ネットワーク
🎯 学習目標
-
ネットワークの基本概念の理解
-
パブリックとプライベートネットワークリソースの違い
-
仮想プライベートゲートウェイの役割と仕組み
-
VPN とその実際の使用シナリオ
-
AWS Direct Connect の利点
-
ハイブリッドデプロイのメリット
-
IT戦略におけるセキュリティの多層防御
-
お客様が AWS にアクセスするサービスの理解
AWS への接�続
🔹 Amazon VPC(仮想プライベートクラウド)
-
AWS 上に論理的に分離されたネットワーク空間を作る
-
パブリック/プライベートのリソースをサブネットで分けて管理
-
IPアドレス範囲・ルーティング・セキュリティルールを自由に設定
🟦 コーヒーショップの例
- レジ係=パブリックサブネット
- バリスタ=プライベートサブネット
- お客様はインターネットゲートウェイ(IGW)を通じて店に入る
🔹 インターネットゲートウェイ(IGW)
-
VPCとインターネットを接続する“玄関ドア”
-
パブリックリソースに必要(例:Webサーバー)
🔹 仮想プライベートゲートウェイ(VGW)
-
オンプレミス ⇔ AWS間のVPN通信を可能にする
-
セキュリティ重視のプライベート接続
-
暗号化されたトンネルを通って通信
🟧 例え:守られた秘密の通路(=VPN)
- 他の利用者も通るが、自分専用のボディーガード付き
VPN(仮想プライベートネットワーク)は接続の仕組みの名前で、VGW(仮想プライベートゲートウェイ)はその中の部品です。
☕ 例え話で説明(コーヒーショップ)
- あなたの会社(家)とAWSのVPC(コーヒーショップ)を秘密の通路(VPN)でつなぎたい。
- この秘密の通路を作るには、両側にドアが必要です。
| 場所 | ドアの名前 | 役割 |
|---|---|---|
| AWS側(VPC) | VGW(仮想プライベートゲートウェイ) | AWSの入り口になる |
| 自分の会社 | CGW(カスタマーゲートウェイ) | 自社ネットワークの出口になる |
| 通路そのもの | VPN接続 | この2つのドアをつなぐ、暗号化された秘密の通路 |
💡つまり
-
VPNは「どうやってつなぐか」の方法。
-
VGWは「AWS 側の接続口」。
-
VPN を使うときは VGW が必要。
🔹 AWS Direct Connect(専用線接続)
-
データセンターと AWS を物理的に接続
-
VPNと違い、公道(インターネット)を通らず、遅延や混雑が少ない
-
規制対応や安定した帯域を求める企業に最適
🟨 例え:自宅と店をつなぐ“秘密の直通通路”
🛠 ハイブリッドデプロイとは?
-
オンプレミス環境とクラウドを統合した構成
-
柔軟性・拡張性・コスト効率を向上
🛡 IT セキュリティの多層防御(Defense in Depth)
- VPC セキュリティグループ・NACL(ネットワークACL)・IAM・暗号化などを重ねて防御
🌐 AWS 接続方法の比較
| 項目 | インターネットゲートウェイ (IGW) | VPN(仮想プライベートゲートウェイ + VPN) | AWS Direct Connect |
|---|---|---|---|
| 接続の種類 | パブリックインターネット経由 | パブリックインターネット + 暗号化トンネル | 専用物理線(プライベート接続) |
| 使用例 | Webサイト、APIサーバー等の公開リソース | 社内システムやバックエンドDBへのセキュアなアクセス | 高セキュリティ・低遅延が求められる業務システム |
| セキュリティ | 低~中(ファイアウォールなどで強化可能) | 中(IPsecで暗号化) | 高(物理的に分離された専用線) |
| レイテンシー(遅延) | やや高い(ベストエフォート) | やや高い(インターネット混雑の影響あり) | 低(専用線なので安定) |
| 可用性 | 高(インターネット接続があれば利用可能) | 中(インターネット依存) | 高(冗長構成も可能) |
| 帯域幅 | 変動あり | 変動あり | 安定・広帯域 |
| コスト | 低(無料) | 中(VPNの維持費など) | 高(専用線設置・運用コストあり) |
| 設定の複雑さ | 低(IGWをアタッチすればよい) | 中(VPN接続の設定が必要) | 高(パートナーや回線業者との連携が必要) |
| 主な利用者 | 一般ユーザーや外部アプリケーション | 中小企業・リモートアクセス用途 | 金融・大企業・高信頼性用途 |
🔍 要点まとめ
-
IGW:手軽にインターネットへ公開するのに最適。
-
VPN:コストを抑えつつセキュリティも確保したい場合に。
-
Direct Connect:安定性・低遅延・セキュリティ重視の大規模用途に最適。
✅ サブネットとネットワークアクセスコントロールリスト
🧩 用語の対応関係(イメージ)
| 要素 | 役割 | たとえ(コーヒーショップ) |
|---|---|---|
| サブネット | VPC内の部屋・ゾーン分け | レジ係とバリスタのエリアを分ける |
| ネットワークACL | サブネットの出入りを管理するファイアウォール | 空港の出入国審査官(誰が出入りできるか) |
| セキュリティグループ | EC2 イ�ンスタンスの出入り口を管理 | ビルのガードマン(誰が部屋に入れるか) |
🧱 1. サブネット(Subnet)とは?
![[Pasted image 20250622175831.png]]
💡かんたんに言うと:
VPC(仮想ネットワーク)の中を小さく分けたエリアのことです。
🏠 例えるなら:
-
VPCは「マンション」。
-
サブネットはその中の「部屋」。
-
例えば、101号室(パブリック用)
-
そして102号室(プライベート用)
-
✅ 役割:
-
リソースの分類(Webサーバー用 / データベース用など)
-
インターネットとの接続可否を分ける(公開するか、しないか)
-
セキュリティを細かく分けて管理するために使う
🚧 2. ネットワークACL(NACL)とは?
💡かんたんに言うと:
サブネットの入り口と出口でパケットをチェックする門番のようなもの。
🛃 例えるなら:
-
空港の出入国審査官。
-
入るときも、出るときも、パスポートを確認します。
✅ 特徴:
| 特徴 | 内容 |
|---|---|
| どこで使う? | サブネットの入口・出口(全体) |
| 動作 | ステートレス(記憶しない):入るときと出るとき、両方ルールが必要 |
| デフォルト設定 | すべて許可(デフォルトACL)またはすべて拒否(カスタム) |
| 制御内容 | IPアドレス、ポート番号、プロトコル(TCP/UDP)など |
🚫 ステートレスとは?
-
「この人はさっき入ったから出てもOK」とはなりません。
-
毎回「これは許可されているか?」とチェックされる。
🛡 3. セキュリティグループ(Security Group)とは?
💡かんたんに言うと:
EC2インスタンス(仮想サーバー)に付けるファイアウォール。
🧍 例えるなら:
-
ビルの入り口にいるドアマン。
-
来客が来たら、「この人は入っていい人か?」をチェック。
#3## ✅ 特徴:
| 特徴 | 内容 |
|---|---|
| どこで使う? | EC2インスタンスごと(個別のサーバー) |
| 動作 | ステートフル(記憶する):返事のパケットは自動で通す |
| デフォルト設定 | インバウンド:すべて拒否、アウトバウンド:すべて許可 |
| 制御内容 | IPアドレス、ポート番号、プロトコル(TCP/UDP)など |
🔁 ステートフルとは?
-
「この人に返事を返すんだから、通してOK」と自動判断。
-
一度許可すれば、戻りの通信は自動で許可される。
🧠 機能の違いまとめ
| 比較項目 | サブネット | ネットワーク ACL | セキュリティグループ |
|---|---|---|---|
| 対象 | VPC 内のリソースをグループ化 | サブネットへのトラフィック制御 | EC2インスタンスへのトラフィック制御 |
| セキュリティ対象 | トラフィック全体 | サブネット出入り口 | EC2へのアクセス |
| 設定場所 | VPC 内のロジカルな分割 | サブネットごとに適用 | インスタンスごとに適用 |
| 主な目的 | パブリック / プライベートの区別 | サブネット境界でパケットを許可/拒否 | インスタンスへのアクセス制御 |
| 状態記憶(ステート) | ― | ステートレス(記憶しない) | ステートフル(記憶する) |
| デフォルト動作 | ― | すべて許可(デフォルトACL) / すべて拒否(カスタム) | インバウンド拒否・アウトバウンド許可 |
| 制御できる方向 | ― | 双方向(出入り両方) | 主にインバウンド(返答は自動許可) |
| 優先順位 | ― | 番号順(小さい番号優先) | 全ルールを確認(順序なし) |
🎓 補足ポイント
-
ACL(ステートレス) → 毎回チェック。応答パケットも許可しなければ拒否される。
-
セキュリティグループ(ステートフル) → 一度通信を許可すれば、応答は自動的に許可される。
-
両方使うのがベストプラクティス!
🌐 グローバルネットワーク
「お客様」がAWSリソースにアクセスする流れ
① DNS(ドメインネームシステム)とは?
わかりやすく言うと:「名前→住所」に変換する翻訳サービス
🧠 例:
- お客様が「anycompany.com」とブラウザに入力
- DNS(たとえば Route 53)が「この名前の住所(IPアドレス)は 192.0.2.0 です」と返す
- これでコンピューターがどこに接続すればいいか分かる
② Amazon Route 53 とは?
AWS の DNS サービス。信頼性が高くて速い。
🛠 主な役割:
-
ドメイン名とIPアドレスの対応を管理
-
お客様の場所によって最適なサーバーに振り分け(ルーティングポリシー)
-
独自ドメインの取得や管理もできる
📦 主なルーティング方法:
| 種類 | 説明 |
|---|---|
| レイテンシーベース | 一番速く応答できるリージョンに接続 |
| 位置情報ベース | 地理的に近い場所に接続(例:日本のユーザー→東京) |
| 加重ラウンドロビン | 指定した割合で振り分け(例:80%東京、20%大阪) |
③ CloudFront(CDN)とは?
AWSのコンテンツ配信ネットワーク(CDN)サービス
🍰 たとえば:
-
Webサイトの画像・動画・CSS・JSなどの「静的ファイル」をユーザーの近くに置いておく
-
近い場所(エッジロケーション)から配信することで速く表示できる!
📍 エッジロケーションとは?
→ 世界中にあるCloudFrontの配信拠点。ユーザーに最も近いサーバー。
🔁 まとめ
| サービス | 主な役割 | 例えると |
|---|---|---|
| Route 53 | 名前 → 住所変換、ルーティング | ナビゲーション案内人 |
| CloudFront | コンテンツを近くから速く届ける | 倉庫から近所に出張販売 |
| EC2 + ALB | 実際にアプリケーションを動かすサーバー群 | 工場で注文を処理する人たち |
-
Route 53 → 接続先を教える人
-
CloudFront → 速く届けるために近くに待機してる人
-
EC2 → 実際に動くWebアプリやAPIの中身
-
ALB(ロードバランサー)→ 負荷を分散してくれる交通整理役
🎯 まとめ
ネットワークはかつて専門家の領域でしたが、今では「誰がどこにアクセスできるか」を設定するだけで、AWS上の安全で効率的なインフラが作れます。
学んだこと
| 分野 | 内容 |
|---|---|
| VPC(Virtual Private Cloud) | AWS上の独立した仮想ネットワーク空間。リソースを分離・構成する基本単位。 |
| 接続方法 | - パブリック通信:インターネットゲートウェイ(IGW)- プライベート通信:VPN(+ VGW)、AWS Direct Connect |
| セキュリティ制御 | - ネットワークACL(NACL):サブネット単位のステートレス制御- セキュリティグループ(SG):インスタンス単位のステートフル制御 |
| コンテンツ配信 | - Route 53:ドメイン名をIPアドレスに変換(DNS)し、最適な経路にルーティング- CloudFront:お客様の近くのエッジロケーションから静的ファイルを高速配信(CDN) |
🌐 キーワード
| キーワード | 概要 | たとえ |
|---|---|---|
| VPC | 仮想的に分離されたAWS内のネットワーク | 自分だけの「部屋付きインターネット」 |
| サブネット | VPC内の小部屋。パブリック/プライベートを分ける | レジ係の部屋/バリスタの部屋 |
| NACL | サブネットの入口・出口を守る審査官 | 空港の出入国審査 |
| セキュリティグループ | インスタンスへのアクセス制御(記憶あり) | ビルのガードマン |
| VPN | インターネット上の暗号化トンネル | 秘密の地下通路 |
| Direct Connect | 専用線によるAWS接続 | お店への直通ドア |
| Route 53 | DNS(名前→IP)の変換とルーティング | ナビ付き電話帳 |
| CloudFront | 近くの拠��点から静的ファイルを高速配信 | 出張倉庫 |