VPC(Virtual Private Cloud) ぶいぴーしー(バーチャルプライベートクラウド)
簡単に言うとこんな感じ!
クラウド上に作る「自分専用の仮想オフィスビル」だよ!インターネットという大きな街の中に、自分だけが使えるフロアを借りて、外からの人を自由に制限できる仕切られたスペースのことなんだ。
VPCとは
VPC(Virtual Private Cloud) とは、AWS・Google Cloud・Azure などのパブリッククラウド上に作る仮想的なプライベートネットワーク空間のことです。物理的なサーバーやケーブルを用意しなくても、クラウド内に「自分専用のネットワーク環境」をソフトウェアで構築できます。
イメージとしては、広大なクラウドというマンションの中に「自分だけの部屋(フロア)」を借りるようなものです。他のテナント(企業)とは壁で仕切られており、インターネットからの入退室ルールも自分で自由に設定できます。どのサーバーを外部公開するか、どのサーバーは内側だけに閉じるか、といった細かい制御が可能です。
企業がクラウドにシステムを構築するとき、VPCはほぼ必須の基盤となります。セキュリティ・コスト・運用効率のすべてに関わる重要な概念なので、システム発注・選定の場面でも必ず登場します。
VPCの構造と主要コンポーネント
VPCは複数の部品を組み合わせて構成されます。ビルで例えると以下のようになります。
| コンポーネント | ビルの例え | 役割 |
|---|---|---|
| VPC | ビル全体 | ネットワーク空間全体の枠組み |
| サブネット | 各フロア(部屋) | VPCをさらに分割した小さなネットワーク |
| インターネットゲートウェイ | ビルの正面玄関 | インターネットとの出入り口 |
| ルートテーブル | 案内図・エレベーター | 通信の経路を決めるルール集 |
| セキュリティグループ | 各部屋の鍵・インターホン | サーバー単位の通信許可ルール |
| ネットワークACL | フロアの警備員 | サブネット単位の通信フィルタ |
| NATゲートウェイ | 業者専用の裏口 | 内側から外へ出るための出口(逆は不可) |
パブリックサブネットとプライベートサブネット
VPCの設計で最も重要な概念が「パブリックサブネット」と「プライベートサブネット」の使い分けです。
VPC(例: 10.0.0.0/16)
├─ パブリックサブネット(10.0.1.0/24)
│ └─ Webサーバー(インターネットから直接アクセス可)
│
└─ プライベートサブネット(10.0.2.0/24)
└─ DBサーバー(インターネットから直接アクセス不可)外部に公開したいサーバー(Webサーバーなど)はパブリックサブネットに、外部に見せたくない重要なデータ(データベースなど)はプライベートサブネットに配置するのが基本設計です。
CIDRブロック(IPアドレスの範囲)
VPCを作るときは CIDRブロック(例: 10.0.0.0/16)でIPアドレスの範囲を決めます。/16なら約6万5千個のIPアドレスが使えます。発注時に「どのくらいのサーバー数を想定するか」が設計に影響します。
歴史と背景
- 2006年 AWS(Amazon Web Services)がサービス開始。当初のクラウドはネットワーク設計の自由度が低かった
- 2009年 AWSがVPCを発表。クラウド上に企業独自の仮想ネットワークを作れるようになり、セキュリティ要件の高い企業もクラウド移行が現実的に
- 2011〜2013年 Google Cloud・Microsoft Azureも同様のVPC相当機能(VNet等)を提供開始。クラウドネットワーク設計の標準概念として普及
- 2013年 AWSが「EC2-Classic」(VPCなしの旧方式)の新規利用を廃止方向へ。VPCが事実上必須に
- 2022年 AWSがEC2-Classicを完全廃止。VPCなしのクラウド利用は不可能に
- 現在 マルチクラウド・ハイブリッドクラウドの普及に伴い、VPC間の接続(VPCピアリング・Transit Gateway)が重要テーマに
VPCの構造:図解
主要クラウドサービスのVPC比較
| 項目 | AWS VPC | Google Cloud VPC | Azure VNet |
|---|---|---|---|
| 名称 | VPC | VPC | Virtual Network(VNet) |
| リージョン単位 | ◯ | グローバル(全リージョン共通) | ◯ |
| 無料枠 | 5VPCまで無料 | 共有VPCは有料 | 50VNetまで無料 |
| VPC間接続 | VPCピアリング / Transit Gateway | VPCピアリング | VNet Peering |
| オンプレ接続 | VPN / Direct Connect | VPN / Cloud Interconnect | VPN / ExpressRoute |
オンプレミスとのハイブリッド接続
自社のデータセンター(オンプレミス)とVPCを接続する方法は主に2つです。
- VPN接続:インターネット経由の暗号化トンネル。コストは安いが速度・品質はやや不安定
- 専用線接続(AWS Direct Connect など):物理的な専用回線で接続。高品質・高セキュリティだが費用が高い
関連する規格・RFC
| 規格・RFC番号 | 内容 |
|---|---|
| RFC 1918 | プライベートIPアドレスの範囲定義(10.x.x.x / 172.16.x.x / 192.168.x.x) |
| RFC 4632 | CIDR(クラスレスドメイン間ルーティング)の定義 |
| RFC 2663 | NAT(ネットワークアドレス変換)の定義 |
| RFC 4364 | BGP/MPLS VPNの定義(専用線接続の基盤技術) |
関連用語
- サブネット — VPCをさらに細かく分割した小さなネットワーク単位
- セキュリティグループ — VPC内のサーバーへの通信を制御するファイアウォールルール
- ルートテーブル — VPC内の通信経路を決めるルール集
- インターネットゲートウェイ — VPCとインターネットを繋ぐ出入り口
- NAT — プライベートIPアドレスをグローバルIPに変換する技術
- VPN — インターネット上に暗号化された仮想専用回線を作る技術
- CIDR — IPアドレスの範囲をスラッシュ表記で示す方法
- クラウド — インターネット経由でITリソースを利用するサービス形態