Amazon VPC の仕組み - Amazon Virtual Private Cloud

Amazon VPC の仕組み

Amazon Virtual Private Cloud (Amazon VPC) を使用すると、ユーザーが定義した仮想ネットワークに AWS のリソースを起動できます。仮想ネットワークは、お客様自身のデータセンターで運用されていた従来のネットワークによく似ていますが、AWS のスケーラブルなインフラストラクチャを使用できるというメリットがあります。

Amazon VPC は、Amazon EC2 のネットワークレイヤーです。Amazon EC2 を初めてご利用の場合は、Linux インスタンス用の Amazon EC2 ユーザーガイドの「Amazon EC2 とは」を参照してください。

VPC とサブネット

Virtual Private Cloud (VPC) は、AWS アカウント専用の仮想ネットワークです。VPC は、AWS クラウドの他の仮想ネットワークから論理的に切り離されており、VPC 内には、Amazon EC2 リソースなどの AWS リソースを起動できます。VPC の IP アドレス範囲を指定して、サブネットを追加し、セキュリティグループを関連付けて、ルートテーブルを設定できます。

サブネットは、VPC の IP アドレスの範囲です。AWS リソースは、指定したサブネット内に起動できます。インターネットに接続する必要があるリソースにはパブリックサブネットを、インターネットに接続しないリソースにはプライベートサブネットを使用してください。

各サブネットでの AWS リソースの保護には、セキュリティグループ、ネットワークアクセスコントロールリスト (ACL) など、複数のセキュリティレイヤーを使用できます。

オプションで、VPC に IPv6 CIDR ブロックを関連付け、VPC のインスタンスに IPv6 アドレスを割り当てることができます。

値とデフォルト以外の VPC

アカウントが 2013 年 12 月 4 日以降に作成された場合、各アベイラビリティーゾーンにデフォルトサブネットを持つデフォルト VPC が付属します。デフォルト VPC は EC2-VPC による高度な機能のメリットがあり、即時に利用することができます。デフォルト VPC をお持ちのお客様が、インスタンス起動時にサブネットを指定しなかった場合は、そのインスタンスはお客様のデフォルト VPC で起動されます。インスタンスをデフォルト VPC で起動するときに、Amazon VPC に関する知識は必要ありません。

独自の VPC を作成し、必要に応じて設定することもできます。これはデフォルト以外の VPC と呼ばれます。デフォルト以外の VPC で作成するサブネット、そしてデフォルト VPC で作成する追加サブネットは、デフォルト以外のサブネットと呼ばれます。

ルートテーブル

ルートテーブルは、VPC からのネットワークトラフィックの経路を決めるために使用される一連のルール (ルートと呼ばれます) で構成されます。サブネットを特定のルートテーブルに明示的に関連付けることができます。それ以外の場合、サブネットはメインルートテーブルに暗黙的に関連付けられます。

ルートテーブル内の各ルートは、トラフィックを移動させる IP アドレスの範囲 (宛先) と、トラフィックを送信するゲートウェイ、ネットワークインターフェイス、または接続 (ターゲット) を指定します。

詳細情報

インターネットへのアクセス

VPC 内に起動するインスタンスが VPC 外のリソースにどのようにアクセスするかをコントロールします。

デフォルト VPC にはインターネットゲートウェイが含まれ、各デフォルトサブネットはパブリックサブネットです。デフォルトサブネット内に起動するインスタンスにはそれぞれ、プライベート IPv4 アドレスとパブリック IPv4 アドレスが割り当てられています。これらのインスタンスは、このインターネットゲートウェイを介してインターネットと通信できます。インターネットゲートウェイを使用することで、インスタンスは Amazon EC2 ネットワークエッジを介してインターネットに接続できます。


						デフォルトの VPC の使用

デフォルトでは、デフォルト以外のサブネットで起動した各インスタンスにはプライベート IPv4 アドレスが割り当てられていますが、パブリック IPv4 アドレスは割り当てられていません。ただし、起動時に明示的にパブリック IP アドレスを割り当てた場合や、サブネットのパブリック IP アドレス属性を変更した場合は例外です。これらのインスタンスは相互に通信できますが、インターネットにアクセスできません。


						デフォルト以外の VPC の使用

デフォルト以外のサブネットで起動するインスタンスのインターネットアクセスを有効にするには、インターネットゲートウェイをその VPC (デフォルト VPC でない場合) にアタッチし、インスタンスに Elastic IP アドレスを関連付けます。


					インターネットゲートウェイの使用

または、VPC のインスタンスによるインターネットへのアウトバウンド接続の開始を許可し、インターネットからの未承諾のインバウンド接続を拒否するには、IPv4 トラフィックに対してネットワークアドレス変換 (NAT) デバイスを使用できます。NAT では、複数のプライベート IPv4 アドレスが 1 つのパブリック IPv4 アドレスにマッピングされます。NAT デバイスは Elastic IP アドレスを持ち、インターネットゲートウェイを介してインターネットに接続されます。プライベートサブネットのインスタンスをインターネットに接続するには、この NAT デバイスを使用します。これにより、トラフィックがインスタンスからインターネットゲートウェイにルーティングされ、すべての応答がインスタンスにルーティングされます。

IPv6 CIDR ブロックを VPC に関連付けて IPv6 アドレスをインスタンスに割り当てると、インスタンスはインターネットゲートウェイを介して IPv6 経由でインターネットに接続できます。また、インスタンスは、Egress-only インターネットゲートウェイを使用して IPv6 経由でインターネットへのアウトバウンド接続を開始できます。IPv6 トラフィックは IPv4 トラフィックと異なるため、IPv6 トラフィックの別のルートをルートテーブルに含める必要があります。

企業ネットワークまたはホームネットワークにアクセスする

オプションで、IPsec AWS Site-to-Site VPN 接続を使用して、VPC を自社のデータセンターに接続し、AWS クラウドをデータセンターの拡張機能にすることができます。

Site-to-Site VPN 接続は、AWS 側の仮想プライベートゲートウェイまたはトランジットゲートウェイと、データセンターにあるカスタマーゲートウェイデバイスとの間の 2 つの VPN トンネルで構成されます。カスタマーゲートウェイデバイスは、Site-to-Site VPN 接続のお客様側で設定する物理デバイスまたはソフトウェアアプライアンスです。


						仮想プライベートゲートウェイの使用

AWS PrivateLink は、高可用性のあるスケーラブルなテクノロジーであり、サポートされている AWS のサービス、他の AWS アカウントでホストされているサービス (VPC エンドポイントサービス)、およびサポートされている AWS Marketplace パートナーサービスに VPC をプライベートに接続できます。サービスと通信するのに、インターネットゲートウェイ、NAT デバイス、パブリック IP アドレス、AWS Direct Connect 接続、または AWS Site-to-Site VPN 接続は不要です。VPC と サービス間のトラフィックは、Amazon ネットワークを離れません。

AWS PrivateLink を使用するには、サービスのインターフェイス VPC エンドポイントを VPC 内に作成します。これによって Elastic Network Interface がサブネットに作成され、そのプライベート IP アドレスがサービスへのトラフィックのエントリポイントとなります。


					インターフェイスエンドポイントを使用して AWS のサービスにアクセスする

AWS PrivateLink を使用する独自のサービス (エンドポイントサービス) を作成し、このサービスにアクセスすることを他の AWS のお客様に許可できます。

VPC とネットワークの接続

2 つの VPC 間に VPC ピアリング接続を作成して、それらの間のトラフィックをプライベートにルーティングできます。どちらの VPC のインスタンスも、同じネットワーク内に存在しているかのように、相互に通信できます。

また、トランジットゲートウェイ を作成し、それを使用して VPC とオンプレミスのネットワークを相互接続することもできます。トランジットゲートウェイは、アタッチメント間で流れるトラフィックのリージョン仮想ルーターとして機能します。これには、VPC、VPN 接続、AWS Direct Connect ゲートウェイ、およびトランジットゲートウェイピア接続が含まれます。

AWS プライベートグローバルネットワークの考慮事項

AWS は、お客様のネットワークニーズに対応するために、セキュアなクラウドコンピューティング環境を提供する、高パフォーマンスで低レイテンシーのプライベートグローバルネットワークを提供します。AWS リージョンは複数のインターネットサービスプロバイダー (ISP) や、プライベートグローバルネットワークバックボーンに接続され、それによりお客様が送信したクロスリージョントラフィックに対して高いネットワークパフォーマンスが提供されます。

以下の考慮事項に注意してください。

  • すべてのリージョンのアベイラビリティーゾーン内またはアベイラビリティーゾーン間のトラフィックは、AWS プライベートグローバルネットワーク経由でルーティングされます。

  • リージョン間のトラフィックは、中国リージョンを除き、常に AWS プライベートグローバルネットワーク経由でルーティングされます。

ネットワークパケットの損失は、ネットワークフローの衝突、下位レベル (レイヤー2) のエラー、その他のネットワーク障害など、さまざまな要因によって引き起こされる可能性があります。パケット損失を最小限に抑えるために、当社はネットワークを設計および運用しています。AWS リージョンを接続するグローバルバックボーン全体のパケットロス率 (PLR) を測定しています。当社のバックボーンネットワークは、1時間あたりの PLR の p99 が 0.0001% 未満になるように運用されています。

サポートされているプラットフォーム

オリジナルリリースの Amazon EC2 は、ほかのカスタマーと共用していた EC2-Classic プラットフォームという名の単一のフラットネットワークをサポートしていました。以前の AWS アカウントでは、このプラットフォームをまだサポートしており、EC2-Classic または VPC にインスタンスを起動できます。2013 年 12 月 4 日以降に作成されたアカウントは EC2-VPC のみをサポートします。詳細については、Linux インスタンス用 Amazon EC2 ユーザーガイドの「EC2-Classic」を参照してください。

Amazon VPC リソース

次の表は、Amazon VPC で作業するときに役立つその他のリソースの一覧です。

リソース 説明

Amazon Virtual Private Cloud Connectivity Options

ネットワーク接続のオプションの概要が記載されています。

VPC ピア機能ガイド

VPC ピア接続のシナリオと、サポートされるピア設定について説明します。

トラフィックのミラーリング

トラフィックミラーリングのターゲット、フィルタ、およびセッションについて説明し、管理者がこれらを設定できるようにします。

[Transit Gateways (トランジットゲートウェイ)]

トランジットゲートウェイと、ネットワーク管理者がトランジットゲートウェイを設定する方法を説明します。

トランジットゲートウェイ Network Manager ガイド

トランジットゲートウェイ Network Manager について説明し、グローバルネットワークを設定およびモニタリングできるようにします。

AWS Direct Connect ユーザーガイド

AWS Direct Connect を使用して、リモートのネットワークから VPC への専用のプライベート接続を作成する方法について説明します。

AWS Client VPN 管理者ガイド

クライアント VPN エンドポイントを作成および設定して、リモートユーザーが VPC のリソースにアクセスできるようにする方法について説明します。

アマゾン VPC フォーラム

Amazon VPC に関する技術的な質問について話し合うコミュニティフォーラムです。

リソースセンターのご利用開始にあたって

AWS で構築を開始するのに役立つ情報です。

AWS サポートセンター

AWS サポートのホームページです。

お問い合わせ

AWS の請求、アカウント、イベントに関するお問い合わせの受付窓口です。