティングできるウェブサービスです。

アベイラビリティゾーン(AZ)

アベイラビリティゾーン(AZ)とは、一つ以上のデータセンターをネットワークで接続させ冗長化することです。クラウドサービスは、サーバー機器本体のあるデータセンターは、24時間365日止めずに運用させる必要があります。そのため、大容量の電源や空調設備などが十分に管理され、同時にさまざまな障害対策がほどこされている一方で、それでも障害が発生してしまいます。

したがって、地震などの自然災害が発生するケースを想定し、地理的に十分な距離を保つ必要があります。

例えば、東京にある企業が東京のデータセンター利用したクラウドサービスを導入したとします。データセンターにおいて何らかの障害が発生した場合、東京以外のアベイラビリティゾーンを設定しておけば、障害の発生を防ぎ、継続したサービスを提供できるようになるのです。

こうした状況を避けるため、アベイラビリティゾーン(AZ)という手法が活用されています。

サブネット

サブネットとは、大規模なネットワーク内に設定した小さなネットワークのことです。ネットワークが大きいと管理が困難となるため、複数の小さなネットワークを構築して管理しやすくします。特に、TCP/IPネットワークでひとつの組織へ割り当てられた大きなアドレスブロックを、組織の中で管理しやすいような大きさへと分割させます。

セキュリティグループ

セキュリティグループとは、VPC(AWSネットワーク)上で通信制御をする、仮想的なファイアウォールのことです。ファイアウォールとは、社内ネットワークに外部から侵入してくる不正アクセスから守るためのセキュリティ機器です。今回のセキュリティグループにおけるファイアウォールは、仮想的な機能を意味します。

IGW(Internet Gateway)

IGW(Internet Gateway:インターネットゲートウェイ)とは、VPCとインターネット間の通信ができるようにするためのものです。VPCはプライベートの空間なため、インターネットへ接続する際はIGWが必要になります。

それによって、VPCでこれまで使用していたサービスにグローバルIPアドレスをアサインできるようになるのです。また、IGWは、IPv4とIPv6それぞれどちらもサポートしています。

Virtual Private Gateway

Virtual Private Gateway(読み方:バーチャル・プライベート・ゲートウェイ)とは、VPCとオンプレミス環境をVPNを経由して接続する際の通信の出入口のことです。1つのVPCに対して、Virtual Private Gatewayは1つだけの設置が可能です。

Virtual Private GatewayへDirect Connectインターフェースをアタッチすると、サブネットへ設定されたルートテーブルをみて、Virtual Private Gateway向きの通信がDirect Connectを経由して社内のオンプレミス環境まで通信できるようになります。また、VPNコネクションを使用すれば、VPN経由での通信も可能です。

NAT Gateway

NAT Gateway(読み方:ナット・ケートウェイ)とは、VPC内に構築したプライベートサブネットよりネットワークアドレス変換 (NAT) によってインターネットへ接続するための出入口です。ちなみにプライベートサブネットとは、インターネットに接続できないサブネットのことをいいます。

NATはNetwork Address Translationの略語で、簡単に言うとサブネット(社内・内側)で使用しているIPアドレスを外側(インターネット側)のグローバルIPアドレスへ変換する技術(NAT変換)です。VPC内は、プライベート領域なので、NAT変換を行うことでインターネットでの通信が可能となるのです。

構築前に知っておくべきネットワークの基礎知識

VPCを構築するためには、ネットワークの基礎知識を有しておく必要があります。クラウドサービスを間違いなく構築し、安定した運用を実現するためには基本的な知識をおさえておきましょう。

CIDR表記

CIDR表記とは、IPv4方式におけるIPアドレスの範囲を表記する方法です。例えば、「10.0.0.0/16」のように「先頭アドレス/ネットワーク部のビット数」という形式を使用します。前半の何ビットがネットワーク部で、後半の何ビットがホスト部なのかはネットワークごとに異なっています。

プライベートIPアドレス

プライベートIPアドレスとは、組織内のローカルネットワーク内で使用可能な、自分たちで独自に決めてよいIPアドレスのことです。

プライベートIPアドレスは、以下のように3つのクラスに分かれています。

クラス アドレスの範囲 分割可能な
ネットワーク数
適した規模
クラスA 10.0.0.0 ~ 10.255.255.255 1 大規模向け
クラスB 172.16.0.0 ~ 172.31.255.255 16 中規模向け
クラスC 192.168.0.0 ~ 192.168.255.255 256 小規模向け

この範囲において、家庭や会社などの組織内で、重複しないようにIPアドレスを割り当てるのです。

VPCからインターネットを経由して、外にあるコンピュータと通信するためには、グローバルIPアドレスへNAT変換が必要です。VPC内で使用しているIPアドレス(=プライベートIPアドレス)のままでは、インターネット上で通信できません。プライベートIPアドレスを、グローバルIPアドレスに変換することでインターネットに接続できるようになります。

AWSでネットワークを構築した際のイメージ

AWSでネットワークを構築する際は、前述したネットワークサービスを組み合わせて構築します。用途やボリュームなどに応じ、自社の運用にマッチしたサービスを選定することが重要です。

Amazon VPCによるネットワーク構築では、自由度の高さやインターネットへの接続のしやすさ、AWS Direct Connectと比較するとコストの安さが魅力です。なお、Amazon VPCは、Public/Protected/Privateと3つのサブネットを作成可能です。

AWSでネットワークを構築した際のイメージ1

ユーザーは、インターネットやVPN※(読み方:ブイ・ピー・エヌ)などのアクセス回線を経由し、ストレージ機能であるEC2(読み方:イー・シー・ツー)へ接続し、社内システムを利用します。なおVPNとは、「Virtual Private Network」の略語で、仮想の専用ネットワークのことです。

AWSでネットワークを構築した際のイメージ2

AWSでネットワークを構築する手順

AWSでネットワークを構築するためには、以下のような手順で行います。

【AWSでネットワークを構築する手順】

  1. VPCの作成
  2. サブネットの作成
  3. サブネット毎のルートテーブルを作成
  4. インスタンスの配置
  5. NAT Gatewayの作成
  6. セキュリティグループの追加
  7. EC2の追加

それぞれ見ていきましょう。

1:VPCの作成

まずは、VPCの構築を行います。操作方法は、AWSマネジメントコンソール > サービス > VPCから、VPCを作成します。

次に、使用するCIDRブロックを決定します。IPアドレスのレンジはRFC1918を、サブネットは/16を推奨します。VPCの作成後は、変更ができないため大きめに設定した方がよいでしょう。

注意点としては、オンプレミスや他VPCのレンジと重複させないことです。また、相互接続する可能性を見越したセッティングを意識する必要があります。組織の部署の数など、自社に合った管理がしやすいレンジを選定しましょう。

2:サブネットの作成

続いて、各サブネットを追加します。サブネットは、VPCで設定したプライベートIPアドレスの範囲をさらに詳細に分割するものです。VPCのCIDRブロックの範囲から、IPアドレスのレンジを切り出し、自社で必要なIPアドレス数を見積もります。

サブネット
マスク
/16のVPC内に
作成可能なサブネット数
サブネットあたりの
IPアドレス総数
2^(32-mask) -2
ホストに割り当て可能な
IPアドレス数
/18 4 16382 16379
/20 16 4094 4091
/22 64 1022 1019
/24 256 254 251
/26 1024 62 59
/28 16384 14 11

※サブネットに割り当てられたIPアドレスのうち下記は割り当て不可

  • .1:VPC ルータ(VPC内のインスタンスにルーティング機能を提供)
  • .2:Amazon DNS サーバーのため予約
  • .3:将来用途のための予約

3:NAT Gatewayの作成

NAT Gatewayを作成することで、グローバルIPアドレスの所持が可能です。インターネットへアクセスする場合は、NAT Gatewayを経由することで、Protected Subnetに複数のEC2があるケースでもグローバルIPアドレスは1つで済みます。インターネットへ出ていく際、送信元のIPアドレスは同グローバルIPアドレスになります。

4:サブネット毎のルートテーブルを作成

NAT Gatewayの作成でインターネットにつながる出入口はできましたが、まだどの通信をインターネットに送信すべきかが設定されていません。そこで、ルートテーブルの作成を行います。サブネット毎にルートテーブルを作成することで、サブネット毎に分かれた通信が可能です。

5:セキュリティグループの追加

セキュリティグループを追加します。セキュリティグループにより、通信を許可するプロトコルを規定することができます。受信と送信のそれぞれ設定が可能で、AWSのリソース(e.g. EC2やRDS)に紐付けが可能です。

AWSマネジメントコンソール > サービス > VPC > セキュリティグループで、セキュリティグループを作成します。

セキュリティグループの追加

6:インスタンスの配置

サブネット、インスタンスのセキュリティポリシーを決定します。セキュリティグループとネットワークACLを作成したら、インスタンスを配置しましょう。プライベートIPアドレスはデフォルトで自動的に割り当てられます。一方でインターネットに直接アクセスさせるインスタンスには、パブリックIPアドレスを付与します。

7:EC2の追加

AWSの画面上の、Launch Instanceをクリックし、EC2インスタンスを作成します。作成時には、以下のような設定が必要です。

  • AMIの選択
  • ストレージの追加
  • インスタンスタイプの選択
  • セキュリティグループの設定
  • タグの追加

まとめ

AWSでネットワークを構築するためには、AWS上にシステムを構築するための専門用語や、ネットワーク構築に必要な基本的な知識が必要になります。この記事を参考にAWSでシステムのクラウド化を進めていきましょう。