この記事の目的(AWS Certified Cloud Practitioner 対策)
AWS認定(AWS Certified Cloud Practitioner / CLF)では、クラウドの「ネットワークの基礎概念」を問う問題が頻出です。本記事は、Amazon VPC周辺(サブネット、ルートテーブル、Internet Gateway、NAT Gateway、Security Group、Network ACL、VPC Endpoint、VPN / Direct Connect)を、初学者でも迷いにくい順序で整理します。
一次情報(公式):https://aws.amazon.com/certification/certified-cloud-practitioner/
1. VPCとは(最短の定義)
Amazon VPCは、AWS上に作る論理的に分離された仮想ネットワークです(自分専用のネットワーク空間)。VPCはリージョン単位で作成し、その中にサブネット(AZ単位)やルート、セキュリティ設定を配置して設計します。
一次情報(公式):https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html
試験で押さえるポイント
- VPCはリージョン単位、サブネットはAvailability Zone(AZ)単位
- VPC内のリソース(EC2など)は、サブネットに配置して通信経路とアクセス制御を作る
2. CIDRとサブネット(アドレス設計の基本)
VPCやサブネットにはCIDR(例:10.0.0.0/16)というIP範囲を割り当てます。
- /16:VPC全体の大枠(例:10.0.0.0/16)
- /24:サブネット単位の区画(例:10.0.1.0/24 など)
サブネットの超頻出注意(予約IP)
AWSは各サブネットで先頭側の5つのIPアドレスを予約します。そのため、例えば/24(256個)でも実際に割り当て可能なIPは256-5=251個です。
一次情報(公式):https://docs.aws.amazon.com/vpc/latest/userguide/configure-subnets.html
3. ルートテーブル(通信の行き先を決める)
ルートテーブルは「宛先(Destination)に対して、次にどこへ送るか(Target)」を決めるルールです。
頻出の2つのルート
- VPC内宛て:VPC CIDR(例:10.0.0.0/16)→ local(VPC内部通信)
- デフォルトルート:0.0.0.0/0(全宛先)→ IGW もしくは NAT GW など
一次情報(公式):https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html
4. パブリックサブネットとプライベートサブネット
「パブリック / プライベート」は名前ではなくルートで決まるのが重要です。
パブリックサブネット
ルートテーブルに 0.0.0.0/0 → Internet Gateway(IGW) があるサブネット。
プライベートサブネット
ルートテーブルに 0.0.0.0/0 → IGW がないサブネット(= インターネットへ直接出ない)。
例:よくあるWeb二層構成(CLFで定番)
- Public:ロードバランサ(ALB/ELB)やNAT Gatewayを配置
- Private:アプリ(EC2など)やDB(RDSなど)を配置
5. Internet Gateway(IGW):インターネット接続の入口
Internet Gateway(IGW)は、VPCがインターネットと通信するためのゲートウェイです。IGWをVPCにアタッチし、さらに対象サブネットのルートテーブルで 0.0.0.0/0 → IGW を設定して初めて「インターネットへ出る経路」が成立します。
一次情報(公式):https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html
6. NAT Gateway:プライベートから“外へ出る”ための出口
NAT Gatewayは、プライベートサブネット内のインスタンスがアウトバウンド(外向き)通信を行えるようにする仕組みです(例:OS更新、外部APIアクセス)。一般的にNAT Gatewayはパブリックサブネットに配置し、プライベートサブネット側のデフォルトルートを 0.0.0.0/0 → NAT Gateway にします。
重要(誤解しやすい点)
- NATは基本的に内→外の発信を成立させる仕組みであり、外→内の新規着信を可能にするものではない
- 「プライベートサブネット=外部と一切通信できない」ではない(NATやVPC Endpointで外部/AWSサービスに到達可能)
一次情報(公式):https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html
7. セキュリティ:Security Group と Network ACL
CLFで頻出の比較ポイントです。どちらも「通信制御」ですが、適用範囲と性質が違います。
| 項目 | Security Group(SG) | Network ACL(NACL) |
|---|---|---|
| 適用先 | ENI / インスタンスに紐づく(インスタンス側の防火壁) | サブネットに紐づく(サブネット境界のフィルタ) |
| ルール | 許可(Allow)のみ | 許可(Allow)と拒否(Deny)の両方 |
| 状態管理 | ステートフル(戻り通信は自動許可) | ステートレス(往復それぞれ許可が必要) |
一次情報(公式・SG):https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-groups.html
一次情報(公式・NACL):https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html
例:Webサーバを公開する最小セット(考え方)
- SGでインバウンド:HTTP(80)/HTTPS(443)を必要な送信元から許可
- プライベート側(DB等)は、Web層からの必要ポートだけを許可
- NACLは必要に応じてサブネット境界で補強(ステートレスなので往復ルールに注意)
8. VPC Endpoint:インターネットを通さずAWSサービスへ
VPC Endpointを使うと、VPCからAWSサービスへプライベートに接続できます。NAT Gatewayやインターネット経由にせずに到達できるため、設計やセキュリティ要件によって重要になります。
2種類(CLFでの押さえ所)
- Gateway Endpoint:代表例はAmazon S3 / DynamoDB。ルートテーブルに経路が追加される。
- Interface Endpoint(AWS PrivateLink):多くのAWSサービスで利用。サブネットにENI(プライベートIPの口)が作られる。
一次情報(公式):https://docs.aws.amazon.com/vpc/latest/privatelink/what-is-privatelink.html
例:プライベートサブネットからS3にアクセスしたい
- NAT経由:インターネット側へ出てからS3に到達(構成によっては好まれない)
- S3 Gateway Endpoint:VPC内の経路としてS3へ到達(プライベート接続)
9. ハイブリッド接続:Site-to-Site VPN / Client VPN / Direct Connect
9.1 Site-to-Site VPN(拠点ネットワーク ↔ VPC)
オンプレミス(会社/自宅のネットワーク)とVPCを、IPsec VPNで接続します。インターネット経由で比較的導入しやすい一方、回線品質はインターネットに依存します。
一次情報(公式):https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html
9.2 AWS Client VPN(個人PC ↔ VPC)
個人端末(クライアント)からVPCへ安全に接続するリモートアクセスVPNです(外出先からVPC内リソースへアクセスしたい用途)。
一次情報(公式):https://docs.aws.amazon.com/vpn/latest/clientvpn-admin/what-is.html
9.3 AWS Direct Connect(専用線:拠点 ↔ AWS)
オンプレミスとAWSを専用線で接続します。低遅延・安定した帯域が求められる場面で利用されます(導入はVPNより重くなりがち)。
一次情報(公式):https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html
10. 「VPC内 / VPC外」の整理(試験で混乱しないために)
学習資料では、サービスが「VPC内」「VPC外」と図示されることがあります。これはサービスの性質(VPCに直接配置するか / 基本はVPCの外で提供されるか)を掴むための整理です。
(1) 確実に言えること
- EC2などはVPC内のサブネットに配置して利用する(= VPC内で動く)
- S3などは基本的にVPCの外側で提供され、通常はインターネット経由で到達する
- ただしVPC Endpoint等の仕組みで、VPCからプライベートに接続できる
(2) 推測(根拠付き)
- 学習用の図で「VPC外」にまとめられているサービス群は、“VPCに配置する”というより“VPCから利用する”性質のものが多い(例:S3、Route 53、CloudFrontなど)。これはCLFでの理解を簡略化するために採られやすい表現である可能性が高い。
(3) 不明点(追加で確認すべき点)
- 特定の参考書の「VPC内/外」の分類基準(例:実行基盤がVPC内か、到達経路がインターネットか、などの定義)がどれに寄せているかは、当該参考書の説明文に依存するため確認が必要。
11. 直前チェック(CLF向けの“ひっかけ回避”)
- パブリック/プライベートは「名前」ではなくルート(0.0.0.0/0の行き先)で判断する
- NAT Gatewayはプライベートからのアウトバウンド用途(外→内の新規着信は目的外)
- SGはステートフル、NACLはステートレス(往復ルールの考え方が違う)
- サブネットはAZ単位(高可用性は複数AZに分散が基本)
- S3/DynamoDBはGateway Endpoint、多くのサービスはInterface Endpoint(PrivateLink)
一次情報リンク(まとめ)
- Cloud Practitioner(試験):https://aws.amazon.com/certification/certified-cloud-practitioner/
- Amazon VPC 概要:https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html
- サブネット:https://docs.aws.amazon.com/vpc/latest/userguide/configure-subnets.html
- ルートテーブル:https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Route_Tables.html
- Internet Gateway:https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html
- NAT Gateway:https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html
- Security Group:https://docs.aws.amazon.com/vpc/latest/userguide/vpc-security-groups.html
- Network ACL:https://docs.aws.amazon.com/vpc/latest/userguide/vpc-network-acls.html
- AWS PrivateLink / VPC Endpoint:https://docs.aws.amazon.com/vpc/latest/privatelink/what-is-privatelink.html
- Site-to-Site VPN:https://docs.aws.amazon.com/vpn/latest/s2svpn/VPC_VPN.html
- AWS Client VPN:https://docs.aws.amazon.com/vpn/latest/clientvpn-admin/what-is.html
- AWS Direct Connect:https://docs.aws.amazon.com/directconnect/latest/UserGuide/Welcome.html