AWS VPC設計完全ガイド|サブネット・ルーティング・セキュリティグループの実践
現場実践|AWS VPC設計
AWS VPC設計完全ガイド|サブネット・ルーティング・セキュリティグループの実践
「VPCを本番環境向けにちゃんと設計したい」——AWSのVPC設計でCIDR割り当て・3層サブネット構成・セキュリティグループとNACLの使い分け・VPCフローログまで実践的に解説します。
💡 VPC設計はAWSインフラの土台となる最重要設計。最初に正しく設計しないと後から変更できないためやり直しコストが高い。CIDR設計・3層サブネット構成・セキュリティの境界設計を最初から正しく行うことが重要です。
1. CIDR設計の原則
- VPCは/16で設計する:/16(65,536アドレス)で設計することで将来的なサブネット追加・アドレス枯渇を防ぐ。後からCIDRは変更できない
- サブネットは/24か/22が標準:/24(254ホスト)〜/22(1,022ホスト)の範囲で要件に合わせて設計する
- マルチVPCを想定したCIDR設計:将来的なVPCピアリングやTransit Gatewayを考慮して、各VPCのCIDR範囲が重複しないように設計する
2. 3層サブネット構成の設計パターン
| 層 | サブネット種別 | 配置するもの | インターネットアクセス |
|---|---|---|---|
| Public | パブリックサブネット | ALB・踏み台EC2・NAT GW | IGW経由で直接アクセス可能 |
| App | プライベートサブネット | EC2(アプリ)・ECS・Lambda | NAT GW経由で外向きのみ |
| DB | プライベートサブネット(隔離) | RDS・ElastiCache | インターネットアクセス不可 |
3. セキュリティグループとNACLの使い分け
セキュリティグループ
リソース(EC2・RDS)レベルのファイアウォール。ステートフル(戻りの通信を自動許可)。最初にこちらで制御する。
NACL(ネットワークACL)
サブネットレベルのファイアウォール。ステートレス(インバウンドとアウトバウンドを個別に設定必要)。特定IPのサブネット全体へのアクセス禁止に使う。
4. VPCフローログの設定
VPCフローログはVPC内のすべてのIPトラフィック情報を記録するサービスです。セキュリティインシデント調査(不正なIPからのアクセス確認)・トラフィック分析・コスト最適化(どのEC2が大量のデータ転送をしているか)に活用できます。S3またはCloudWatch Logsに出力できます。
📌 この記事のポイント
- VPCはCIDR/16・マルチVPC時の重複なし・後から変更不可の制約を理解して最初から正しく設計する
- 3層(Public/App/DB)サブネット構成がAWS標準の設計パターン。DBサブネットはインターネット不可に設定
- セキュリティグループでリソースレベル制御・NACLでサブネットレベルの追加制御の2層防御が標準
よくある質問(FAQ)
Q. AWS VPC設計を学ぶ上で、前提知識は何が必要ですか?
基本的なネットワーク知識(IP・サブネット・ルーティングの概念)とLinuxコマンドの基礎があると学習が進めやすいです。CCNA・LinuC Level1程度の知識があれば十分です。クラウド自体はGUIで操作できるため、プログラミングの知識がなくても始められます。
Q. AWS VPC設計の資格取得にはどのくらいの費用がかかりますか?
AWS・Azure・GCPともに試験費用は15,000〜30,000円程度です。学習教材としてUdemyのオンライン講座(セール時2,000〜3,000円)と公式ドキュメント(無料)の組み合わせが費用対効果が高いです。ハンズオン練習のクラウド利用料は月2,000〜5,000円程度見ておくとよいでしょう。
Q. クラウド系のスキルは将来性がありますか?
クラウド関連スキルの将来性は非常に高いです。企業のクラウド移行は今後も続き、2026年現在でもAWS・Azure認定資格保有者の需要は旺盛です。フリーランス市場でもクラウドエンジニアの単価は月80〜120万円と高水準で、今から学ぶ価値は十分あります。
キャリアの疑問、一緒に解決しませんか?
Route Bloomでは、インフラ系ITエンジニアを目指す方への個別サポートを行っています。2026年7月からフリーランス講師として本格始動予定です。
ABOUT ME
