VPCの概要

Virtual Private Cloud(VPC) VPCはAWSクラウド内に論理的に分離されたセクションを作り、ユーザーが定義した仮想ネットワークを構築するサービス

・任意のIPアドレス範囲の選択して仮想ネットワークを構築 ・サブネットの作成、ルートテーブルやネットワークゲートウェイの設定など仮想ネットワーキング環境を完全に制御可能 ・必要に応じてクラウド内外のネットワーク同士を接続することも可能 ・複数の接続オプションが利用可能 　→インターネット経由 　→VPN / 専用線（Direct Connect）

VPNとのDirect Connect

VPNの方が安く素早く利用できるが、信頼性や品質は専用線が勝る

◾️コスト ・VPN 　安価なベストエフォート回線が利用可能

・専用線 　キャリアの専用線サービス契約が必要となりVPNより割高

◾️リードタイム ・VPN 　クラウド上での接続設定で可能なため即時

・専用線 　物理対応が必要なため数週間

◾️帯域幅 ・VPN 　暗号化のオーバヘッドにより制限がある

・専用線 　ポートあたり１G / １０Gbps

◾️品質 ・VPN 　インターネット経由のためネットワーク状態の影響を受ける

・専用線 　キャリアにより高い品質が保証される

◾️障害切り分け ・VPN 　インターネットベースのため自社で保持している範囲以外の確認は難しい

・専用線 　物理的に経路が確保されているため比較的容易

VPCエンドポイント

VPCエンドポイントはグローバルIPをもつAWSサービスに対して、VPC内から直接アクセスするための出口

Gateway型はサブネットに特殊なルーティングを設定し、VPC内部から直接外のサービスと通信する ◾️特徴 ・アクセス制御：エンドポイントポリシーを設定 ・料金：無料 ・冗長性：AWS側が対応

PrivateLink型はサブネットにエンドポイント用のプライベートIPアドレスを生成し、DNSが名前解決でルーティングする

◾️特徴 ・アクセス制御：セキュリティグループを設定 ・料金：有料 ・冗長性：マルチAZ設計

VPC Flow logs

VPC Flow Logsはネットワークトラフィックを取得しCloudWatchでモニタリングできるようにする機能

・ネットワークインターフェイスを送信元 / 送信先とするトラフィックが対象

・セキュリティグループとネットワークACLのルールでaccepted / rejectされたトラフィックログを取得

・キャプチャウインドウと言われる時間枠（約１０分間）で収集、プロセッシング、保存する

・RDS、Redshift、ElasticCache、WorkSpacesのネットワークインタフェーストラフィックも取得可能

・追加料金はなし

VPCの設定上限

VPCの各種設定においては上限数があるため、大規模に利用する場合は考慮する必要がある

・リージョンあたりのVPCの上限数　５ ・VPCあたりのサブネットの上限数　２００ ・AWSアカウントあたりの１リージョン内のElasticIP数　５ ・ルートテーブルあたりのルート上限数　１００ ・VPCあたりのセキュリティグループの上限数　５００ ・セキュリティグループあたりのルールの上限数　５０

VPCを分割するケース

アプリサービスや組織構成などの用途に応じてVPCを分割する

・アプリケーションによる分割 ・監査のスコープによる分割 ・リスクレベルによる分割 ・本番、検証、開発フェーズによる分割 ・部署による分割、共通サービスの切り出し

VPC Peering

VPC Peeringにより２つのVPC間でのトラフィックルーティングが可能

・異なるAWSアカウント間のVPC間をピア接続可能 ・一部のリージョン間の異なるVPC間のピア接続も可能 ・単一障害点や帯域幅のボトルネックは存在しない