VPCとは？ VPCの意味

VPCとは？ - Virtual Private Cloud

仮想プライベートクラウド（VPC）とは、一般的にパブリッククラウド内で提供される、分離されたプライベートクラウド環境でございます。貴社はVPCを利用して、アプリのテストや本番運用、データセットの作成・管理、サイトのホスティングなど、従来のプライベートクラウドで行う各種作業を実施できます。

概して、VPCは混雑したパブリッククラウド環境においてデータ通信を隔離する仕組みです。貴社はパブリッククラウドの処理能力の一部を専用領域として確保でき、パブリッククラウドの利便性と柔軟性に加え、プライベートクラウド同様のデータ分離を実現します。

仮想プライベートクラウドの主な特徴

• Availability

冗長なリソースと可用性ゾーンの設計により、貴社のアプリおよびワークロードは高い可用性と耐障害性を備えています。

• Affordability

VPCの利用により、ハードウェア費用や人件費などを含むコスト削減が実現し、パブリッククラウドの経済性を享受できます。

• Security

VPCは論理的に隔離されたネットワークであるため、貴社のデータやアプリはクラウドプロバイダーの他の利用者と混在することはありません。アクセス権限や利用方法を自由に設定できる点も大きな特徴です。

• Agility

仮想ネットワークの規模や必要なクラウドリソースの導入を、貴社のニーズに合わせて柔軟に管理できます。また、これらのリソースは動的かつ即時に拡張可能です。

仮想プライベートクラウドのメリット（一覧）

各VPCの基本的なメリットは、貴社の俊敏性、技術進化、そして迅速な拡大に寄与します。

1. 柔軟な企業拡大：クラウド基盤資源（例：ストレージやコンピュートサービス）の高い拡張性により、貴社は変化する需要に迅速に対応できます。
2. 顧客満足度向上：常時稼働が求められる現代において、ほぼ100%の稼働率が必要です。VPCの高可用性により、信頼性あるオンライン通信が実現し、顧客の信頼とブランド価値向上に寄与します。
3. 全データライフサイクルのリスク低減：VPCはインスタンス単位、サブネット単位、またはその両方で高度なセキュリティを提供します。これにより、安心感を得るとともに顧客の信頼をさらに強固にします。
4. パブリッククラウドは従量課金制で、利用分のみ支払う仕組みです。これにより、貴社はリソースを他の事業発展に振り分けることが可能です。VPC利用時にはハードウェアやソフトウェアのアップグレード費用、サポート費用は不要となり、コスト削減と内部IT部門の負担軽減により、より重要な事業目標に注力できます。

仮想プライベートクラウドの比較:

VPC vs. プライベートクラウド

場合によっては、VPCとプライベートクラウドは同様の目的で用いられるため、大きな違いはありません。しかし、VPCは基本的にパブリッククラウドが提供するサービスです。一方、プライベートクラウドは、貴社が所有・管理する専用のクラウド環境であり、通常は自社内や専用のデータセンターで提供されます。

ただし、VPC内の各利用者のデータや処理は、マルチテナント環境下においても明確に分離され、この分離はクラウド事業者により保証されます。

VPC vs. パブリッククラウド

VPCのシングルテナントの概念を活用することで、パブリッククラウド内に専用の領域を設けることが可能です。これにより、パブリッククラウドの高可用性、柔軟性、経済性を享受しながら、一般的なマルチテナントのパブリッククラウドよりも高いセキュリティが実現されます。

VPCとパブリッククラウドのスケールには明確な方法論が存在します。例えば、VPCでは新規リソースが一定サイズ単位で割り当てられることがありますが、すべてのVPCサービスがパブリッククラウドのすべての機能に対応しているわけではありません。

VPC vs. VPN（Virtual Private Network）

VPNは、データが通過する暗号化された経路を構築することで、パブリックインターネットをあたかもプライベートネットワークのように安全に利用可能にします。貴社のVPCとオンプレミス環境、または他ロケーションとの間に堅牢なサイト間通信を確立するため、VPC上にVPN-as-a-Service（VPNaaS）を構築できます。さらに、異なるVPC内のサブネット同士をVPNで接続することで、同一ネットワーク内に存在するかのように利用できます。

‍

仮想プライベートクラウドのセキュリティ

従来のサーバ上で利用されるアクセス制限用のセキュリティシステムを仮想化することで、VPCは高い信頼性を実現しています。貴社はパブリッククラウド内の限定された領域で仮想ネットワークを構築し、どのIPアドレスがどのサービスにアクセスできるかを管理することが可能です。

VPCのセキュリティ層は、2種類のネットワークアクセス制御で構成されています：

• ‍アクセス制御リスト（ACL）

ACLとは、貴社のVPC内の特定サブネットへのアクセス許可・拒否を管理するルールの集合です。これにより、対象サブネットへアクセスできるIPアドレスやアプリが定義されます。

• ‍セキュリティグループ

セキュリティグループを利用することで、複数サブネットにまたがる資産群に対して一括のアクセスルールを適用できます。例えば、異なるサブネットに存在する3つのアプリをインターネット上で公開する場合、同一のセキュリティグループにまとめることで、あたかも仮想ファイアウォールのようにトラフィックを管理可能です。

VPCの導入

2021年にVPC環境を構築するための、以下の5つの推奨プロセスについてご紹介します。

1. 貴社の要件に適したVPC設計を検討する。VPCの採用前に、堅固な基盤を整えることが重要です。利用ケースに最適な構成を選ぶことで、VPCのメリットを最大限に活用できます。たとえば、AWSはパブリックVPC、プライベートVPC、パブリック接続型VPCなど、複数のオプションを提供しています。
   
   まず、組織全体の具体的な要求事項を洗い出し、最適な選択肢を検討します。次に、関係部署で今後の階層的な要求を予測する必要があります。なお、将来的な成長を見据えたVPC設計の計画が推奨される場合もございます。
   
   最終段階では、選定したVPC設計が企業の課題を解決するかどうか、専門家の意見を参考にすることが望ましいです。
   ‍
2. 戦略を固める。VPC設計が決定した後は、関係者全員で戦略および各成果物の実行期限を設定する必要があります。セキュリティ専門家、アプリ開発者、プロジェクトチームなど、すべての関係者の要件を反映させることが大切です。
   
   組織の定めたニーズを確実に満たすため、プロセスは柔軟かつ迅速に進める必要があります。なお、プロジェクト、部門、または企業全体での導入により求められる結果は大きく異なるため、すべての関係者や取引先に戦略を共有し、意見を反映させることが重要です。
   ‍
3. 大きなアドレスレンジを持つ複数のサブネットにアプリを分散配置する。VPC内は多数の小規模なアドレスレンジに分割されております。これにより、アプリの識別、分離、専用通信空間の確保などが可能となります。
   
   管理を容易にするため、類似のアプリは同一サブネットに配置することが推奨されます。そうすることで、各サブネットに広いアドレスレンジを割り当てることが可能です。また、Googleのようにソフトウェア定義ネットワーキング（SDN）を採用し、グローバルなVPCネットワーク内の各VMへの高度な接続性を実現する手法も存在します。
   
   一部のVPC設計ではサブネットカバーが採用され、サブネット数が管理に影響しなくなる場合もございます。
   なお、Googleの場合、サブネットごとにCloud NAT、仮想IPレンジ、VPCフローログ、Private Google Accessなどのサービス設計がなされているため、詳細な管理が可能となります。
   ‍
4. 外部アクセスを制限する。VPCネットワークの設計時には、ウェブアクセスを含むアクセス制御の設定が不可欠です。利便性とセキュリティのバランスを調整する必要がございます。
   
   例えば、Googleのサービスを利用する際、資産が所属するネットワークとサブネットを選択し、サブネットのアドレスレンジ内で内部IPが割り当てられます。ファイアウォール規則が適用されれば、VPC内の資産は内部IPで相互に通信が可能です。
   
   さらに、多くのGoogleサービスやAPIは、内部プライベートIPを持つ資産に対してPrivate Google Accessを通じてアクセス可能です。インターネットに接続しなくとも主要なGoogleサービスと通信できるため、階層的な設定により外部IPの利用を制限し、必要な資産のみに外部アクセスを許可するのが望ましいです。
   
   なお、外部アクセスの制限が仮想マシンに与える影響を事前に検討することが必要です。これにより、データ漏えいやその他のサイバー攻撃のリスクを低減できる一方で、正当なトラフィックにも影響が及ぶ可能性があります。
   
   Cloud Interconnect、Cloud VPN、またはIdentity-Aware Proxy接続は、パブリックに接続されない基盤へのアクセス確保に利用されます。Cloud NATを使用すると、仮想マシンが必要な通信を開始しながら、公開IPを隠すことが可能です。
   ‍
5. VPCピアリングのネットワークを確認する。プライベートIPを利用して、2つのVPCをピアリング接続できます。VPCピアリングはトンネルやVPN接続とは異なり、専用ハードウェアを必要としないため、非常に効率的な接続手法です。
   
   現行のVPC設計を活用してピアリング接続を構築します。VPCピアリングの主な用途は以下の通りです：

• 相互接続され、プライベートかつ安全なアクセスが求められるアプリケーション。大規模な組織で複数のVPCを運用する際に多く見受けられます。
• 各部門やチームが独自に管理するVPC間で、プライベートにシステムを共有または利用する必要があるケース。大企業では部門ごとに異なるVPCが存在し、それぞれ接続要件が異なります。
• 企業のシステムに対する円滑なアクセスにより、貴社は自社のVPCと主要プロバイダーのものを比較検討することが可能になります。

‍

VPCプロバイダー

以下は代表的な仮想プライベートクラウドの例です：

AWS VPC

現在最も人気のあるVPCオプションの1つがAmazonのものでございます。AWS資産を、論理的に分離され利用者が定義する仮想ネットワークで管理するため、Amazon VPCが用いられます。主な特徴は以下の通りです：

• IPアドレスレンジの選択、サブネット作成、ネットワークゲートウェイやルートテーブルの設定など、仮想ネットワークを包括的に制御できる。
• ほとんどのVPC資産においてIPv4およびIPv6をサポートし、アプリや資産への簡便かつ安全なアクセスを実現する。
• AWSの主要サービスの1つであり、VPCネットワーク設計に柔軟性をもたらす。

評価：地域、規模、構成などがAmazon VPCの価格に影響します。貴社はAWS VPCの価格ページを参照するか、セールスサポートに問い合わせ、正確な見積もりを得るとよいでしょう。

Google Cloud VPC

企業向けの信頼性の高いVPCソリューションとして、Google Cloud VPCがございます。Googleは市場において明瞭で競争力のある選択肢を提供するとともに、VPCトラフィックの管理面でも優れた機能を発揮します。主な特徴は以下の通りです：

• プロジェクト内のネットワーク分割、共有プライベートIP空間の維持、ボリューム配分と課金体系、共通サービスへのアクセス管理を考慮している。
• 複数のリージョンを1つのVPCでカバーでき、パブリッククラウドからのVPN接続が不要である。
• 1つのVPCを用いることで、オンプレミス資産と各ロケーションのVPC間の接続を、あたかもオンプレミスネットワークのように実現できる。

評価：トラフィックの種類、リージョン、仮想マシンの使用状況などに応じ、Google VPCの価格は階層별に異なります。正確な見積もりを得るには、Google VPCの価格ページを参照するか、セールスチームに問い合わせるとよいでしょう。

Azure VPC

Azureでプライベートネットワークを構築する基本要素であるVNetは、従来のデータセンターでの企業ネットワークと類似した機能に加え、Azureならではの可用性、柔軟性、セキュリティ、分離性などのインフラメリットを提供します。主な特徴は以下の通りです：

• インターネット経由やオンプレミスとの間で、Azureの各種資産（例：Azure VM）間の安全なデータ転送を可能にする。
• ネットワークトラフィックのフィルタリングとルーティングをサポートする。
• Azureサービスとの基本的な接続性を提供する。

評価：地域、ゾーン、貴社の属性（公的または民間の米国政府機関など）や料金といった複数の要因が、Azure VNetの価格に影響します。貴社は無料トライアルを申込み、またはAzure VNetの価格ページを確認するかセールスサポートに問い合わせ、正確な見積もりを取得するとよいでしょう。