AWS認定資格 WEB問題集&徹底解説

ソリューションアーキテクト-プロフェッショナル

Amazon VPC の概要と試験出題ポイントは?

AWSサービスの一つであるAmazon VPCはどんな内容なのでしょうか?また、AWS認定資格のソリューションアーキテクト-プロフェッショナル(SAP)に合格するためには、サービスのどんなポイントを押さえておけばよいのでしょうか?
ここでは、そんなあなたの疑問に回答していきたいと思います

Amazon VPC 徹底解説 | AWS認定試験の頻出ポイントまとめ

1. サービス概要

Amazon VPC (Virtual Private Cloud)は、AWS上に論理的に分離された仮想ネットワーク空間を作成するサービスです。IPアドレス範囲(CIDR)、サブネット、ルーティング、ゲートウェイなどを自由に定義し、オンプレミス同様の細かいネットワーク制御を実現できます。

VPCはリージョン単位のリソースで、複数のアベイラビリティゾーン(AZ)にまたがってサブネットを配置できます(サブネットは1つのAZに属する)。アカウントには初期からデフォルトVPCが用意されています。

主なユースケースは、Web層とDB層をサブネットで分離した多層防御設計、オンプレミスとのハイブリッド接続(VPN/Direct Connect)、VPC PeeringやTransit Gatewayによる複数VPC間通信などです。

2. 主な特徴と機能

2.1 CIDRとアドレス設計

VPC作成時にIPv4のCIDRブロック(例: 10.0.0.0/16、/16〜/28)を指定します。必要に応じてセカンダナCIDRを追加でき、IPv6も併用可能です。オンプレミスや他VPCとのIP重複を避けて設計します。 各サブネットでは先頭4つと末尀1つの合計5つのIPが予約済み(ネットワークアドレス、VPCルーター、DNS、予約、ブロードキャスト)で利用できません。

2.2 サブネット(Public/Private)

サブネットの公開/非公開はルートテーブルで決まります。デフォルトルート(0.0.0.0/0)がインターネットゲートウェイ(IGW)を向いていればPublic、なければPrivateです。サブネットは1つのAZに鎖され、複数AZに配置して可用性を高めます。

2.3 ルーティングとゲートウェイ

インターネットゲートウェイ(IGW)をアタッチするとPublicサブネットから双方向のインターネット通信が可能になります。 NATゲートウェイはPrivateサブネットからのアウトバウンド通信のみを可能にし(外部からの受動接続は不可)、高可用・マネージドです。IPv6のアウトバウンド専用にはEgress-Onlyインターネットゲートウェイを使います。 オンプレミス接続には仮想プライベートゲートウェイ(VGW)やTransit Gatewayを用います。

2.4 セキュリティグループとネットワークACL

セキュリティグループはインスタンス(ENI)単位のステートフルな仮想ファイアウォールで、許可ルールのみを扱います。 ネットワークACLはサブネット単位のステートレスフィルタで、許可・拒否を番号順に評価します。両者の組み合わせで多層防御を実現します。

2.5 VPCエンドポイントと接続オプション

VPCエンドポイントでインターネットを経由せずにAWSサービスへプライベート接続できます(Gateway型:S3・DynamoDB、無料Interface型:PrivateLink、その他多くのサービス、時間・データ課金)。 VPC間はVPC Peering(トランジット不可)やTransit Gateway(多拠点を集約、トランジット可)で接続します。

3. アーキテクチャおよび技術要素

  1. VPC作成時にCIDRブロックを指定(例: 10.0.0.0/16)
  2. 複数AZに跨ってサブネットを作成(PublicサブネットとPrivateサブネットを分離)
  3. IGWをVPCにアタッチし、ルートテーブルでインターネット経路を設定(Publicサブネット)
  4. NATゲートウェイを配置し、Privateサブネットのアウトバウンド通信をサポート
  5. セキュリティグループ/ネットワークACLで通信制御
  6. 必要に応じてVPC PeeringやVPN/Direct Connectで外部ネットワークと接続

このように、論理的なネットワークセグメントを自由に設計することで、オンプレ同様のセキュアかつ拡張性の高いネットワークをAWS上で構築できます。

4. セキュリティと認証・認可

VPCのセキュリティを確保するための主なポイントは次のとおりです:

  • ネットワーク分割: Public/Privateサブネットを適切に分離し、公開が必要なリソースのみパブリック側に配置。
  • セキュリティグループ: ステートフル・インスタンス単位・許可のみ。参照先に他のセキュリティグループIDを指定して階層間通信を制御できる。
  • ネットワークACL: ステートレス・サブネット単位・許可/拒否を番号順評価。特定IPの明示的なブロックに有効。
  • VPCエンドポイント: S3やDynamoDB等へインターネット経由せず接続。エンドポイントポリシーでアクセスを絞り込める。
  • VPC Flow Logs: ENI/サブネット/VPC単位でトラフィックメタデータを記録し、CloudWatch LogsやS3で分析(許可/拒否を含む)。
  • 上位レイヤー防御: 広域フィルタにAWS Network Firewall、複数アカウントの一括管理にFirewall Managerを併用。

5. 料金形態

VPCそのものやサブネット、ルートテーブル、セキュリティグループ、IGWの作成に追加料金はありません。次の要素でコストが発生します:

  • NATゲートウェイ: 時間課金+処理データ量課金。不要なNAT経由トラフィックはコスト要因になるため、S3/DynamoDBはGatewayエンドポイント(無料)で回避。
  • パブリックIPv4アドレス: 2024年2月以降、割り当て済みのパブリックIPv4は(使用中でも)時間課金。
  • Interfaceエンドポイント(PrivateLink): AZごとの時間課金+データ処理量課金。Gateway型は無料。
  • VPN/Transit Gateway: Site-to-Site VPNはトンネル時間課金、Transit Gatewayはアタッチ+データ転送量課金。
  • VPC Flow Logs: CloudWatch LogsやS3へのログ保存コスト。

6. よくあるアーキテクチャ・設計パターン

VPCは基盤となるサービスのため、さまざまなパターンがありますが、代表例として:

  • Public/Privateサブネット分割: WebサーバをPublicサブネット、DBサーバをPrivateサブネットに配置する基本構成
  • VPC Peering: 複数VPC間を直接接続し、アプリケーション間通信を安全に行う
  • Transit Gateway: 大規模環境で多VPC・オンプレミスネットワークを一括接続してガバナンスを効率化
  • セキュアなS3アクセス: S3 VPCエンドポイントでデータ転送をプライベートに行う
  • Site-to-Site VPNやDirect Connect: オンプレミスとのハイブリッドクラウド実装

7. 設定・デプロイ手順(ハンズオン例)

  1. AWSコンソールで「VPC」を検索し、「VPCの作成」をクリック
  2. CIDRブロック(例: 10.0.0.0/16)を指定し、VPC名を入力して作成
  3. 「サブネットの作成」で複数のAZに対し、Public/Privateサブネットを設定
  4. 「インターネットゲートウェイ」を作成し、VPCへアタッチ。Publicサブネットのルートテーブルに0.0.0.0/0 → IGWルートを追加
  5. PrivateサブネットでNATゲートウェイ利用なら、NATゲートウェイを作成し、Privateサブネットルートテーブルに0.0.0.0/0 → NATルートを設定
  6. セキュリティグループやネットワークACLを調整し、EC2インスタンスを起動して動作確認

8. 試験で問われやすいポイント

8.1 PublicサブネットとPrivateサブネットの違い

  • Publicサブネット: IGWへルートがあるサブネットで、インターネットからアクセス可能
  • Privateサブネット: IGWへルートがなく、NATゲートウェイやVPN等を経由しないと外部通信できない

8.2 NATゲートウェイとNATインスタンス

  • NATゲートウェイ: 高可用性かつスケーラブルなAWSマネージドNAT
  • NATインスタンス: 自己管理が必要で、スケーリングも手動。NATゲートウェイへの移行が推奨される

8.3 セキュリティグループ vs. ネットワークACL

  • セキュリティグループ: インスタンス単位、ステートフル
  • ネットワークACL: サブネット単位、ステートレス
  • 使い分け: SGで主要制御し、さらにNACLで補強する二重防御

8.4 VPC PeeringとTransit Gateway

  • VPC Peering: 1対1の接続、トランジットできない
  • Transit Gateway: 多数のVPC/オンプレ接続を集中管理、トランジットが可能

8.5 VPCエンドポイント

  • ゲートウェイ型: S3やDynamoDBへのプライベートアクセスに使用。ルートテーブルにエントリが追加され、無料
  • インターフェイス型(PrivateLink): 多くのAWSサービスや自社/サードパーティサービスへENI経由で接続。時間・データ処理量課金。

8.6 その他の頻出ポイント

  • Q: Publicサブネットの要件は?
    A: ルートテーブルのデフォルトルート(0.0.0.0/0)がIGWを指し、インスタンスにパブリックIPがあること。
  • Q: PrivateサブネットのEC2からインターネットへ出るには?
    A: NATゲートウェイをPublicサブネットに置き、PrivateのルートをNATへ向ける(アウトバウンドのみ)。
  • Q: セキュリティグループで“ステートフル”とは?
    A: インバウンドを許可すると戻りのアウトバウンドが自動許可される仕組み(NACLはステートレスで戻りも明示許可が必要)。
  • Q: VPC同士を接続したいがトランジットも必要な場合は?
    A: Transit Gatewayで複数VPC・オンプレを一元管理(Peeringはトランジット不可・CIDR重複不可)。
  • Q: S3とインターネットに出さずプライベート通信したい。方法は?
    A: S3 Gatewayエンドポイント(無料)を作成し、ルートテーブルにエントリを追加。
  • Q: サブネットの利用可能IPが見積より少ない理由は?
    A: 各サブネットで5つのIPが予約されているため(例:/24は256ー5=251個)。
  • Q: 拒否されたトラフィックを調査するには?
    A: VPC Flow LogsでACCEPT/REJECTを含むメタデータをCloudWatch Logs/S3に出力して分析。
広告

お役立ち情報

姉妹サイト

アンケート

サイト情報