AWS VPCの各種用語のおさらい。Azure仮想ネットワークとゆるく比較

Microsoft Azureの仮想ネットワークに慣れている方の場合、AMAZON AWS VPCは、ネットワーク構築の粒度をもっと細かくしたもの！と考えてもらうといいかもしれません。オンプレでネットワークからしっかり構築を経験されてきている方には難しくないですが、クラウドデビュー世代の方の場合、様々な学習が必要です。学習しやすい様になるべく用語の英単語を明記するようにしました。

VPCとは

VPC（Virtual Private Cloud）として、AWSの中で他社他人のネットワークと隔離した仮想ネットワーク。AWS内で自分の土地を作る。VPCのサイズは後から変更出来ない。CIDR（サイダー）形式でVPCのサイズを決める。Azureでは仮想ネットワーク。

ピアリングとは

ISP（Internet Service Provider）同士が、ルーターの経路情報を交換すること。上位ISPから下位ISPへトラフィックを中継するトランジットは、ピアリングと異なるので要注意。

CIDRブロックとは

CIDR（Classless Inter-Domain Routing）と言われ、ABCの3タイプのクラス別け概念よりもずっと細かく、ネットワークをサブネットに区切り、自由にホスト数を設定出来る仕組み。

VPCすなわち仮想ネットワーク内で、サブネット住所とサブネット内のホスト名を整理整頓するための方式という感じ。土地（VPC）をサブネットに分割し、分割されたところに家（インスタンス）を建てて番地（ホスト）を指定する感じ。

『172.31.0.0/16』の様に後部にスラッシュが付いた10進法の数字の羅列をCIDRと言う。スラッシュの前と後では数字の意味が異なり、スラッシュよりも前の部分を2進数表記に変換して考える事が基本。

スラッシュよりも前の部分を2進数にすると

『10101100.00001111.00000000.00000000』となり、

先頭から16桁（スラッシュの後ろのサブネットマスクと言われる数字で桁数を示す）の

『10101100.00001111』までがネットワークをあらわし、

17桁目以降の

『00000000.00000000』はネットワーク内のホストを表す。

したがって、VPCの中で172.31というネットワークがあり、その中に0.0というホストがあるという感じ。

そのため、VPC内で172.31.0.0というCIDRが2つ以上存在するのはマズイという事。

• スラッシュ後ろの数字は、サブネットマスクと言われ、2進数に変換して先頭から〇〇桁までがネットワークを表すということを決めつける数字。AWSではサブネットマスクは24が推奨されている。
• 2進数変換時、〇〇桁よりも後ろの数字は、該当ネットワーク内のホストを示している。

Internet Gateway（インターネットゲートウェイ）

VPCとVPC外のインターネットを繋ぐ、まさにゲート。

ルートテーブル

VPC を作成すると、ルートテーブルが自動でメインルートテーブルとしてインターネットゲートウェイとの紐付けが割り振られる。インターネットゲートウェイとVPC内のサブネットを交通整理しながら結び付ける台帳の様なもの。CIDRで指定する。インターネットゲートウェイにルーティングされているサブネットをPublicサブネットと言う。

Network ACL（Network Access Control List）

AMAZON AWSのネットワークACLは、サブネットに対するファイヤーウォールの事、外枠としてのVPCから見て第1防御壁。クライアントがサーバーへリクエストする際に利用する一時利用のポートであるEphemeral（エフェメラル）ポートに注意する必要が有り、アウトバウンドの許可設定はクライアントのOSにより異なる。どの様なクライアントOSでも許可する場合、アウトバウンドのポート範囲を1024 – 65535に指定する必要がある。AMAZON AWSのセキュリティグループはインスタンスに対するファイヤーウォールでVPCから見て第2防御壁。Microsoft Azureのネットワークセキュリティグループは、仮想マシン、NIC（Network Interface Card）、サブネットの3種に対してネットワークセキュリティグループという言葉を使い、名称的に細分化されていない。

AWS VPC NAT ゲートウェイ（Network Address Translation ゲートウェイ）

インスタンスに対するインターネットからの接続を遮断しつつ、インスタンスからはインターネットに接続出来るようにするもの。TCP, UDP, ICMPの3種のプロトコルを通すVPCのゲートウェイ。サブネットに指定する。Elastic IPが必要。

Tenancy

テナンシーは、ハードウェアを専有するかどうか、という事。

DHCPオプションセット

DHCP(Dynamic Host Configuration Protocol)は、ネットワーク接続やIP通信をするために必要な情報を自動で取得できるプロトコル。DHCPサーバーとクライアントはIPアドレス無しでも通信できる。MACアドレスで通信する。DHCPは、ISP（Internet Service Provider）や社内ネットワークや一般家庭の小規模ネットワークなどで各コンピュータ機器の命名交通整理の要を担う、重要なもの。規則正しく構築しないとネットワーク内で混乱が発生する。インフラ提供側でなければ、基本的にAWSお任せでいいはず。

DNSサフィックス

ホスト名（コンピュータ名）だけでWindowsネットワーク上の名前解決をする設定。Active Directoryの構築などの際に関係してくる。

Availablity Zone（アベイラビリティゾーン）

同一リージョンの中における可用性（Availability）ゾーン。Azureで言う可用性セット。AWSは、更新ドメイン/障害ドメインが無い。この区分けに関してはAzureの方が細かい。マスターとスレーブで、冗長化や、AWSやAzureからメンテンスが提供される際の事を考えて、同じゾーンやドメインを避けて構築する必要がある。