AWS VPCとは?ネットワーク設計の基礎をインフラエンジニア向けにわかりやすく解説
現場実践|AWS VPC入門
AWS VPCとは?
インフラエンジニア向けネットワーク設計基礎
「AWSのVPCって何?」「オンプレのネットワークとどう違うの?」——インフラエンジニアがAWSを学ぶ際に最初につまずくVPCの仕組みをオンプレ知識と対比しながら解説します。
1. AWS VPCとは
まず、VPC(Virtual Private Cloud)はAWS上に作る「自分専用の仮想ネットワーク空間」です。つまり、オンプレミスの社内ネットワーク(LAN)をAWS上に再現したものとイメージしてください。VPC内にサブネットを作り、EC2・RDS・Lambdaなどを配置します。
2. 主要コンポーネント
VPC(CIDRブロック)
VPC全体のIPアドレス範囲を定義する。例:10.0.0.0/16。オンプレのネットワーク範囲に相当。
サブネット
VPCをさらに分割したセグメント。パブリックサブネット(インターネット接続可)とプライベートサブネット(内部のみ)に分けるのが基本。
ルートテーブル
サブネットのトラフィックをどこに向けるか定義する。インターネットゲートウェイへのルートがあるとパブリックサブネットになる。
インターネットゲートウェイ
VPCとインターネットを接続するゲートウェイ。オンプレのデフォルトゲートウェイに相当。
3. セキュリティグループ vs NACL
| 比較項目 | セキュリティグループ(SG) | NACL |
|---|---|---|
| 適用レベル | インスタンス(EC2等)単位 | サブネット単位 |
| ステートフル/レス | ステートフル(戻りの通信を自動許可) | ステートレス(送受信を個別に設定) |
| デフォルト | 全ての受信を拒否・全ての送信を許可 | 全ての送受信を許可 |
| 主な用途 | EC2単位の細かいアクセス制御 | サブネット全体への粗いアクセス制御 |
4. 基本的なVPC設計パターン
また、Webサービスの典型的なVPC設計は以下の3層構成です。
1
パブリックサブネット(インターネット公開層)
ALB(ロードバランサー)・BastionHostを配置。インターネットゲートウェイ経由で外部からアクセス可能。
2
プライベートサブネット(アプリケーション層)
EC2(Webアプリサーバー)を配置。インターネットから直接アクセスできない。ALBからの通信のみ受け入れる。
3
プライベートサブネット(データ層)
RDS(DBサーバー)を配置。アプリ層からの通信のみ受け入れる最も保護されたゾーン。
5. オンプレとAWS VPCの対応関係
| オンプレミス | AWS VPC |
|---|---|
| 社内LAN(IPアドレス範囲) | VPC(CIDRブロック) |
| セグメント(VLAN) | サブネット |
| ルーター | ルートテーブル |
| ファイアウォール(インスタンス単位) | セキュリティグループ |
| ACL(サブネット単位) | NACL |
| デフォルトゲートウェイ(インターネット用) | インターネットゲートウェイ |
📌 この記事のポイント
- AWS VPCはオンプレのルーター・スイッチ・FWをソフトウェアで再現した仮想ネットワーク
- VPC→サブネット→ルートテーブル→IGWの階層を理解することが設計の基本
- SGはステートフル(インスタンス単位)、NACLはステートレス(サブネット単位)
- Web3層設計(パブリック/アプリ/DB)がVPCネットワーク設計の基本パターン
キャリアの疑問、一緒に解決しませんか?
Route Bloomでは、インフラ系ITエンジニアを目指す方・キャリアアップを考える方への個別サポートを行っています。2026年7月からフリーランス講師として本格始動予定です。
ABOUT ME
