🔰 初心者向け:VPCの外部通信・外部接続
🔰 初心者向け:VPCの外部通信・外部接続
VPCでは、複数のVPC間やオンプレミス環境との接続、インターネットとの通信など、さまざまな外部通信が可能です。AWSでは用途に応じて以下のようなネットワークゲートウェイや接続方式をVPCに設置します。
主な外部接続の種類
インターネットゲートウェイ(Internet Gateway)
VPCとインターネット間の通信を可能にするネットワークゲートウェイです。パブリックサブネットに配置したEC2などのリソースがインターネットと直接通信できるようになります。通信にはパブリックIPまたはElastic IPの割り当てがEC2などのリソースに必要です。AWSが自動でスケーリングし、通信量が増えても対応できます。
出典: Amazon VPC とは?
NATゲートウェイ(NAT Gateway)
NAT(Network Address Translation)ゲートウェイは、プライベートサブネット内のリソースがインターネットへアクセスする際に利用する中継ゲートウェイです。外部からの通信は受け付けず、内部からのみインターネットへアクセス可能。セキュリティを保ちつつ、OSやパッケージのアップデートなどで外部通信が必要な場合に使います。
仮想プライベートゲートウェイ(Virtual private gateway・VGW)
オンプレミス環境とVPCをVPN(仮想プライベートネットワーク)で接続するためのゲートウェイです。AWS側に設置し、カスタマーゲートウェイと対になる存在です。IPsec VPNやDirect Connectと組み合わせて利用できます。
カスタマーゲートウェイ(Customer Gateway)
オンプレミス側に設置するルーターや仮想アプライアンスなどの機器です。VPN Gatewayとペアで設定し、オンプレミスとAWS間のVPN接続を確立します。BGP(Border Gateway Protocol)などのルーティングプロトコルを利用することも可能です。
VPCピアリング接続(VPC Peering)
独立した2つのVPC間をプライベートIPで直接接続する仕組みです。インターネットを経由せず、リージョン内の別アカウント間でも通信可能。VPC間でリソースを安全に共有したい場合に利用します。ただし、ピアリングはVPC間の通信範囲に制限があり、接続先のVPCが別に接続しているネットワークへのトランジット通信(中継)はできません。
VPCエンドポイント(VPC Endpoint)
VPC内からAWSマネージドサービス(S3やDynamoDBなど)へインターネットを経由せずにアクセスできる仕組みで、ゲートウェイ型 と インターフェース型 の2種類あります。
AWSマネージドサービスには、VPC・サブネット内で構築されるリソースとVPC外のAWSネットワーク内で提供されるリソースがあります。
このVPC外のリソースにインターネットを経由せずにAWSネットワーク内にてアクセスを行いたい場合にVPCエンドポイントを利用します。
VPCエンドポイントの種類
| 種類 | 概要 |
|---|---|
| ゲートウェイ型 | ルートテーブル設定が必要。S3やDynamoDB向け。 |
| インターフェース型 | PrivateLinkを利用。多くのサービスで利用可能。セキュリティグループで制御。 |
トランジットゲートウェイ(Transit Gateway)
複数のVPCやオンプレミス環境を一元的に接続・管理できるハブ型サービスです。大規模なネットワーク構成やマルチアカウント環境で特に有効。VPCピアリングやVPN接続の複雑な設定を簡素化し、効率的なネットワーク管理が可能です。