AWS認定ソリューションアーキテクト-アソシエイトの学習のアウトプット~AWSネットワークについて~

この記事は公開されてから半年以上経過しています。情報が古い可能性がありますので、ご注意ください。

こんにちは。

今回は、私がAWS認定ソリューションアーキテクト-アソシエイト(以下SAA)の学習を
進めていく中でイメージしづらかったり躓いたりしたポイントのうち、
AWSの基本的なネットワーク(VPCにおける「サブネット」「インターネットゲートウェイ」
「NATゲートウェイ」あたりの構成)について、素人目線でどのようにイメージして覚えたかを
簡単に紹介したいと思います。あくまでAWS初心者である私個人のイメージですのでご容赦ください。

インターネットゲートウェイ

VPC自体は、デフォルトでプライベート、つまりインターネットに接続しておらず、
外部との通信ができない状態となります。そこで、VPCが外部と通信できるようにするために
VPCに設置するのが「インターネットゲートウェイ」(以下IGW)です。
VPCと外部をつなぐ出入り口のようなイメージがわかりやすいかもしれません。

サブネット

サブネットには、「プライベートサブネット」と「パブリックサブネット」の2種類があります。
まず、各サブネットを一言で表現するとすれば、以下のようになります。
・パブリックサブネット:IGWへの直接のルートをテーブルにエントリしたサブネット
・プライベートサブネット:IGWへの直接のルートをもたないサブネット

もう少し別の言葉で言い換えると、
「IGWへの道(ルート)を、リスト(テーブル)に登録(エントリ)」したら
パブリックサブネット、そうでないのがプライベートサブネット、という表現が
イメージしやすいかもしれません。

ここで重要なことは、IGWをVPCに置くことに加えて、
そこまでのルートをサブネットに登録して初めてそのサブネットが外部との通信が可能になる、
ということです。

プライベートサブネットから外部への接続

原則外部と通信ができないプライベートサブネットですが、場合によっては、
外部へのアクセスが必要になる場合があります。
例えば、プライベートサブネット内に展開されているアプリケーション等の
アップデートを行う場合などです。

アプリケーション等のアップデート情報がインターネット上にある場合は、
それを取りに行くことになります。この際、IGWを利用すると、外部からのアクセスも
発生してしまう(出入口なので)ため、内部からの
アクセス(アップデート情報を取りに行く動作)のみを行える、一方通行のルートを
用意する必要があります。そのために使用するのが「NATゲートウェイ」です。

NATゲートウェイ

NATゲートウェイを用いて、プライベートサブネットから
外部への一方通行のルートを通すために必要な作業は以下のとおりです。
(1)パブリックサブネットにNATゲートウェイを置く
(2)プライベートサブネットのテーブルに、NATゲートウェイまでのルートをエントリする

プライベートサブネットとIGWを直接つながず、パブリックサブネットに置いた
NATゲートウェイを経由してインターネットゲートウェイから外部に接続することで、
プライベートサブネットから外部への一方通行のアクセスが可能になります。

まとめ

・各コンポーネントへの通信を通すためには、
 「コンポーネントの設置+そのコンポーネントへのルートの登録」が必要。
・インターネットゲートウェイ:VPCに置く。外部(インターネット)との出入口。
・パブリックサブネット:外部と接続されたサブネット。IGWへの直接のルートをもつ。
・プライベートサブネット:IGWへの直接のルートをもたないサブネット。
・NATゲートウェイ:外部への一方通行のルートを通すためのコンポーネント。
 パブリックサブネットに置く。

このような感じでイメージが持てていると、SAA学習における
AWSのネットワークの範囲を理解しやすくなるのではないかと
私自身の学習を振り返って個人的に感じました。少しでも参考になれば幸いです。

最後まで読んでいただきありがとうございました。

お勧めのITエンジニア向け認定資格

AWS認定資格
Azure認定資格
IT国家資格
ITベンダー資格
セールスフォース認定資格
セキュリティ資格

投稿者プロフィール

佐藤広国