VPC のプランニング - Amazon Virtual Private Cloud
AWS アカウントへのサインアップアクセス許可の確認IP アドレスの範囲を決定するアベイラビリティーゾーンの選択インターネット接続の計画VPC の作成アプリケーションをデプロイします

VPC のプランニング

VPC の作成と接続の準備をするには、次のタスクを完了します。完了後、AWS にアプリケーションをデプロイする準備ができます。

AWS アカウントへのサインアップ

AWS アカウント がない場合は、以下のステップを実行して作成します。

AWS アカウントにサインアップするには

  1. https://portal.aws.amazon.com/billing/signup を開きます。

  2. オンラインの手順に従います。

    サインアップ手順の一環として、通話呼び出しを受け取り、電話キーパッドで検証コードを入力するように求められます。

    AWS アカウント にサインアップすると、AWS アカウントのルートユーザー が作成されます。ルートユーザーには、アカウントのすべてのAWS のサービスとリソースへのアクセス権があります。セキュリティのベストプラクティスとして、ユーザーに管理アクセスを割り当て、ルートユーザーのみを使用してルートユーザーアクセスが必要なタスクを実行してください。

サインアップ処理が完了すると、AWS からユーザーに確認メールが送信されます。https://aws.amazon.com/アカウント] をクリックして、いつでもアカウントの現在のアクティビティを表示し、アカウントを管理することができます。

アクセス許可の確認

Amazon VPC を使用するには、事前に必須のアクセス権限が必要です。詳細については、Amazon VPC の Identity and Access ManagementおよびAmazon VPC ポリシーの例を参照してください。

IP アドレスの範囲を決定する

IP アドレスを使用して、VPC のリソースの相互通信とインターネット上のリソースとの通信を行います。VPC とサブネットの作成時に IP アドレス範囲を選択できます。EC2 インスタンスなどのサブネットにリソースをデプロイすると、サブネットの IP アドレス範囲からの IP アドレスを受信します。詳細については、「VPC とサブネットの IP アドレス指定」を参照してください。

VPC のサイズを選択する際には、AWS アカウント と VPC 全体で必要な IP アドレスの数を検討してください。VPC の IP アドレス範囲がネットワーク自体の IP アドレス範囲と重複しないようにしてください。複数の VPC 間の接続が必要な場合は、IP アドレスが重複していないことを確認する必要があります。

IP Address Manager (IPAM) を使用すると、アプリケーションの IP アドレスの計画、追跡、監視を実行しやすくなります。詳細については、「IP アドレスマネージャーガイド」を参照してください。

アベイラビリティーゾーンの選択

AWS リージョンは、アベイラビリティーゾーンと呼ばれるデータセンターをクラスター化する物理的な場所です。アベイラビリティーゾーンは、独立した電源、冷却、物理セキュリティ、冗長電源、ネットワーク、接続性を備えています。リージョン内のアベイラビリティーゾーンは物理的に距離を持たせており、高帯域幅、低レイテンシーのネットワーキングで相互接続されています。アプリケーションを複数のアベイラビリティーゾーンで実行するように設計することで、耐障害性をさらに高めることができます。

本番環境

本番環境では、少なくとも 2 つのアベイラビリティーゾーンを選択し、AWS リソースをアクティブなアベイラビリティーゾーンそれぞれに均等にデプロイすることをお勧めします。

開発またはテスト環境

開発環境やテスト環境では、1 つのアベイラビリティーゾーンにのみリソースをデプロイするとコストを削減できます。

インターネット接続の計画

接続要件に基づいて、各 VPC をサブネットに分割することを計画します。例:

  • インターネット上のクライアントからトラフィックを受信するウェブサーバーがある場合は、各アベイラビリティーゾーンにこれらのサーバーのサブネットを作成します。

  • また、VPC 内の他のサーバーからのみトラフィックを受信するサーバーがある場合は、これらのサーバー用に、アベイラビリティーゾーンごとの個別のサブネットを作成します。

  • ネットワークへの VPN 接続を介してのみトラフィックを受信するサーバーがある場合は、これらのサーバー用に、アベイラビリティーゾーンごとの個別のサブネットを作成します。

アプリケーションがインターネットからトラフィックを受信する場合、VPC にはインターネットゲートウェイが必要です。インターネットゲートウェイを VPC にアタッチしても、インターネットから自動的にインスタンスにアクセスできるようにはなりません。インターネットゲートウェイをアタッチすることに加え、サブネットルートテーブルをインターネットゲートウェイへのルートと共に更新する必要があります。また、インスタンスにパブリック IP アドレスが設定され、アプリケーションに必要な、特定のポートとプロトコルを介したインターネット経由のトラフィックを許可する、関連するセキュリティグループが設定されていることを、確認する必要があります。

代替策として、インターネットに接続されるロードバランサーにインスタンスを登録することもできます。ロードバランサーはクライアントからトラフィックを受信し、1 つ以上のアベイラビリティーゾーンにある登録済みのインスタンス全体にトラフィックを分配します。詳細については、「Elastic Load Balancing」を参照してください。インターネットの未承諾インバウンド接続を許可しない状態で、プライベートサブネット内のインスタンスにインターネット接続を許可する (アップデートのダウンロードなどの場合) には、アクティブなアベイラビリティーゾーンそれぞれにパブリック NAT ゲートウェイを追加し、ルートテーブルを更新して、インターネットトラフィックを NAT ゲートウェイに送信するようにします。詳細については、「プライベートサブネットからインターネットにアクセスする」を参照してください。

VPC の作成

必要な VPC とサブネットの数、VPC とサブネットに割り当てる CIDR ブロック、VPC をインターネットに接続する方法が決定したら、VPC を作成する準備は完了です。AWS Management Console を使用して VPC を作成し、設定にパブリックサブネットを含めると、サブネットのルートテーブルが作成され、インターネットへの直接アクセスに必要なルートが追加されます。詳細については、「「VPC を作成する」」を参照してください。

アプリケーションをデプロイします

VPC を作成したら、アプリケーションをデプロイできます。

本番環境

本番環境では、以下のサービスのいずれかを使用して、複数のアベイラビリティーゾーンにサーバーをデプロイし、アプリケーションに必要なサーバー数を最小限に抑えるようにスケーリングを設定して、サーバーをロードバランサーに登録しトラフィックをサーバー全体に均等に分配することができます。

開発またはテスト環境

開発環境またはテスト環境では、単一の EC2 インスタンスを起動することを選択できます。詳細については、「Amazon EC2 ユーザーガイド」の「Amazon EC2 Linux インスタンスの開始方法」を参照してください。