AWS入門（専門用語集）



Amazon VPC

AWS上に構築するプライベートなネットワーク空間のこと。要するに、仮想的な自専門領域。
AWSアカウント内には、一つ以上のVPCを構成して使う。一つ以上なので複数作成することができ、それぞれ細かくアクセス先などを設定可能。もちろん、オンプレミス環境から接続させることもOKでインターネット、インターネットVPN、専用線（AWS Direct Connect)
のどれとも接続できる。

アベイラビリティゾーン

リージョンとセットで語られる。AZはリージョンの中にあるデータセンター群を指し、「一つのリージョンは二つ以上のAZで構成され、それぞれの災害などの影響を受けにくい物理的に離れた場所にあるとされている。
一つのVPCの中に複数のAZがある状態になり、これを活用することで冗長構成が可能になる。リージョン内のAZは二つとは限らないのですが、通常２つのAZを利用するケースが多いため、構成図にも二つで記載できる。

サブネット

要するに、ネットワークを分割して、小さなネットワークのこと。AWSの場合、VPC内にサブネットを構成して利用するのが基本で、サブネットごとに基本で、サブネットごとに外部（インターネット）やオンプレミス環境の接続要件を設定できる。サブネットはAZごとに構成する必要があることと、EC2インスタンスはサブネット内に配置する事は覚えておく。

ルートテーブル

サブネットごとに、「どこに接続できるか」設定するもの。これをきちんと設定することで、システムからの通信経路を制御し、安全性を担保できる

セキュリティグループ

インスタンス単位で設定できるファイアウォール。
つまり、どこのインスタンスがどこと通信できるかを制御できるという事。
ルートテーブルと機能がかぶる気がするが、VPC内にサブネットを複数構成した場合、ルートテーブルの設定では、サブネット間の通信は制御できず、サブネット同士の通信は全て許可されてしまう。でも、サブネット間でも「こことここは通信NG」と制御したいケースもあるはず。この制御を実現するのが、セキュリティグループ。
サブネット単位ではなく、インスタンス単位に通信の許可/禁止できるため、より細かな通信制御が可能になる。

インターネットGateway

VPCからインターネットに接続するためのゲートウェイ。これを使う事で、VPC内のシステムがグローバルIPを使えるようになる。

Virtual Private Gateway

インターネットGatewayがインターネットに接続するのに対し、こちらはオンプレミス環境に接続するためのゲートウェイ。自社拠点やデータセンターとVPCを接続する時はこちらをつ使うのだそう。

NAT Gateway

VPC内に構成した「プライベートサブネット」からインターネットに接続するためのゲートウェイ。プライベートサブネット、つまり、インターネットに接続できないサブネットの中に配置しらシステムが、これを経由する事でインターネットに安全に出れるようになる。

AWS Direct Connect

いわゆる『AWSへの専門線的なサービス」。これについては過去のコラムで詳しく解説しているので、

VPC/interfaceエンドポイント

インターネット接続できないサブネットから各種AWSサービスを使うためのアクセスポイント。
ここでいう『AWSサービス』とは、Amazon S３などのVPCの外で使うサービスのこと。Amazon S3などを利用する場合、以前はEC2インスタンスからもインターネット経由で接続する必要があったが、セキュリティの都合上インターネットに接続できないインスタンスも多くあったが、そういう時に、これを使えばOK、ということ。

VPCを複数のAWSアカウントで共有できる「shared VPC」。これまではアカウントをまたがってVPC同士を通信させたい場合、VPCピアリングを利用して１体１でつなぐ方法があったが、
VPCの数が増えれば増えるほど接続数がどんどん増えて煩雑になることが課題。
shared VPCを利用すれば、どちらかのアカウントでVPCを共有するだけでOK。
しかもピアリングでは接続したVPC内が全てアクセス可能だったのも、サブネット単位で制御可能に。
例えば、社内で開発用、本番用など複数のアカウントを使い分け、共有して利用するものを共通アカウントに配置するといった構成が可能になる。
ただし、一部のサービスは対応していないものがあること、また規模が大きくなるとshared VPCがボトルネックになる可能性があるということなので、その辺りは注意が必要。