AWS - ネットワーク設計　VPCとサブネットとセキュリティグループ

このページは、特にAWSのネットワーク設計について説明する。あまりAWSに慣れていない人に対して記事を書くつもりだ。

このサイトでは先にAzureのネットワークについても記事にしているため、そちらの記事も参照しながらだと、よりクラウド環境のネットワーク設計への理解が深まるだろう。

AZURE 仮想ネットワークとネットワーク（NSG）

AWSのネットワーク概念

AWS上にネットワークを設計・構築するにあたり、まず初めにVPCとネットワークセキュリティグループの二つについて理解しよう。

AWS よくあるシステム構成図

多くのシステムを開発してきたが、以下の基本構成を理解し、構築できるようになれば、初心者は脱したと言えるだろう。

時間を作って、このページでは説明していないVPC peering（ピアリング）やInternet Gateway（インターネットゲートウェイ）についても、ネットで調べてみてほしい。セキュリティ観点で提案する場面が多いサービスだからだ。

VPCとは

VPCとは、オンプレでいうところのデータセンターにあるサーバラックとL3スイッチを一つにした概念である。サーバをラックに配置して、LANを結線して、L3スイッチでネットワークセグメントとルーティングを決めて・・・といった具合である。

VPCの設計方針

VPCを設計する場合は、どこまでを一つのネットワークとして区別するのか。ということを念頭に置いて考えましょう。

セキュリティをさらに強化にしたい場合、サーバシステムがインターネットに接しないように、サーバシステムのVPCと踏み台サーバ用のVPCとして周辺系システムのVPCを分けて作ることもあります。DMZの考え方です。上の図をもう一度見てみてください。

また、VPCはシステムのルーティングとセキュリティに大きくかかわってきます。Azureの場合は、Vnet（仮想ネットワーク）と言いいますが、AWSの場合は、VPCと言います。これら二つのサービスの違いはほぼないです。

参考：https://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/what-is-amazon-vpc.html

補足）

AWSにはAzureに存在するリソースグループと同じサービスはありません。そのためAWSは、使用しているサービスをまとめて確認することができません。全体を俯瞰してみたい。まとめて管理したい。網羅したい。というエンジニアの性質に答えられません。ここは要改善点かな。

両方の違いを知りたいという人はこちらの記事も参照してください。

AZURE 仮想ネットワークとネットワーク（NSG）

サブネット

VPCをさらにサーバ種別等で分割する場合、サブネットの設定を使用します。

参考：https://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/what-is-amazon-vpc.html

セキュリティグループ

これは、オンプレでいうところのFW（ファイアウォール。）です。EC2などのサーバサービスに紐づけます。よく出てくる通信プロトコルとポートは、以下の通りなので覚えておきましょう。

参考：https://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/what-is-amazon-vpc.html

以上を踏まえて、もう一度システム構成を見た時に、理解できていることを実感できると思う。

AWSのネットワーク設計のポイント

VPCをどうやって分けるか。サブネットを活用して、階層を分けて、どうやってセキュリティグループでセキュリティを確保するか。

特にクラウドは防御が大切です。VPC一つ、サブネット一つ、セキュリティグループ一つ。という一番楽な設計もあります。しかし、これでは拡張性や安全性を考慮するとあまりお勧めする構成ではありません。

以下を考慮して、まず最初に絵をかいてから構築作業に移りましょう。慣れてきてから頭の中で、イメージを作るようにすればよいです。

まずは、絵を描いてみましょう。