【AWS Certified Cloud Practitioner】IPアドレス・CIDR・サブネット・パブリック/プライベートをVPCで理解する

AWS Certified Cloud Practitionerでは、細かなネットワーク設計の実務レベルまで深掘りされることは多くありませんが、VPC・サブネット・IPアドレス・インターネット接続の基本は、EC2やロードバランサー、NAT Gatewayの理解に直結します。試験ガイドでも、コアAWSサービスとしてネットワーク系サービスを含む基礎理解が求められています。

1. まず押さえる：IPアドレスは「ネットワーク上の住所」

IPアドレスは、ネットワーク上で通信先を識別するための住所です。AWSでも、EC2インスタンスやロードバランサーなどのリソースは、VPC内でIPアドレスを使って通信します。

• IPv4：32ビット。例：10.0.1.15
• IPv6：128ビット。IPv4よりはるかに多くのアドレスを扱えます

AWSのVPCは、IPv4のみでも作成できますし、IPv4とIPv6の両方を持つデュアルスタック構成にもできます。

2. AWSでのIPアドレスの見方

AWSのVPCでは、まずVPC全体にIPアドレス範囲を割り当て、その範囲をさらにサブネットへ分割して使います。たとえば、VPCに 10.0.0.0/16 を割り当て、その中から 10.0.1.0/24 や 10.0.2.0/24 といったサブネットを切り出す、という考え方です。

このとき大事なのは、VPCは大きなネットワーク、サブネットはその中の区画、というイメージです。

3. CIDR表記（/16 や /24）を試験向けに理解する

CIDRは、IPアドレスのうち「どこまでがネットワーク部分か」を表す書き方です。

• 10.0.0.0/16：先頭16ビットがネットワーク部
• 10.0.1.0/24：先頭24ビットがネットワーク部

初心者向けには、次のように覚えると理解しやすくなります。

• /16 は「かなり大きい区画」
• /24 は「その中をさらに小さく分けた区画」

たとえば、VPCが 10.0.0.0/24 なら合計256個のIPv4アドレスを持てます。このVPCを2つに分割すると、10.0.0.0/25 と 10.0.0.128/25 という2つのサブネットにできます。

Cloud Practitionerでは、ビット演算を細かく解くよりも、「大きな範囲をサブネットに分ける」という考え方を押さえることが重要です。

4. ネットワークアドレスとホストアドレス

CIDRを理解するときは、IPアドレスが次の2つに分かれると考えると整理しやすくなります。

• ネットワーク部：どのネットワークに属するか
• ホスト部：そのネットワーク内のどの機器か

例として 192.168.1.10/24 を見ると、ざっくり 192.168.1 がネットワーク側、最後の 10 がホスト側という理解で十分です。

AWSの試験対策では、この考え方が VPCのCIDR と サブネットのCIDR を区別する基礎になります。

5. パブリックIPアドレスとプライベートIPアドレス

ここは試験で特に混同しやすいポイントです。

プライベートIPアドレス

VPC内のリソースには、まずサブネット範囲からプライベートIPv4アドレスが割り当てられます。これはインターネットから直接は到達できません。VPC内のEC2同士など、内部通信に使います。

パブリックIPv4アドレス

インターネットと直接通信させたい場合は、リソースにパブリックIPv4アドレスまたはElastic IPが必要です。ただし、それだけでは不十分で、サブネット側にもインターネットゲートウェイへ向かう経路が必要です。

重要な試験ポイント：「パブリックサブネットにある = 自動的にインターネット公開」ではありません。一般に次の両方が必要です。

• サブネットのルートテーブルにインターネットゲートウェイへの経路があること
• インスタンス側にパブリックIPv4アドレスまたはElastic IPがあること

6. パブリックサブネットとプライベートサブネット

AWSでは、サブネットはルートテーブル上の経路で性質が決まります。

パブリックサブネット

ルートテーブルに 0.0.0.0/0 をインターネットゲートウェイへ向けるルートがあるサブネットです。外部公開が必要なリソースを置く候補になります。

プライベートサブネット

インターネットゲートウェイへの直接ルートを持たないサブネットです。アプリケーションサーバーやデータベースなど、外部から直接アクセスさせたくないリソースを置くのに向いています。

典型例は次の構成です。

• パブリックサブネット：Application Load Balancer、NAT Gateway
• プライベートサブネット：EC2アプリケーションサーバー、データベース

この構成は、AWS公式のVPC構成例でも示されています。

7. NAT Gatewayの役割

プライベートサブネットのEC2は、通常そのままではインターネットへ出られません。しかし、OSアップデートや外部APIへの接続が必要な場合があります。そのときに使う代表的な仕組みが NAT Gateway です。

• 配置場所：通常はパブリックサブネット
• 役割：プライベートサブネットから外向き通信だけを可能にする
• ポイント：外部からプライベートサブネットへ勝手に入ってくる通信は受けない

試験では、「プライベートサブネットのインスタンスにインターネットへの送信だけ許可したい」→ NAT Gateway と結び付けて覚えると整理しやすくなります。

8. サブネットは1つのAZに属する

VPCはリージョン全体にまたがりますが、サブネットは1つのAvailability Zone（AZ）にしか属せません。この点は試験で非常によく出る基本事項です。

そのため、可用性を高めるには、複数AZにサブネットを作り、EC2やロードバランサーを分散配置する、という考え方が基本になります。

9. AWSでの「使えるIP数」は教科書通りではない

一般的なネットワークの学習では、/24 なら256個のアドレスがある、というところまで覚えることが多いですが、AWSではさらに注意点があります。

たとえば 10.0.0.0/24 のサブネットでは、理論上は256個のIPアドレスがありますが、AWSでは先頭4個と最後の1個が予約されます。そのため、実際にリソースへ割り当てられる数は256より少なくなります。

これはAWS固有の実装上、とても重要な試験ポイントです。

10. DMZという言葉をAWSではどう理解するか

メモにあるDMZは、オンプレミスや一般的なネットワーク設計でよく使われる概念です。AWS試験では、まず public subnet / private subnet の理解を優先した方が得点に結び付きやすいです。

(1) 確実に言えること

AWS公式ドキュメントでは、VPCの構成を パブリックサブネット と プライベートサブネット、さらに Internet Gateway、NAT Gateway、ルートテーブル で説明しています。外部公開が必要なリソースをパブリック側、内部処理をプライベート側に分ける設計は、公式の構成例にも沿っています。

(2) 推測

「DMZ」という言葉をAWS学習で使うなら、“インターネットに面した公開用サブネット” をイメージする補助概念として理解するのは可能性が高い整理です。特に、インターネット向けロードバランサーやNAT Gatewayを置くパブリックサブネットを、オンプレミスのDMZに近いものとして捉えると、初学者にはわかりやすい場合があります。

(3) 不明点

AWS公式がCloud Practitioner向けに「DMZ」を中心概念として強調しているわけではありません。したがって、試験対策では DMZという単語そのもの よりも、public subnet / private subnet / Internet Gateway / NAT Gateway / route table を正確に区別できることを優先しておくのが安全です。

11. 典型構成を1つで覚える

初学者は、次の構成を丸ごと1つ覚えると整理しやすくなります。

1. VPC：10.0.0.0/16
2. パブリックサブネット：10.0.1.0/24（ALB、NAT Gateway）
3. プライベートサブネット：10.0.2.0/24（EC2アプリケーションサーバー）
4. 別のプライベートサブネット：DB用
5. インターネットからの受信：ALBへ
6. アプリサーバーの外向き通信：NAT Gateway経由

この構成を理解できると、Cloud Practitionerのネットワーク問題の多くが読みやすくなります。

12. 試験直前チェック

• IPv4は32ビット、IPv6は128ビット
• VPCにはCIDRブロックを割り当てる
• サブネットはVPCのCIDRを分割したもの
• サブネットは1つのAZに属する
• パブリックサブネットは、インターネットゲートウェイへのルートを持つ
• プライベートサブネットは、インターネットゲートウェイへ直接出ない
• 外向き通信だけ必要ならNAT Gatewayを使う
• AWSではサブネットの先頭4個と最後の1個のIPが予約される
• DMZという言葉より、public/private subnet の理解を優先する

参考（AWS公式）

• https://aws.amazon.com/jp/certification/certified-cloud-practitioner/
• https://docs.aws.amazon.com/pdfs/aws-certification/latest/cloud-practitioner-02/cloud-practitioner-02.pdf
• https://docs.aws.amazon.com/vpc/latest/userguide/what-is-amazon-vpc.html
• https://docs.aws.amazon.com/vpc/latest/userguide/vpc-ip-addressing.html
• https://docs.aws.amazon.com/vpc/latest/userguide/subnet-sizing.html
• https://docs.aws.amazon.com/vpc/latest/userguide/configure-subnets.html
• https://docs.aws.amazon.com/vpc/latest/userguide/VPC_Internet_Gateway.html
• https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html
• https://docs.aws.amazon.com/vpc/latest/userguide/vpc-example-private-subnets-nat.html