TL

Cloud Service

Amazon VPC

AWS上に作る自分専用の仮想ネットワーク。サブネット・ルーティング・ゲートウェイで通信を設計する土台。

中級SAA-C03SOA-C02SAP-C02ANS-C01セキュリティ信頼性パフォーマンス効率
最終更新: 2026-05-31公式ドキュメント ↗
TL;DR要点だけ先に
  • 1.AWS上に作る自分専用の仮想ネットワーク。IP範囲やサブネットを設計する。
  • 2.ルートテーブルにIGW経路があればパブリック、なければプライベート。
  • 3.SGはステートフル、NACLはステートレス。S3はゲートウェイ型で無料接続。
Amazon VPC のアーキテクチャ図
Amazon VPC の構成イメージ

解決する課題

  • リソースをネットワーク的に隔離し、外部から触れる範囲を最小化
  • 「公開する層」と「隠す層」をサブネットで分離(Web ⇄ DB など)
  • オンプレや他VPCと安全に接続

主要概念と用語

  • CIDR: VPCのIP範囲(例 10.0.0.0/16
  • サブネット: VPCをAZ単位で区切った区画。パブリック/プライベートに分ける
  • ルートテーブル: サブネットの通信経路を決める
  • インターネットゲートウェイ (IGW): VPCをインターネットに繋ぐ(双方向)
  • NATゲートウェイ: プライベートサブネットから外向きのみ通信させる
  • セキュリティグループ / ネットワークACL: 2層のファイアウォール

仕様・制限・クォータ

  • 各サブネットは1つのAZに属する → 冗長化は複数AZにサブネットを用意
  • リージョンごとにVPC数・サブネット数などの上限(引き上げ可)
  • AWSが各サブネットで先頭4つ+末尾1つのIPを予約

内部の仕組み

「パブリックサブネット」という設定項目は実は存在しません。ルートテーブルに IGW への経路があるサブネットが結果的にパブリックになる、という仕組みです。

  • パブリック: 0.0.0.0/0 → IGW の経路を持つ
  • プライベート: IGWへの経路を持たず、外向きが必要なら 0.0.0.0/0 → NAT Gateway

通信可否は セキュリティグループ(ステートフル・インスタンス単位)NACL(ステートレス・サブネット単位) の2層で評価されます。

SG と NACL の決定的な違い

SGはステートフル(戻り通信を自動許可)。NACLはステートレス(行き/戻りを個別に許可する必要)。ここは超頻出。

設計パターン / ベストプラクティス

  • 3層構成: パブリック(ALB) / プライベート(App) / プライベート(DB) を複数AZに
  • マルチAZ: 各層のサブネットを2つ以上のAZに分散して可用性確保
  • VPCエンドポイント: S3/DynamoDBはゲートウェイ型、その他は**インターフェース型(PrivateLink)**でインターネットを経由せず接続

運用・監視・トラブルシュート

  • VPC Flow Logs で通信の許可/拒否を記録し、到達性の問題を切り分け
  • 「繋がらない」時の確認順: ルートテーブル → SG → NACL → (NAT/IGW)
  • Reachability Analyzer で経路を静的解析

コスト

  • VPC自体・サブネット・SG・ルートテーブルは無料
  • 課金されるのは NATゲートウェイ(時間+処理データ量)、インターフェース型エンドポイント、AZ跨ぎ/外向き転送量など
コスト削減

S3/DynamoDBへの通信は**ゲートウェイ型VPCエンドポイント(無料)**を使うと、NATの処理データ料金を回避できます。

セキュリティ

  • 最小公開: DBなどはプライベートサブネットに置きIGW経路を与えない
  • SGは許可のみ・最小限のポート。NACLはサブネット境界の追加防御
  • 管理アクセスはSSM Session Managerで踏み台レスに

Well-Architected の観点

  • セキュリティ: サブネット分離・最小公開・多層FW
  • 信頼性: 複数AZにサブネットを分散、NATもAZごとに冗長化
  • パフォーマンス効率: エンドポイントで内部経路を短縮、不要なAZ跨ぎを抑制

試験で問われるポイント

頻出
  • プライベートの外向き = NAT Gateway、公開接続 = IGW
  • SG=ステートフル / NACL=ステートレス
  • S3への内部経路 = ゲートウェイ型VPCエンドポイント(NAT不要・無料)
📝 VPC ミニ確認テスト1 問 / 全 3

プライベートサブネットのEC2から、インターネットへ「送信のみ」許可したい(外からの着信は不可)。使うべきは?

関連サービス・比較

接続方式用途ポイント
VPCピアリングVPC間1対1接続推移的ルーティング不可
Transit Gateway多数のVPC/オンプレをハブ接続大規模・推移的接続に
VPNオンプレとIPsec接続手軽だがインターネット経由
Direct Connect専用線接続低遅延・安定・高コスト

ハンズオン / CLI例

# VPC作成
aws ec2 create-vpc --cidr-block 10.0.0.0/16 \
  --tag-specifications 'ResourceType=vpc,Tags=[{Key=Name,Value=demo-vpc}]'

# パブリックサブネット作成(AZ-a)
aws ec2 create-subnet --vpc-id vpc-xxxx \
  --cidr-block 10.0.1.0/24 --availability-zone ap-northeast-1a

# S3用ゲートウェイエンドポイント(NAT不要・無料でS3に到達)
aws ec2 create-vpc-endpoint --vpc-id vpc-xxxx \
  --service-name com.amazonaws.ap-northeast-1.s3 \
  --route-table-ids rtb-xxxx

AWS Service

Amazon VPCを実務で読む

TL;DRは入口です。実際に選ぶ・使う段階では、何を解決するか、何と比較するか、導入後にどこで詰まるかまで見る必要があります。

解決すること

ネットワーキング

比較で見る軸

クラウド: AWS / カテゴリ: ネットワーキング / 難易度: intermediate

導入後に効く点

ルートテーブルにIGW経路があればパブリック、なければプライベート。

先に潰すリスク

サービス単体ではなく、権限、ネットワーク、監視、課金、バックアップを含めて設計する必要がある。

数字・仕様の読み方
クラウド
AWS
カテゴリ
ネットワーキング
難易度
intermediate
関連資格
SAA-C03 / SOA-C02 / SAP-C02 / ANS-C01
設計柱
security / reliability / performance

判断チェックリスト

  • 自社の用途が「ネットワーキング / security」に近いか確認する。
  • 強みである「AWS上に作る自分専用の仮想ネットワーク。IP範囲やサブネットを設計する。」が本当に評価軸になるか確認する。
  • 注意点の「サービス単体ではなく、権限、ネットワーク、監視、課金、バックアップを含めて設計する必要がある。」を運用で吸収できるか確認する。
  • 公開値や仕様値は、対象プラン・対象機種・対象リージョンまで確認する。
  • 既存システム、ID、ネットワーク、監視、バックアップとの接続方法を先に洗い出す。
  • 小さく試してから、本番移行、権限設計、障害時手順、コスト監視を決める。

次に確認する観点

ネットワーキングsecurityreliabilityperformanceSAA-C03
参考: 公式ドキュメント

他クラウドの同等サービス

役割が近いサービスです。設計の置き換えや比較検討の参考に。

Azure
Azure Virtual Network
解説を読む →
Google Cloud
Virtual Private Cloud (VPC)
解説を読む →
OCI
Virtual Cloud Network (VCN)
解説を読む →