[クラウド分解辞典−Amazon Web Services編]

2015年5月27日(水)佐々木 大輔（クラスメソッド）

　クラウドコンピューティングを利用する際に、最初にイメージするのは、サーバーやストレージかもしれない。だが、ネットワーク経由で利用するクラウドサービスにおいては、クラウドに接続するためのネットワークが不可欠だ。種々のクラウドサービスを利用していくにしても、まずはAWS（Amazon Web Services）のネットワーク環境を理解することが、後々の理解を助けてくれるはずである。

　以下で紹介する「Amazon VPC（Virtual Private Cloud）」と「AWS Direct Connect」を活用すれば、インターネットサービスのためのパブリックなネットワークや、オンプレミス環境とシームレスに接続するプライベートネットワークが自由に設計・構築できる。特に、Amazon VPCはAWSでシステムを構成する際には、ほぼ必須のサービスである。

Amazon VPCでAWS上に専用スペースを作る

　Amazon VPCは、AWS上に利用者が占有可能な仮想プライベートネットワークを構築するためのサービスだ。このVPCの内部にIPサブネットを作成し、その中に、仮想サーバーの「EC2」やデータベースサーバーの「RDS」といったAWSのリソースを配置する。AWSというパブリッククラウド上に、他のネットワークからは完全に分離された、自分だけのスペースを作るようなイメージだ。

　Amazon VPCは、VPN（Virtual Private Network：仮想私設網）としてオンプレミス環境とのみ接続し、インターネットから切り離された社内ネットワークの延長として使えるし、インターネットに公開するサービスのためのネットワークとして使える。

　Amazon VPCの特徴としては大きく、（1）ネットワーク設計の自由度が高い、（2）様々な外部通信ができる、（3）セキュリティ機能を有している、の３つが挙げられる。

特徴1：ネットワーク設計の自由度が高い

　特徴の1つが、ネットワーク設計における自由度の高さだ。VPCは1つのプライベートIPアドレスの範囲を持ち、インターネットや他のVPCとは完全に独立したネットワークとなる。このIPアドレスの範囲は任意に指定できる。制約としては、サブネットマスク長を16ビット以上にしなくてはならないことだけである。サブネットマスク長が16ビットあれば、6万5534個のホストアドレスを持てることになる。

　VPCの中は、IPサブネットによってネットワークを分割する。このIPサブネットも自由に作成できる。1つのVPCでは、最大200のIPサブネットを作成でき、VPCに定義したプライベートIPアドレスの範囲で自由に分割できる。VPCの中を1つのIPサブネットで構成したり、システム単位で細かなIPサブネットに分割したりなど、システム管理者のポリシーに合わせて設計できる。

　それぞれのIPサブネットには、個別にルートテーブルを割り当てられる。インターネットとの通信が必要なシステムを配置するパブリックなサブネットと、センシティブな情報を保持するデータベースなどインターネットと通信させたくないシステムを配置するプライベートなサブネットを、ネットワークレイヤーで分割することで、アクセスレベルを階層化して制御する（図1）。

　ネットワーク設計の自由度の高さは、VPCと外部のネットワークを相互接続する際に重要なポイントとなる。VPCと既存の社内ネットワークのIPアドレスの範囲が重複していては、VPNで相互に通信できないからだ。もしVPCのプライベートIPアドレス範囲が固定的で自由に選択できなければ、既存の社内ネットワークとIPアドレス範囲が重複しても回避方法はない。Amazon VPCでは、そのような事態は設定により回避できるだろう。

特徴2：様々な外部通信ができる

　VPCはインターネットなど他のネットワークとは完全に隔離されている。だが、ネットワークゲートウェイをVPCに設定することで、外部ネットワークとの通信が可能になる。ネットワークゲートウェイには、インターネットゲートウェイ、仮想プライベートゲートウェイ、VPCピア接続の3種類がある。

■インターネットゲートウェイ

　インターネットゲートウェイは、インターネットと通信するためのネットワークゲートウェイである。VPCにインターネットゲートウェイを設定し、ルートテーブルでインターネット向け通信がインターネットゲートウェイを経由するように設定すれば、インターネットとの通信が可能になる。

　インターネットとの通信では、ルーティングテーブル以外に、EC2などの通信元のAWSリソースがパブリックIPアドレスを持っている必要がある。VPCの内部はプライベートIPアドレスで構成されており、プライベートIPアドレスではインターネットと直接通信できないからだ。VPCにおけるパブリックIPアドレスは、動的に割り当てられるものと、固定的に割り当てられるものがある。後者を「Elastic IPアドレス」と呼ぶ。

　インターネットゲートウェイは、定義としては1つの機器のように扱われるが、内部的には冗長的に構成されている。AWSのアベイラビリティゾーンの障害やハードウェア故障が発生した場合も、可用性が失われることはない。インターネットゲートウェイを介する通信が増加した場合には自動的にスケーリングするため、帯域幅の制約もない。

　このインターネットゲートウェイを設定しないと、VPCはインターネットと一切通信ができない。システムの保守作業で最新のミドルウェアやセキュリティパッチなどを入手する際にも、直接インターネットから入手できなくなる。インターネットと切り離されたVPCを設計する時には、別の手段を考慮しておくと良いだろう。

■仮想プライベートゲートウェイ

　仮想プライベートゲートウェイは、VPCとオンプレミス環境をVPN通信で接続するためのネットワークゲートウェイである。VPN通信は暗号化されており盗聴が困難であることから、社内からのメンテナンス通信や機密性の高いデータの送受信、あるいは完全にインターネットと切り離された社内システムの一部として社内と同等の通信を行うために使われる。

　仮想プライベートゲートウェイと通信するためのオンプレミス環境には、VPN通信が行えるルーターと、固定的なパブリックIPアドレスが必要だ。仮想プライベートゲートウェイは、不正な利用を防ぐために、許可したパブリックIPアドレスからのみVPN接続を許可するため、固定的なパブリックIPアドレスは不可欠である。

　オンプレミス側に配置されるルーターの設定は、そのメーカーと機種を指定すれば、AWS管理コンソールから設定情報をダウンロードできる。設定は容易である。

　仮想プライベートゲートウェイも、インターネットゲートウェイと同様に冗長化されている。内部的に2つのアベイラビリティゾーンに分散されており、オンプレミス側ルーターは、2つの仮想プライベートゲートウェイそれぞれとVPN通信するように構成する（図2）。AWSのアベイラビリティゾーン障害や仮想プライベートゲートウェイのハードウェア故障が発生しても、VPN通信が完全に切断されることなく、通信経路が維持される。

■VPCピア接続

　インターネットやオンプレミスではなく、VPC同士を接続するのがVPCピア接続である。それぞれが独立した仮想プライベートネットワークである2つのVPCを接続し、1つのネットワークであるかのようにプライベートIPアドレスで相互に通信できるようにする。自分が所有しているVPCだけでなく、同じリージョン内であれば他のAWSアカウントのVPCとも接続できる。

　VPCピア接続も、インターネットゲートウェイ同様に冗長化されている。単一障害による通信断は発生せず、スケーリング可能な構成なため帯域幅の制限で通信のボトルネックになることもない。

　VPCピア接続はVPC同士の通信が目的だ。そのため、対向接続されたVPCの奥にあるネットワークとは通信ができないという仕様がある。例えば、対向VPCを経由してインターネットには接続できない。

　VPCピア接続の用途には、複数システムでのデータ共有や、監視システムの統合などがある。別個のVPCに構築された複数のシステムで参照されるデータをそれぞれに複製して持たせると、保存するデータ量も運用・保守すべきシステムも増えてしまう。しかし、複数のシステムから参照可できるVPCにデータを配置すれば、データを複製することなく、運用保守すべきシステムは1つだけになる。

　また、監視システムをVPCごとに構築すると大きな手間がかかる。監視専用のVPCを構築し複数のVPCとVPCピア接続させれば、監視システムを集約できる。