AWSネットワーク設計入門|VPC・サブネット・セキュリティグループの正しい設計
現場実践|AWSネットワーク設計
AWSネットワーク設計入門|VPC・サブネット・セキュリティグループの正しい設計
「AWSのVPC設計って何が正解なの?」——VPCのCIDR設計・パブリック/プライベートサブネット・セキュリティグループ・NACLの使い分けまで正しいAWSネットワーク設計を解説します。
💡 AWSのネットワーク設計の誤りは後から修正が難しい。VPCのCIDRブロック・サブネット分割・セキュリティグループのルールは最初から正しく設計することが重要です。
1. VPC設計の基本原則
- CIDRは大きめに取る:後からVPCのCIDRを拡張するのは困難。/16でVPCを作成し、サブネットを/24で切り分けるのが標準的な設計
- マルチAZ構成を前提にする:各AZにパブリックとプライベートのサブネットを用意する。最低2AZ・推奨は3AZ構成
- 環境ごとにVPCを分ける:dev・stg・prodは別VPCに分けることでセキュリティ境界が明確になる
2. サブネット設計のベストプラクティス
| サブネット種別 | 配置するリソース | CIDR例 |
|---|---|---|
| パブリック | ALB・NAT Gateway・踏み台EC2 | 10.0.0.0/24, 10.0.1.0/24 |
| プライベート(アプリ) | EC2・ECS・Lambda | 10.0.10.0/24, 10.0.11.0/24 |
| プライベート(DB) | RDS・ElastiCache | 10.0.20.0/24, 10.0.21.0/24 |
3. セキュリティグループとNACLの使い分け
セキュリティグループ
インスタンスレベルのファイアウォール。ステートフル(戻りトラフィックを自動許可)。許可ルールのみ設定可能。
NACL(ネットワークACL)
サブネットレベルのファイアウォール。ステートレス(戻りトラフィックも許可必要)。特定IPの完全ブロックに有効。
4. VPCエンドポイントの活用
また、プライベートサブネットのEC2からS3やDynamoDBにアクセスする際、NATゲートウェイ経由では通信コストが発生します。VPCエンドポイント(ゲートウェイ型)を使えばインターネットを経由せずにAWSサービスに直接アクセスでき、通信コストを削減できます。S3とDynamoDBのゲートウェイ型エンドポイントは無料です。
📌 この記事のポイント
- VPCのCIDRは後から変更困難。最初から/16で作成してサブネットを/24で切り分ける
- パブリック・プライベート(アプリ)・プライベート(DB)の3層構成が標準的な設計
- セキュリティグループはインスタンス単位・NACLはサブネット単位のファイアウォール
よくある質問(FAQ)
Q. AWSネットワーク設計を学ぶ上で、前提知識は何が必要ですか?
基本的なネットワーク知識(IP・サブネット・ルーティングの概念)とLinuxコマンドの基礎があると学習が進めやすいです。CCNA・LinuC Level1程度の知識があれば十分です。クラウド自体はGUIで操作できるため、プログラミングの知識がなくても始められます。
Q. AWSネットワーク設計の資格取得にはどのくらいの費用がかかりますか?
AWS・Azure・GCPともに試験費用は15,000〜30,000円程度です。学習教材としてUdemyのオンライン講座(セール時2,000〜3,000円)と公式ドキュメント(無料)の組み合わせが費用対効果が高いです。ハンズオン練習のためのクラウド利用料は月2,000〜5,000円程度見ておくとよいでしょう。
Q. クラウド系のスキルは将来性がありますか?
クラウド関連スキルの将来性は非常に高いです。企業のクラウド移行は今後も続き、2026年現在でもAWS・Azure認定資格保有者の需要は旺盛です。フリーランス市場でもクラウドエンジニアの単価は月80〜120万円と高水準で、今から学ぶ価値は十分あります。
キャリアの疑問、一緒に解決しませんか?
Route Bloomでは、インフラ系ITエンジニアを目指す方への個別サポートを行っています。2026年7月からフリーランス講師として本格始動予定です。
ABOUT ME
