AWS ネットワーク設計のコツ
VPC, サブネットの適切な切り方から、Transit Gateway、Direct Connect、VPC エンドポイントの構成・設計ポイントを解説します。
関連ページ: ALB や CloudFront への WAF 設定については、AWS WAF の設定方法 を参照してください。
VPC & サブネット設計
- 将来の拡張を考慮した CIDR 設計: オンプレミスや他 VPC と将来ピアリングする可能性を見越し、`/16` 〜 `/22` などの重複しない十分な大きさのプライベートIP範囲をアサインします。
- 3層サブネットの分離:
- Public サブネット: ALB や NAT Gateway、Bastion など外部接続の起点となるリソースのみを配置。
- Private サブネット: ECSタスクや EC2 アプリケーションサーバーなど、パブリックIPを持たず NAT 経由で外部と通信するリソースを配置。
- Isolated/Data サブネット: RDS や ElastiCache など、インターネットへのルートも持たせないデータベース層リソースを配置。
- マルチ AZ (Availability Zone) 設計: 障害対策のため、VPC 内の主要なサブネットは最低 2 つ(できれば 3 つ)の異なる AZ に等しいサイズでペア(またはトリオ)配置します。
Transit Gateway (TGW)
- ハブ&スポーク構成による統合: VPC やオンプレミス拠点(VPN/Direct Connect)間の通信経路数が急増した際、TGW をハブとして集約することで、複雑なピアリング接続を整理できます。
- アタッチメントとルートテーブルの分離: TGW 自体のルートテーブルを「本番」「開発」「共通/オンプレ」のように分けることで、アタッチメント単位でのきめ細やかな通信拒否やドメイン分離が実現できます。
- アプライアンスモードの有効化: TGW 経由で FireWall などのセキュリティアプライアンス(VPC 内)にトラフィックを流す場合、双方向通信が同一の AZ にルーティングされるようにアプライアンスモードを有効化する必要があります。
Direct Connect (DX) とハイブリッド接続
- 専用線接続とルート優先順位: オンプレミスと AWS を低遅延で接続。BGP 経路広告を使用して優先ルート(ASパスプレペンドやローカルプリファレンス)を適切に設計します。
- 高可用性(冗長性)の確保:
- アクティブ / アクティブ: 2つの DX ロケーションから個別に異なる DX パートナー経由で接続。
- アクティブ / スタンバイ: メイン回線に DX、バックアップ回線としてコストを抑えた AWS Site-to-Site VPN を自動切り替えで使用。
- Transit VIF と Private VIF: TGW 経由で複数 VPC へ接続する場合は Transit VIF を使用し、特定の単一 VPC(または仮想プライベートゲートウェイ)へ直接接続する場合は Private VIF を使用します。
VPC エンドポイント
| 種類 | 対象サービス例 | 設計上のコツ・特徴 |
|---|---|---|
| ゲートウェイ型 (Gateway) | S3, DynamoDB |
• 無料で利用可能。 • ルートテーブルにターゲット(vpce-xxx)を追記してルーティング。 • VPC外への余分なNAT通信を防ぎ、最も優先して設定する。 |
| インターフェイス型 (Interface) | ECR, SSM, Secrets Manager, CloudWatch Logs など多数 |
• 有料 (時間課金 + 処理データ量課金)。 • サブネット内にENI(プライベートIP)を配置し、Private DNS で解決。 • セキュリティグループを使用して通信を制限する。 • 全AZに作ると高額になるため、必要なAZに限定する。 |
フィードバックを送る
このページの内容に誤りや改善点があればお知らせください