🌐 AWS VPC — 完全リファレンスガイド

VPC とは何か？ AWS 内のあなた専用の分離されたプライベートネットワーク。これはクラウド内のあなたのプライベートデータセンターだと考えてください。明示的に許可しない限り、何も出入りしません。

📌 目次

🧠 Core Concepts

VPC はあなたの仮想ネットワーク環境を完全にコントロールできます。これには IP アドレス範囲、サブネット、ルートテーブル、ゲートウェイなどが含まれます。

主な事実:

VPC は単一の AWS リージョン 内に存在します
VPC は 複数のアベイラビリティーゾーン (AZ) にまたがることができます
各 AWS アカウントはリージョンごとに デフォルト VPC を取得します (すぐに使用可能な状態で提供されます)
VPC 自体は無料です — ただし一部のコンポーネント (NAT Gateway、VPC Endpoints) にはコストがかかります
リージョンごとに 複数の VPC を作成できます (デフォルト上限: 5、増加を要求可能)

🏗 VPC Architecture Diagram

Internet
    │
    ▼
┌──────────────────────────────────────────────────────────┐
│  VPC (172.16.0.0/16)                                     │
│                                                          │
│  ┌──────────────────────────────────────────────────┐    │
│  │  PUBLIC SUBNET (172.16.1.0/24)                    │    │
│  │  - Has route to Internet Gateway                  │    │
│  │  - Resources CAN have public IPs                  │    │
│  │  - ALB (Load Balancer) lives here                 │    │
│  │  - ECS tasks live here (if no NAT Gateway)        │    │
│  └──────────────────────────────────────────────────┘    │
│                         │                                │
│                         ▼ (security group allows)        │
│  ┌──────────────────────────────────────────────────┐    │
│  │  PRIVATE SUBNET (172.16.2.0/24)                   │    │
│  │  - NO route to Internet Gateway                   │    │
│  │  - Resources CANNOT reach internet directly       │    │
│  │  - RDS databases live here                        │    │
│  │  - Redis / ElastiCache lives here                 │    │
│  └──────────────────────────────────────────────────┘    │
└──────────────────────────────────────────────────────────┘

🔑 Key Components Deep Dive

コンポーネント	機能	類推
VPC	AWS 内の分離されたネットワーク	あなたのプライベートデータセンター
Subnet	VPC 内の IP 範囲で、1 つの AZ に配置	データセンター内のルーム
Internet Gateway	VPC をパブリックインターネットに接続	フロントドア
NAT Gateway	プライベートリソースのインターネットアクセスを許可 (アウトバウンドのみ)	一方向のメールスロット
Route Table	トラフィックの送信先を定義	道路標識
Security Group	リソースごとのステートフルファイアウォール (インスタンスレベル)	個人的なボディガード
NACL	サブネットごとのステートレスファイアウォール	建物のセキュリティゲート
VPC Endpoint	インターネットなしで AWS サービスへのプライベート接続	別の建物への内部通路
Elastic IP	静的なパブリック IPv4 アドレス	固定電話番号

🔢 CIDR Blocks & IP Addressing

CIDR (Classless Inter-Domain Routing) は VPC の IP 範囲を定義します。

一般的な VPC CIDR ブロック:

CIDR ブロック	IP 範囲	合計 IP	ユースケース
`10.0.0.0/16`	10.0.0.0 – 10.0.255.255	65,536	大規模本番 VPC
`172.16.0.0/16`	172.16.0.0 – 172.16.255.255	65,536	標準 VPC
`192.168.0.0/16`	192.168.0.0 – 192.168.255.255	65,536	より小規模な環境
`10.0.0.0/24`	10.0.0.0 – 10.0.0.255	256	単一の小規模サブネット

CIDR 計算クイック:

/16 = 65,536 IPs
/20 = 4,096 IPs
/24 = 256 IPs
/28 = 16 IPs (AWS で最小)

ルール:

VPC CIDR 範囲: /16 (最大) から /28 (最小)
AWS はすべてのサブネットで 5 つの IP を予約します (最初の 4 つと最後の 1 つ)
VPC をピアリングしたりオンプレミスに接続する場合は、CIDR 範囲をオーバーラップさせないでください

🏠 Subnets

サブネットは VPC 内の IP 範囲で、1 つの特定のアベイラビリティーゾーン に配置されます。

パブリック vs プライベート — 唯一の実際の違い

機能	パブリックサブネット	プライベートサブネット
Internet Gateway へのルート	✅ はい	❌ いいえ
リソースがパブリック IP を取得	✅ 可能	❌ 不可
直接インターネットアクセス	✅ はい	❌ いいえ (NAT が必要)
一般的な住人	ALB、Bastion ホスト、Web サーバー	データベース、キャッシュ、アプリサーバー

重要な洞察: サブネットを「パブリック」または「プライベート」にするのは、ルートテーブルのみ です — Internet Gateway へのルートがあるかどうかのみ。他には何もありません。

高可用性のための複数 AZ サブネット

常に少なくとも 2 つの AZ にまたがるサブネットを作成します:

VPC (10.0.0.0/16)
├── Public Subnet AZ-a   (10.0.1.0/24)
├── Public Subnet AZ-b   (10.0.2.0/24)
├── Private Subnet AZ-a  (10.0.3.0/24)
└── Private Subnet AZ-b  (10.0.4.0/24)

このようにして、1 つの AZ がダウンした場合、アプリはもう一方で実行し続けます。

🚪 Internet Gateway (IGW)

VPC をパブリックインターネットに接続します
VPC ごとに 1 つ (1 つの VPC に 1 つの IGW のみアタッチできます)
水平スケーリング可能、冗長、高可用性 — AWS が管理
無料 — 時間単位の料金またはデータ処理料金なし
なければ、VPC 内のリソースはインターネットに到達したり、インターネットからアクセスされたりできません

リソースをインターネットアクセス可能にするには、これらすべてが必要です:

VPC にアタッチされた IGW
0.0.0.0/0 → IGW を指すルートテーブルエントリ
リソースがパブリック IP または Elastic IP を持っている
セキュリティグループがトラフィックを許可している

🔄 NAT Gateway

プライベートサブネット 内のリソースが アウトバウンドのみ でインターネットにアクセスすることを許可します (例: 更新のダウンロード、Docker イメージの取得)。

主な詳細:

パブリックサブネット に配置
Elastic IP が必要です
月額約 32 ドル + データ処理 $0.045/GB
高可用性のため AZ ごとに 1 つ (2-3 AZ = 月額 64 ～ 96 ドル、NAT のみ)
AWS で管理 — パッチ不要

コスト削減の代替案: パブリック IP を持つパブリックサブネットにリソースを配置する代わりに NAT Gateway を使用します。これはセキュリティ面では劣りますが、月額 100 ドル以上節約できます。これは多くの開発・ステージング環境が実施しています。

🗺 Route Tables

すべてのサブネットはルートテーブルに関連付けられています。ルートテーブルはトラフィックの行き先を指定します。

パブリックサブネットルートテーブル

Destination        → Target
172.16.0.0/16      → local (VPC 内に留まる)
0.0.0.0/0          → igw-xxxx (internet gateway)

プライベートサブネットルートテーブル (NAT 使用)

Destination        → Target
172.16.0.0/16      → local (VPC 内に留まる)
0.0.0.0/0          → nat-xxxx (NAT gateway)

プライベートサブネットルートテーブル (NAT なし、完全に分離)

Destination        → Target
172.16.0.0/16      → local (VPC 内に留まる)

local ルートは自動で、削除することはできません。これにより、すべての VPC 内部トラフィックが内部に留まることが保証されます。

🛡 Security Groups

AWS で最も重要なセキュリティコントロール。 個々のリソース (EC2、RDS、ECS、ALB など) に接続されたステートフルファイアウォール。

主な特性

特性	セキュリティグループ
レベル	リソース (インスタンス) レベル
ステートフル?	✅ はい — インバウンドが許可されている場合、レスポンスは自動的に許可されます
デフォルト動作	すべてのインバウンドを拒否、すべてのアウトバウンドを許可
ルール	許可ルールのみ (拒否ルールなし)
参照可能	他のセキュリティグループ、CIDR ブロック、またはプレフィックスリスト

セキュリティグループチェーン (ベストプラクティス)

IP アドレスの代わりに、セキュリティグループが 他のセキュリティグループ を参照します:

Internet → ALB SG (allows port 80/443 from 0.0.0.0/0)
                │
                ▼
            ECS SG (allows port 5000 from ALB SG only)
                │
                ▼
            RDS SG (allows port 5432 from ECS SG only)
            Redis SG (allows port 6379 from ECS SG only)

これが重要な理由: 新しい ECS タスクを追加すると、ECS セキュリティグループがアタッチされているため自動的に RDS にアクセスできるようになります。IP アドレスをどこからも更新する必要はありません。

一般的なポートリファレンス

サービス	ポート	プロトコル
HTTP	80	TCP
HTTPS	443	TCP
SSH	22	TCP
PostgreSQL	5432	TCP
MySQL	3306	TCP
Redis	6379	TCP
カスタムアプリ (例: Redash)	5000	TCP

🧱 Network ACLs (NACLs)

サブネットレベル での第 2 のセキュリティレイヤー。

特性	NACL	セキュリティグループ
レベル	サブネットレベル	リソースレベル
ステートフル?	❌ いいえ — インバウンドとアウトバウンドの両方を許可する必要があります	✅ はい
デフォルト動作	すべて許可 (デフォルト NACL)	すべてのインバウンドを拒否
ルールタイプ	許可と拒否ルール	許可のみ
評価	ルールは番号順に処理	すべてのルールが評価される

実際には: ほとんどの人は NACL をデフォルト (すべて許可) に設定したままにして、セキュリティグループに依存します。NACL はバックアップレイヤーとして、または特定の IP アドレスをブロックする場合に有用です。

🔗 VPC Endpoints

インターネットを通じることなく AWS サービスにアクセスします。トラフィックは AWS のプライベートネットワーク上に留まります。

2 つのタイプ

タイプ	コスト	対応	動作方法
Gateway Endpoint	無料	S3、DynamoDB のみ	ルートテーブルエントリを追加
Interface Endpoint	月額約 7 ドル + データ	その他のほとんどの AWS サービス (ECR、Secrets Manager、CloudWatch など)	サブネットに ENI を作成

使用するタイミング: リソースがプライベートサブネットに NAT Gateway なしで、AWS サービス (S3 や ECR など) にインターネットアクセスなしでアクセスする必要がある場合、VPC Endpoints がこれを可能にします。

🔀 VPC Peering & Transit Gateway

VPC Peering

2 つの VPC を接続して、プライベート IP を使用して通信できるようにします
リージョン間およびアカウント間でピアリング可能
無料 (通常のデータ転送料金のみ支払い)
CIDR 範囲を オーバーラップさせることはできません
3 つ以上の VPC では複雑になります (各ペアに独自のピアリング接続が必要)

Transit Gateway

複数の VPC、VPN、およびオンプレミスネットワークを接続する 中央ハブ
多くの VPC がある場合、ピアリングよりもはるかにクリーン
月額約 $0.05 × アタッチメント数 + データ転送
3 つ以上の VPC がある組織に最適

🔄 Traffic Flow Example (Redash Setup)

ユーザーリクエストが VPC を通じて Redash に到達する方法は次の通りです:

1. ユーザーブラウザ → https://redash.yourdomain.com
                        │

2. DNS (Route 53) → ALB のパブリック IP に解決
                        │

3. Internet Gateway → VPC へのトラフィックを許可
                        │

4. ALB (パブリックサブネット) → SG は 0.0.0.0/0 からの 443 ポートを許可
   │                     SSL を終了、ターゲットグループに転送
   │

5. ターゲットグループ → ポート 5000 の ECS タスクにルーティング
                        │

6. ECS タスク (パブリックサブネット) → SG は ALB SG からの 5000 ポートを許可
   │                          Redash コンテナを実行
   │
   ├──→ RDS (プライベートサブネット) → SG は ECS SG からの 5432 ポートを許可
   │                           クエリ結果を返す
   │
   └──→ Redis (プライベートサブネット) → SG は ECS SG からの 6379 ポートを許可
                                      キャッシュされたデータを返す

ECS が異なるサブネットの RDS と通信できるのはなぜですか? これらが 同じ VPC 内にあるためです。local ルート (172.16.0.0/16 → local) により、すべての内部 VPC トラフィックが内部に留まります。セキュリティグループは、どの特定のリソースが通信できるかを制御します。

🏛 Common Architecture Patterns

パターン 1: シンプル (開発・ステージング) — NAT Gateway なし

Internet → IGW → パブリックサブネット (ALB + パブリック IP 付き ECS)
                         │
                  プライベートサブネット (RDS、Redis)

コスト: ネットワークに月額約 $0
トレードオフ: ECS タスクはパブリック IP を持っている (セキュリティ面でやや劣る)

パターン 2: 標準 (本番)

Internet → IGW → パブリックサブネット (ALB のみ)
                         │
                  プライベートサブネット (ECS タスク、アプリサーバー)
                     │          │
              NAT Gateway    VPC Endpoints
                     │          │
              (アウトバウンド  (AWS サービス
               インターネット)  プライベート)
                         │
                  分離されたサブネット (RDS、Redis)

コスト: NAT に月額約 $32-96
利点: コンピュートリソースに公開 IP がない

パターン 3: エンタープライズ (複数 VPC)

オンプレミス ←→ Transit Gateway ←→ VPC-Prod
                      │         ←→ VPC-Staging
                      │         ←→ VPC-Dev
                      │         ←→ Shared Services VPC

コスト: より高い (Transit Gateway + 複数の NAT)
利点: 環境間の完全な分離

💰 Cost Breakdown

コンポーネント	コスト	注記
VPC	無料	—
Subnets	無料	—
Internet Gateway	無料	—
Route Tables	無料	—
Security Groups	無料	—
NACLs	無料	—
Elastic IP (アタッチ済み)	無料	アタッチされていない場合は有料 (月額約 $3.65)
NAT Gateway	月額約 $32 + $0.045/GB	AZ ごと — AZ の数で乗算
Gateway VPC Endpoint (S3/DynamoDB)	無料	—
Interface VPC Endpoint	月額約 $7 + $0.01/GB	エンドポイント、AZ ごと
VPC Peering	無料	データ転送料金が適用
Transit Gateway	月額約 $36 (アタッチメント)	+ 処理データ $0.02/GB
データ転送 (クロス AZ)	各方向 $0.01/GB	高トラフィックでは加算される
データ転送 (インターネット向け)	約 $0.09/GB	月 100GB までは無料の場合がある

✅ Best Practices Checklist

❌ Common Mistakes & Troubleshooting

「ノートパソコンから RDS に接続できない」

原因: RDS がプライベートサブネット内にあり、SG は ECS SG のトラフィックのみを許可し、「Publicly Accessible」は false です。
修正: Bastion ホスト、AWS Session Manager、または VPN を使用して接続します。本番環境で RDS をパブリックアクセス可能にしないでください。

「ECS タスクが Docker イメージをプルできない」

原因: タスクがプライベートサブネット内にあり、インターネットアクセスがありません。
修正: NAT Gateway を追加するか、パブリック IP のあるパブリックサブネットに移動するか、ECR 用の VPC Endpoints を使用します。

「セキュリティグループのルールが機能していない」

原因: 一般的な原因:

ポート番号が間違っている
別のセキュリティグループを参照している
NACL のアウトバウンドルールを忘れている (NACL はステートレス!)
リソースに SG がアタッチされていない

「サブネットの IP が枯渇した」

原因: 小さすぎる CIDR を使用しました (例: /28 = AWS が 5 つを予約した後、使用可能な IP は 11 のみ)。
修正: より大きなサブネットを作成します。VPC にセカンダリ CIDR ブロックを追加できます。

「クロス AZ データ転送コストが高い」

原因: AZ 間のトラフィックは各方向 $0.01/GB のコストがかかります。
修正: 可能な場合は関連するリソースを同じ AZ に配置するか、コストを受け入れます。

🔗 Useful Links & Resources

Official AWS Documentation

Learning Resources

Tools

AWS VPC Console
AWS Cost Calculator
Reachability Analyzer — リソース間の接続問題をデバッグする
VPC Flow Logs — リソースに何のトラフィックが当たっているかを確認

📝 Quick Reference Card

VPC         = プライベートネットワーク                (無料)
Subnet      = ネットワーク内のルーム              (無料)
IGW         = インターネットへのフロントドア         (無料)
NAT GW      = 一方向アウトバウンドドア              ($$$)
Route Table = トラフィック標識                  (無料)
Security Group = リソースごとのボディガード        (無料、ステートフル)
NACL        = 建物のセキュリティゲート            (無料、ステートレス)
VPC Endpoint = AWS への内部トンネル             (S3/DynamoDB は無料)

パブリックサブネット  = IGW へのルートあり
プライベートサブネット = IGW へのルートなし
これが文字通り唯一の違いです。

最終更新: 2026 年 3 月

📌 目次​

🧠 Core Concepts​

🏗 VPC Architecture Diagram​

🔑 Key Components Deep Dive​

🔢 CIDR Blocks & IP Addressing​

🏠 Subnets​

パブリック vs プライベート — 唯一の実際の違い​

高可用性のための複数 AZ サブネット​

🚪 Internet Gateway (IGW)​

🔄 NAT Gateway​

🗺 Route Tables​

パブリックサブネットルートテーブル​

プライベートサブネットルートテーブル (NAT 使用)​

プライベートサブネットルートテーブル (NAT なし、完全に分離)​

🛡 Security Groups​

主な特性​

セキュリティグループチェーン (ベストプラクティス)​

一般的なポートリファレンス​

🧱 Network ACLs (NACLs)​

🔗 VPC Endpoints​

2 つのタイプ​

🔀 VPC Peering & Transit Gateway​

VPC Peering​

Transit Gateway​

🔄 Traffic Flow Example (Redash Setup)​

🏛 Common Architecture Patterns​

パターン 1: シンプル (開発・ステージング) — NAT Gateway なし​

パターン 2: 標準 (本番)​

パターン 3: エンタープライズ (複数 VPC)​

💰 Cost Breakdown​

✅ Best Practices Checklist​

❌ Common Mistakes & Troubleshooting​

「ノートパソコンから RDS に接続できない」​

「ECS タスクが Docker イメージをプルできない」​

「セキュリティグループのルールが機能していない」​

「サブネットの IP が枯渇した」​

「クロス AZ データ転送コストが高い」​

🔗 Useful Links & Resources​

Official AWS Documentation​

Learning Resources​

Tools​

📝 Quick Reference Card​

Related Articles