はじめに

こんにちは。やまとです。Amazon VPCはAWS環境でのネットワーク構築において、重要な役割を担うサービスです。
今回はAmazon VPCを初心者の方でも理解しやすいように、主要な用語を主観ではありますがまとめてみました。これらの用語を理解することで、AWS上でのネットワーク設計や管理がスムーズになれば幸いです。

AWSネットワーク用語の基本解説

1. VPC（Virtual Private Cloud）

VPCとはAWSクラウド内でネットワークを構築するための仮想のネットワーク空間のことを指します。ユーザーは独自のネットワーク環境を持つことができます。

2. サブネット

VPCのネットワークを分割して作成する小さなネットワークのことです。
これはVPC内のIPアドレス範囲を分割することで実現しています。
基本的には、パブリックサブネット（外部とつながりのあるサブネット）とプライベートサブネット（内部のサブネット）の２種類に分かれています。
パブリックサブネットはインターネットゲートウェイ（後述）を通じてインターネットにアクセスで来ます。プライベートサブネットは通常インターネットに直接アクセスしません。

3. CIDR（Classless Inter-Domain Routing）

CIDRと書いて「サイダー」と読みます。
CIDRとは、IPアドレスをより柔軟に使えるようにするための仕組みです。
初期のインターネットでは、IPアドレスには「アドレスクラス」という決まりがありました。アドレスクラスにはどの範囲のアドレスがどのように使えるかが決まっていました。それに対して、CIDRを使うと、その決まりを気にしなくてよくなります。これにより、現在ではIPアドレスをより効率的に使えるようになりました。
例えば、CIDRの表記は「192.168.1.0/24」という形で表現します。

ちなみにIPアドレスとは、ネットワーク上でデバイスを識別するための一意の番号です。簡単に言うと、ネットワーク上の「住所」のようなものです。

つまり、CIDRを使うと、ネットワークの「住所」をもっと自由に割り振ることができるので、より多くのデバイスを効率的に管理できるようになります。

４. DHCP（Dynamic Host Configuration Protocol）

DHCPは、ネットワーク内のデバイスに自動的にIPアドレスやその他のネットワーク設定を割り当てるプロトコルです。

※プロトコルとはデータの通信を円滑に行うための「共通言語」や「ルール」のこと

5. ルートテーブル

これは、VPC内でデータを目的地（アドレス）に送り届ける経路を決定するための設定です。
各サブネットに関連付けられて、データの行き先を決定します。

VPCには暗黙的なルーターがあり、ルートテーブルを使用してネットワークトラフィックの送信先を制御します。

ゲートウェイについて

6. ゲートウェイ（GW）

ゲートウェイは、異なるネットワーク間でデータの転送をするための機能です。

7. インターネットゲートウェイ（IGW）

IGWは、VPC内のデータをインターネットに接続するためのゲートウェイです。これは、VPCに取り付けます。
IGWへ直接のルートがあるサブネットが、パブリックサブネット（ルートテーブルにインターネットゲートウェイへのルートがある）です。
IGWへ直接のルートがないサブネットが、プライベートサブネット（ルートテーブルにインターネットゲートウェイへのルートがない）になります。

8. NATゲートウェイ

NATゲートウェイは、プライベートサブネット内のデータがインターネットにアクセスできるようにするためのゲートウェイです。インターネットからのトラフィックは拒否します。

9. トランジットゲートウェイ（TGW）

TGWは、複数のVPCやオンプレミスネットワークを相互に接続するためのハブの役割を果たすゲートウェイです。主に大規模なネットワーク構成で使用されます。

アクセスについて

10. エンドポイント

エンドポイントは、ネットワークにおける通信の終点や接続点を指します。VPCにおけるエンドポイントは、VPC内のリソース（例えばEC2インスタンスやLambda関数など）が、インターネットを経由せずにAWSのサービス（S3、DynamoDBなど）にアクセスできるようにするための設定です。これにより、データの転送がインターネットを通過しないため、セキュリティが向上し、外部からの攻撃リスクが低減します。

また、VPCエンドポイントには主にゲートウェイ型とインターフェイス型の2種類があります。これらのエンドポイントを活用することで、ネットワーク構成をよりセキュアかつ効率的に保つことができます。

※参考資料
https://dev.classmethod.jp/articles/vpc-endpoint-gateway-type/

11. ピアリング接続

ピアリング接続とは、異なるVPC間での直接の接続を可能にする設定のことです。こちらもデータの転送を行うためのプライベートな接続を提供できます。

セキュリティについて

12. ネットワークACL（Access Control List）

ネットワークACLとは、VPC内でサブネットレベルでのトラフィックの制御を行うためのリストです。ステートレスであり、インバウンドとアウトバウンドのルールを個別に設定します。

ステートレスとは、通信の各リクエストを独立して処理し、過去の状態を保持しない状態のことです。

※インバウンドとアウトバウンドはネットワーク通信の方向を示す用語です。
インバウンドは外部ネットワーク(インターネット)から内部ネットワークへの通信を指します。
アウトバウンドは内部ネットワークから外部ネットワークへの通信を指します。

13. セキュリティグループ

セキュリティグループとは、VPC内のリソースに対して、インスタンスレベルでのトラフィックの許可ルールを設定するための仮想ファイアウォールです。こちらはステートフルであり、インバウンドとアウトバウンドのルールが自動的に対応します。

ステートフルとは、通信の状態を保持し、過去のリクエスト情報を基に処理を行う状態のことです。

14. VPN（Virtual Private Network）

VPNは、インターネットを介してプライベートなネットワークを構築する技術です。
暗号化されたトンネルを通じてデータを送受信することができます。

つまり、仮想環境での擬似的な専用線のようなものです。実際には専用線ではないのですが、まるで専用線のような安全性や利便性で使うことができます。

---

まとめ

• Amazon VPCはAWSクラウド内で独自のネットワーク空間を構築するための基盤です。
• このVPCはサブネットによってさらに細かく区分され、パブリックサブネットとプライベートサブネットがあります。
• CIDRはIPアドレスを柔軟に管理するための仕組みで、DHCPはネットワーク内のデバイスに自動的にIPアドレスを割り当てます。
• ルートテーブルはデータの目的地を決めるための設定です。
• ゲートウェイには、インターネットゲートウェイ（IGW）やNATゲートウェイ、トランジットゲートウェイ（TGW）があり、それぞれ異なるネットワーク接続をサポートします。
• エンドポイントはVPC内のリソースがAWSサービスに直接アクセスできるようにするための設定です。
• ピアリング接続は異なるVPC間での直接接続を可能にし、ネットワークACLやセキュリティグループはトラフィックの制御を行います。
• VPNはインターネットを介してプライベートなネットワーク接続を実現します。

最後に

今回まとめてみてAmazon VPCでは、多様なコンポーネントが連携することで、安全かつ効率的なクラウド環境を構築・管理していると知ることができました。
より詳細な各用語の説明につきましては、AWSの公式ドキュメントや他の学習リソースを参考にして学びを深めてください。

アノテーション株式会社について

アノテーション株式会社はクラスメソッドグループのオペレーション専門特化企業です。サポート・運用・開発保守・情シス・バックオフィスの専門チームが、最新 IT テクノロジー、高い技術力、蓄積されたノウハウをフル活用し、お客様の課題解決を行っています。当社は様々な職種でメンバーを募集しています。「オペレーション・エクセレンス」と「らしく働く、らしく生きる」を共に実現するカルチャー・しくみ・働き方にご興味がある方は、アノテーション株式会社 採用サイトをぜひご覧ください。