インターネットゲートウェイ いんたーねっとげーとうぇい
簡単に言うとこんな感じ!
クラウド上の仮想ネットワーク(VPC)とインターネットをつなぐ「玄関ドア」だよ!これがないとクラウドのサーバーは外の世界と一切やりとりできない。逆に言えば、これを付けて鍵(ルーティング設定)を渡せば、外からのアクセスも、外への通信もOKになるってこと!
インターネットゲートウェイとは
インターネットゲートウェイ(Internet Gateway、IGW) とは、クラウド上に構築した仮想プライベートネットワーク(VPC: Virtual Private Cloud)と、公開されたインターネットの間を結ぶ出入り口コンポーネントです。AWS・Azure・Google Cloudなど主要なクラウドサービスが提供しており、特にAWSでは「IGW」と略されることが多いです。
クラウドのVPCは、デフォルトでは外部インターネットと完全に切り離された閉じた空間です。Webサーバーを立てて世界中からアクセスさせたい、あるいはクラウド内のサーバーが外部APIを呼び出したい、そういった「外と通信したい」ニーズに応えるのがインターネットゲートウェイの役割です。インターネットゲートウェイ自体は冗長化・スケールアウトがクラウド側で自動管理されるため、利用者は可用性を意識する必要がありません。
ただし、インターネットゲートウェイを取り付けるだけでは不十分です。ルートテーブル(通信をどこへ送るかを定義した経路表)にインターネットゲートウェイへの経路を追加し、さらにサーバーにパブリックIPアドレスを割り当てて初めて、インターネットと通信できるようになります。この3点セットを押さえておきましょう。
インターネットゲートウェイの仕組み
インターネットゲートウェイは、VPCとインターネットの間で 双方向の通信 を可能にするコンポーネントです。具体的には以下の2つの役割を担います。
| 役割 | 内容 |
|---|---|
| アウトバウンド通信 | VPC内のリソースからインターネットへパケットを転送する |
| インバウンド通信 | インターネットからVPC内のパブリックIPを持つリソースへパケットを届ける |
インターネットゲートウェイが通信を成立させるには、以下の3つの条件がすべて揃う必要があります。
- IGWのアタッチ — VPCにインターネットゲートウェイを紐付ける
- ルートテーブルの設定 — サブネットのルートテーブルに
0.0.0.0/0 → IGWの経路を追加する - パブリックIPの付与 — EC2インスタンス等にパブリックIPまたはElastic IPを割り当てる
パブリックサブネット vs プライベートサブネット
IGWへのルートが設定されているサブネットを パブリックサブネット、設定されていないサブネットを プライベートサブネット と呼びます。
VPC (10.0.0.0/16)
├── パブリックサブネット (10.0.1.0/24)
│ ├── ルートテーブル: 0.0.0.0/0 → IGW ✅
│ └── Webサーバー(パブリックIP付き)← インターネットから到達可能
└── プライベートサブネット (10.0.2.0/24)
├── ルートテーブル: IGWへのルートなし ❌
└── DBサーバー(パブリックIPなし)← インターネットから到達不可NATゲートウェイとの違い(覚え方)
「IGWは双方向、NATゲートウェイは片道」と覚えるとわかりやすいです。
| 項目 | インターネットゲートウェイ | NATゲートウェイ |
|---|---|---|
| 通信方向 | 双方向(外→内、内→外) | アウトバウンドのみ(内→外) |
| 用途 | Webサーバーなど外部公開リソース | DBサーバーなど外部非公開リソースの外向き通信 |
| パブリックIP | リソース側に必要 | NATゲートウェイ自身が保有 |
| インターネットからの直接アクセス | 可能 | 不可 |
歴史と背景
- 2009年 — AWSがVPCをリリース。仮想プライベートネットワークの概念がクラウドに持ち込まれ、インターネットゲートウェイもこの時点から提供開始
- 2013年頃 — AWSがデフォルトVPC(Default VPC)を導入。新規アカウントには最初からIGWが設定済みのVPCが用意され、初学者でもすぐにインターネット接続できる環境に
- 2015年以降 — Azure(Internet Gateway相当機能)・Google Cloud(Cloud Router + Internet Gateway)など他クラウドでも同等コンポーネントが整備され、業界標準の設計パターンとして定着
- 現在 — マルチクラウド・ハイブリッドクラウドの普及に伴い、インターネットゲートウェイはクラウドネットワーク設計の最重要コンポーネントの一つとして位置づけられている
VPCネットワーク構成とインターネットゲートウェイの関係
クラウドのネットワーク設計では、インターネットゲートウェイを中心に「外に出せるもの・出せないもの」を明確に分けることがセキュリティの基本です。
上図のように、Webサーバーはパブリックサブネットに置いてIGW経由でインターネットに公開し、DBサーバーはプライベートサブネットに隔離してNATゲートウェイ経由で外向き通信だけ許可するのが定番の設計パターンです。
実務でよくある設計判断チェックリスト
| 判断ポイント | Yes → | No → |
|---|---|---|
| 外部からアクセスさせたいか? | パブリックサブネット+IGW | プライベートサブネット |
| 外部APIを呼び出す必要があるか? | NATゲートウェイを追加 | 不要 |
| 高可用性が必要か? | 複数AZにサブネットを分散 | 1AZでも可 |
関連用語
- VPC(仮想プライベートクラウド) — クラウド上に構築する論理的に分離された仮想ネットワーク
- サブネット — VPCをさらに細かく分割したネットワーク区画
- ルートテーブル — パケットの転送先を定義する経路表
- NATゲートウェイ — プライベートサブネットから外向き通信だけを許可するコンポーネント
- セキュリティグループ — インスタンス単位で通信を制御するファイアウォール機能
- Elastic IP — AWSが提供する固定パブリックIPアドレス
- ロードバランサー — 複数サーバーへトラフィックを分散する装置・サービス
- ファイアウォール — ネットワークの通信を許可・拒否するセキュリティの仕組み