【AWS基礎】Amazon VPCについて学ぶ② | 若手エンジニアのブログ
AmebaAmeba 20th Anniv.ホームピグアメブロ
芸能人ブログ人気ブログ
新規登録
ログイン

若手エンジニアのブログ

文系出身の若手女子エンジニアによる技術ブログ。
日々の経験や学びをアウトプットするためにブログを書いています。
バックエンド(Java+SpringFramework)を経てインフラエンジニアになりました。
今は育休中につき、本で勉強したことを中心にアウトプットしています。

【AWS基礎】Amazon VPCについて学ぶ②

前回記事では、AWSのVPCについて概要を書きましたが、

今回はVPCの外部通信について、どういった種類のAWSサービス内容があるのか、ざっと見ていきます。

 

前回の記事はこちら。

 

 

もくじ

1.VPCで通信を行うための各種コンポーネント・サービス

2.VPC間の通信

 ・VPCピアリング

3.インターネットとの通信

 ・インターネットゲートウェイ

 ・下り専用インターネットゲートウェイ

4.オンプレミス環境との通信

 ・AWS VPN

 ・AWS Direct Connect

5.プライベートサブネットからの通信

 ・NATゲートウェイ

6.VPCとAWS内の各種サービスとの通信

 ・AWS PrivateLinkとVPCエンドポイント

7.トランジットゲートウェイ

参考文献

 

1.VPCで通信を行うための各種コンポーネント・サービス

Amazon VPC単体は、閉じたネットワークである。

そのため、インターネット通信接続はもちろん、VPC同士の通信やオンプレミス環境への専用接続等を実現したい場合、それぞれ必要なコンポーネントの設置・サービス利用が必要である。

 

AWSの主な通信コンポーネント・サービスは以下の通りである。

 

コンポーネント・サービス 用途・説明
VPC Peering
(VPCピアリング)		 2つのVPC間の通信
Internet Gateway
(インターネットゲートウェイ)		 インターネットとの相互通信
Egress-Only Internet Gateway
(下り専用インターネットゲートウェイ)		 インターネットへのアウトバンド通信(IPv6のみサポート)
AWS VPN VPCとオンプレミス環境のVPN通信
AWS Direct Connect VPCとオンプレミス環境の物理専用線による通信
NAT Gateway
(NATゲートウェイ)		 プライベートサブネットとパブリックサブネットの通信
AWS PrivateLink、VPCエンドポイント VPCとAWS内の各種サービスとの通信
Transit Gateway
(トランジットゲートウェイ)		 各種接続の中央ハブ(接続設定の集約管理機能)

 

以降、本記事では、VPCの各種通信方法について簡単に紹介する。

 

 

2.VPC間の通信

AWSでは、独立した2つのVPC同士の接続が可能である。

VPC同士の接続には、VPCピアリング機能を利用する。

 

◎VPCピアリング

VPCピアリングでは、2つの独立したAmazon VPC間で、プライベートな通信を行える。

 

※図はAWS公式ドキュメントより引用

 

VPCピアリングの特徴は以下の通り。

 ・IPv4通信、IPv6通信の双方に対応

 ・VPC間で相互接続が可能

 ・VPCは異なるリージョンに存在していてもよい

 ・AWSの別アカウントのVPCとも接続できる

 

VPCピアリングの使用料は以下の通り。

 ・VPCピアリング接続の確立自体は無料

 ・VPCピアリング接続間のデータ転送には料金がかかる

 

 

3.インターネットとの通信

AWSでは、VPCとインターネットの通信接続も、もちろんサポートされている。

パブリックサブネット内のリソースとインターネットとの直接通信、

NATを介してプライベートサブネット内のリソースとインターネットとの間接的な通信が可能である。

 

◎インターネットゲートウェイ

インターネットゲートウェイは、パブリックサブネット内のリソースとインターネットとの通信に用いる。

ただしインターネット通信の前提として、パブリックサブネット内に、

グローバルIP(パブリックIP)を付与されたリソース(EC2インスタンス等)が必要である。

 

インターネットゲートウェイの主な特徴は以下の通り。

 ・IPv4通信、IPv6通信の双方に対応

 ・デフォルトでインバウンド通信、アウトバンド通信の双方向可

 

なお、インターネットゲートウェイの作成は無料である。

 

 

◎下り専用インターネットゲートウェイ

下り線用インターネットゲートウェイ(Egress-Only Internet Gateway)は、

名前の通り、インターネットとの下り専用通信に用いる。

 

下り線用インターネットゲートウェイの主な特徴は以下の通り。

 ・IPv6のみサポート

 ・インターネット→インスタンス方向の通信は開始できない

 

 

4.オンプレミス環境との通信

◎AWS VPN

AWS VPN(Virtural Private Network)とは、インターネット経由のVPNにより、

AWS環境と他のネットワーク(オンプレミス環境等)を、仮想的な専用線で接続するサービスである。

 

VPNとは、オープンな公共回線(ここではインターネット)において、
暗号化したデータをやりとりすることで、あたかも専用線で通信している状態を実現する技術である。
AWSに限らず、広く一般的に利用されている。

 

AWSでもVPNの技術を用いて、AWS環境とオンプレミス環境等、

特定のネットワークとの通信を、仮想的な専用線で行えるようになっている。

 

VPNの良いところは、VPN対応のルータ(※)さえあれば、安価で簡単に仮想の専用線を実現できる点にある。

ただし、インターネット経由の接続になるため、
速度や安定性がインターネットの状態に左右されるのが難点である。

(※)オンプレミス環境側に置くルータは、AWS用語では「カスタマーゲートウェイ」と呼ばれる。

 

仮想的に専用線を実現するAWS VPNに対し、物理的に(実際に)専用線を引き込むのが、次に説明するAWS Direct Connectである。

 

◎AWS Direct Connect

AWS Direct Connectとは、AWS環境とオンプレミス環境等を、

物理的な専用線(標準のイーサネット光ファイバケーブル)で接続するサービスである。

 

物理ケーブルでの接続となるため、設置作業は大掛かりで、時間的・金銭的コストがかかるデメリットがある。

一方で、メリットとして、専用線を用いるため、インターネットを経由せずに済み、ネットワークの安定・高速化が見込める。

 

AWSへのアクセスを有効にするためには、仮想インタフェースの作成が必要となる。

仮想インタフェースは、以下3つから、用途に応じて適切な種類を選択する。

仮想インタフェース 説明
プライベート仮想インタフェース Amazon VPCに接続する場合(プライベートIPアドレスを用いる)
パブリック仮想インタフェース AWSの全パブリックサービス(VPC非対応のサービス)に接続する場合(パブリック(グローバル)IPアドレスを用いる)
トランジット仮想インタフェース トランジットゲートウェイ(後述)にアクセスする場合

 

 

5.プライベートサブネットからの通信

ここまで紹介したVPCピアリング、インターネットとの通信、オンプレミス環境との通信は、

いずれもVPC内のパブリックサブネットとの通信手法である。

プライベートサブネットからは、外部へ直接通信できない。

 

そのため、プライベートサブネット内のインスタンスと、各種ネットワークとを接続したい場合、

NATゲートウェイをパブリックサブネットに設置し、通信を中継させる必要がある。

 

◎NATゲートウェイ

NATゲートウェイの主な特徴は以下の通り。

 ・IPv4通信、IPv6通信の双方に対応

 ・複数のアベイラビリティゾーン(AZ)内のリソースで、1つのNATゲートウェイの共有が可能。ただし信頼性観点から、AZ毎のNATゲートウェイ設置が推奨される

 ・接続タイプはパブリック(デフォルト)、プライベートの2種類

 

接続タイプ 接続対象
パブリックタイプ インターネット(アウトバンドのみ可)
プライベートタイプ 他のVPCまたはオンプレミス環境

 

NATゲートウェイの使用料は以下課金額の合算となる。

 ・設置時間に応じて課金

 ・処理データ1GB毎に課金

 

 

ここまで紹介してきた通り、VPCと、VPC外で通信する場合は、

通常はインターネットやAWS Direct Connect、AWS VPNなどを経由する必要がある。

 

しかし、AWSには、VPCに対応しているサービス(EC2等)と、対応していないサービス(S3等)が存在する。

AWS内の、VPCと、VPC非対応のサービスとが通信するために、
わざわざインターネットやAWS Direct Connect、AWS VPNを利用するのは手間である。

 

そこで例外的に、VPCと、VPC非対応のサービスの通信においては、

AWS PrivateLinkというサービスを利用することができる。

 

◎AWS PrivateLinkとVPCエンドポイント

AWS PrivateLinkは、名前の通りプライベートな通信線である。

AWS PrivateLinkを用いることで、VPCと、AWS内のVPC非対応サービス間での通信を実現できる。

 

AWS PrivateLinkのサービスを利用するためには、「VPC エンドポイント」というコンポーネントを、VPC内に設置する必要がある。

VPCエンドポイントはプライベートIPアドレスを持ち、VPCと、VPC非対応のAWSサービスとを中継してくれる。

 

※図はAWS公式ドキュメントより引用

 

VPCエンドポイントの使用料は以下課金額の合算となる。

 ・設置時間に応じて課金(リージョンによって時間単位の課金額が異なる)

 ・月毎の処理データ量に応じて課金

 

 

7.トランジットゲートウェイ

トランジットゲートウェイは、VPCやオンプレミスネットワークを1つに取りまとめ、たがいに接続する接続点を提供するサービスである。

 

本記事で紹介してきた様々なゲートウェイやネットワークサービスについて、

数が多くなってくると、個々に作成して管理するのは非常に煩雑である。

トランジットゲートウェイを用いれば、複数のネットワークを統合的に管理できるようになる。

 

トランジットゲートウェイの使用料は以下課金額の合算となる。

 ・時間毎の接続数に応じて課金

 ・通信データ量に応じて課金

 

 

参考文献

本記事は、前回記事に引き続き、以下の2冊と、AWS公式ドキュメントを参考にしています。

どちらも基本を学ぶ上でお勧めなので、これからAWSを学ぼうという方はぜひ!(*^^*)

 

図解即戦力 Amazon Web Servicesのしくみと技術がこれ1冊でしっかりわかる教科書

図解即戦力 Amazon Web Servicesのしくみと技術がこれ1冊でしっかりわかる教科書

(小笠原種高著/技術評論社出版/2019年)

 

 

AWSの基本・仕組み・重要用語が全部わかる教科書 (見るだけ図解)

 

AWSの基本・仕組み・重要用語が全部わかる教科書 (見るだけ図解)

(川畑光平、菊地貴彰、真中俊輝著/SB Creative出版/2022年)

 

 

今回は以上!

 

次回はAmazon VPCシリーズ最終として、ACLやセキュリティまわりについて書く予定です。