Architecture - Amazon VPC を使用したモジュール式のスケーラブルな仮想ネットワークアーキテクチャの構築

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Architecture

このクイックスタートをデフォルトパラメータでデプロイすると、AWS クラウドに以下の仮想ネットワーキング環境が構築されます。


          Modular Amazon VPC architecture on AWS

* IP アドレスからは、各サブネットで予約されていて使用できない 5 つのアドレスが除外されています。

図 1: AWS でのモジュラー型 Amazon VPC アーキテクチャ(全画面表示)

 

AWS CloudFormation テンプレートは、仮想ネットワークを設定し、ネットワークリソースを作成します。

また、各アベイラビリティーゾーンのパブリックサブネットにマネージド NAT ゲートウェイを配置して、マルチ AZ、マルチサブネットの VPC インフラストラクチャを作成します。専用のカスタムネットワークアクセスコントロールリスト (ACL) を使用して、追加のプライベートサブネットを作成することもできます。NAT ゲートウェイをサポートしないリージョンにクイックスタートをデプロイすると、代わりに NAT インスタンスがデプロイされます。デフォルトのサブネットサイズは一般的なデプロイに基づいていますが、「サブネットのサイズ設定」セクションで説明しているように再設定できます。

クイックスタートには、Amazon S3 へのセキュアで信頼性の高い接続を可能にする VPC エンドポイントも含まれます。そのため、インターネットゲートウェイ、NAT デバイス、または仮想プライベートゲートウェイは不要です。これらのエンドポイントを使用して、クイックスタートによって作成された VPC 内から S3 リソースにアクセスできます。これらのエンドポイントは、クイックスタートを起動する AWS リージョンに対してのみ有効です。

クイックスタートは、デフォルトのエンドポイントポリシーを使用して、VPC 内の任意のユーザーまたはサービスに Amazon S3 リソースへのフルアクセスを許可します。このポリシーは、必要な IAM ユーザーポリシーまたは S3 バケットポリシーを補うものです。

クイックスタートにより、VPC でドメインネームシステム (DNS) 解決も可能になります。VPC エンドポイントの詳細については、「AWS ドキュメント」を参照してください。

AWS のサービス

このクイックスタートで使用される AWS の主要コンポーネントには、次の AWS サービスが含まれます (AWS を初めて利用する場合は、AWS ドキュメントの「はじめに」セクションを参照してください)。

  • Amazon VPC-Amazon Virtual Private Cloud (Amazon VPC) サービスは、AWS クラウドの隔離されたプライベートな部分をプロビジョンし、定義した仮想ネットワークで AWS サービスや他のリソースを起動できるようにします。IP アドレス範囲の選択、サブネットの作成、ルートテーブル、ネットワークゲートウェイの設定など、仮想ネットワーク環境を完全に制御できます。

  • Amazon EC2-Amazon Elastic Compute Cloud (Amazon EC2) サービスは、様々なオペレーティングシステムで仮想マシンインスタンスを起動できるようにします。既存の Amazon マシンイメージ (AMI) から選択することも、独自の仮想マシンイメージをインポートすることもできます。

  • Amazon EBS 向けの-Elastic Block Store (Amazon EBS) は、AWS クラウドの Amazon EC2 インスタンスで使用するための永続的なブロックレベルのストレージボリュームを提供します。コンポーネントに障害が発生した場合でも高い可用性と耐久性を提供できるように、各 Amazon EBS ボリュームはアベイラビリティーゾーン内で自動的にレプリケートされます。Amazon EBS ボリュームは、ワークロードの実行に必要な低レイテンシーの安定したパフォーマンスを実現します。

  • NAT Gateway-NAT ゲートウェイはネットワークアドレス変換 (NAT) デバイスであり、プライベートサブネット内のインスタンスへのアウトバウンドインターネットアクセスを許可しますが、インターネットからのこれらのインスタンスへのアクセスは禁止します。NAT ゲートウェイは、NAT インスタンスよりも優れた可用性と帯域幅を実現します。NAT ゲートウェイサービスは、お客様に代わって NAT ゲートウェイの管理を担当するマネージドサービスです。NAT ゲートウェイは、一部の AWS リージョンではサポートされていません。このクイックスタートは、NAT ゲートウェイを使用できないリージョンに NAT インスタンスをデプロイします。

ベストプラクティス

このクイックスタートによって構築されるアーキテクチャは、高可用性とセキュリティについて AWS のベストプラクティスをサポートしています。クイックスタートは以下のものを提供します。

  • 高可用性と災害対策のための 最大 4 つのアベイラビリティーゾーン。AWS は、停止したデータセンターの隔離にアベイラビリティーゾーンを最大限に活用することをお勧めしています。アベイラビリティーゾーンは、リージョン内で地理的に分散されており、自然災害が発生した場合に最適な隔離場所と安定性を確保します。

  • 独自のルーティング要件を満たす個別のサブネット。AWS は、外部リソースにはパブリックサブネットを、内部リソースにはプライベートサブネットを使用することをお勧めしています。アベイラビリティーゾーンごとに、このクイックスタートはデフォルトで 1 つのパブリックサブネットと 1 つのプライベートサブネットをプロビジョンします。(パブリックサブネットのみが必要な場合は、プライベートサブネットの作成を無効にすることができます)。サブネットのサイズ設定戦略については、次のセクションを参照してください。

  • セキュリティの追加レイヤー。AWS は、ファイアウォールとしてネットワーク ACL を使用して、サブネットレベルでインバウンドとアウトバウンドのトラフィックを制御することをお勧めしています。このクイックスタートには、各アベイラビリティーゾーンにネットワーク ACL で保護されたサブネットを作成するオプションもあります。これらのネットワーク ACL は、追加の防御レイヤーとしてカスタマイズできる個々のコントロールを提供します。

    ネットワーク ACL は、管理が複雑であり、ステートレスであり、各 IP アドレスが各方向 (インバウンド/アウトバウンド) に明示的に開かれる必要があり、サブネット全体に影響を与えるという理由から、控えめに使用することをお勧めします。セキュリティグループをネットワーク ACL よりも頻繁に使用し、お客様の組織に適したスキーマに基づいて作成して適用することをお勧めします。その例として、サーバーロールとアプリケーションロールがあります。セキュリティグループとネットワーク ACL の詳細については、このガイドの「セキュリティ」を参照してください。

  • プライベートサブネットごとに設定された独立したルーティングテーブル。Amazon VPC 内外のトラフィックフローを制御します。パブリックサブネットはすべて、インターネットと通信するための唯一のルートとして同じインターネットゲートウェイを使用するため、1 つのルーティングテーブルを共有します。

  • 高可用性 NAT ゲートウェイ (サポートされている場合)。NAT インスタンスの代わりに使用します。NAT ゲートウェイは、デプロイ、可用性、メンテナンスの面で大きな利点があります。詳細については、「」を参照してください。comparisonAmazon VPC のドキュメントに記載されています。

  • 追加のサブネットのための予備のキャパシティー。時間の経過と共に拡張または変化するお客様の環境をサポートします。

これらのベストプラクティスの詳細については、以下のドキュメントを参照してください。

サブネットのサイズ設定

このクイックスタートで、サブネットで使用される CIDR ブロックのサイズ設定は、一般的なデプロイに基づいており、プライベートサブネットの数は、パブリックサブネットのインスタンスの数の約 2 倍になります。ただし、デプロイ中、CIDR ブロックパラメータを使用して、CIDR 範囲のサイズを変更することで、アーキテクチャ上のニーズを満たすことができます。

デフォルトのサブネット割り当てでは、図 1 に示しているように、VPC はサブネットタイプに分割され、さらにアベイラビリティーゾーンに分割されます。クイックスタートには、キャパシティーを最大化するために、以下のデフォルトの CIDR ブロックサイズが用意されています。

VPC 10.0.0.0/16
プライベートサブネット A 10.0.0.0/17
  アベイラビリティーゾーン 1          10.0.0.0/19         
  アベイラビリティーゾーン 2 10.0.32.0/19
  アベイラビリティーゾーン 3 10.0.64.0/19
  アベイラビリティーゾーン 4 10.0.96.0/19
パブリックサブネット 10.0.128.0/18
  アベイラビリティーゾーン 1 10.0.128.0/20
  アベイラビリティーゾーン 2 10.0.144.0/20
  アベイラビリティーゾーン 3 10.0.160.0/20
  アベイラビリティーゾーン 4 10.0.176.0/20
専用カスタムネットワーク ACL を使用したプライベートサブネット B 10.0.192.0/19
  アベイラビリティーゾーン 1 10.0.192.0/21
  アベイラビリティーゾーン 2 10.0.200.0/21
  アベイラビリティーゾーン 3 10.0.208.0/21
  アベイラビリティーゾーン 4 10.0.216.0/21
予備のサブネットキャパシティー 10.0.224.0/19
  アベイラビリティーゾーン 1 10.0.224.0/21
  アベイラビリティーゾーン 2 10.0.232.0/21
  アベイラビリティーゾーン 3 10.0.240.0/21
  アベイラビリティーゾーン 4 10.0.248.0/21

または、VPC をアベイラビリティーゾーンに分割してからサブネットタイプに分割して、CIDR 範囲を分割するような状況もあります。このシナリオ用にキャパシティーを最大化するためには、以下の CIDR ブロックをお勧めします。

VPC 10.0.0.0/16
アベイラビリティーゾーン 1          10.0.0.0/18
  プライベートサブネット A 10.0.0.0/19         
  パブリックサブネット 10.0.32.0/20
  プライベートサブネット B 10.0.48.0/21
  予備のサブネットキャパシティー          10.0.56.0/21
アベイラビリティーゾーン 2 10.0.64.0/18
  プライベートサブネット A 10.0.64.0/19
  パブリックサブネット 10.0.96.0/20
  プライベートサブネット B 10.0.112.0/21
  予備のサブネットキャパシティー 10.0.120.0/21
アベイラビリティーゾーン 3 10.0.128.0/18
  プライベートサブネット A 10.0.128.0/19
  パブリックサブネット 10.0.160.0/20
  プライベートサブネット B 10.0.176.0/21
  予備のサブネットキャパシティー 10.0.184.0/21
アベイラビリティーゾーン 4 10.0.192.0/18
  プライベートサブネット A 10.0.192.0/19
  パブリックサブネット 10.0.224.0/20
  プライベートサブネット B 10.0.240.0/21
  予備のサブネットキャパシティー 10.0.248.0/21

このシナリオ用に CIDR 範囲をカスタマイズするか、独自の分割戦略を実装するには、「ステップ 2」で説明しているクイックスタートパラメータを設定できます。VPC とサブネットのサイズ設定の詳細については、「AWS ドキュメント」を参照してください。