第3回：ネットワーク設計の基本（VPCってなに？）

クラウドインフラを構築する際、仮想マシンやストレージ以上に重要なのが「ネットワーク設計」です。

クラウドでは、オンプレミスで当たり前だった「L2スイッチ」や「ルータ」の概念を抽象化し、「仮想ネットワーク（VPC：Virtual Private Cloud）」を使って構成します。

本記事では、AWS・GCP・Azureに共通するネットワーク構成の基本と、各サービスごとの特徴を解説します。

VPCとは？

VPC（Virtual Private Cloud）は、クラウド上に独立したネットワーク空間を仮想的に作成できる機能です。

物理的なネットワークは意識せず、IPアドレス空間・ルーティング・ファイアウォールなどを論理的に定義できます。

VPCの基本構造（共通要素）

要素	説明
CIDRブロック	VPCのIPアドレス範囲（例：10.0.0.0/16）
サブネット	VPC内をさらに細分化したネットワークセグメント
ルートテーブル	サブネットごとの通信経路を定義
インターネットゲートウェイ（IGW）	VPCとインターネットを接続するための出入口
NATゲートウェイ	プライベートサブネットからの外部通信を可能にする（逆は不可）
セキュリティグループ	VM単位のインバウンド/アウトバウンド制御
ネットワークACL	サブネット単位のステートレスな通信制御

各クラウドのVPC相当サービス比較

機能	AWS	GCP	Azure
仮想ネットワーク名	VPC	VPC Network	Virtual Network
サブネット管理	明示的に作成	リージョン＋ゾーンで自動適用も可	サブネット単位で細かく設定可
デフォルトVPC	あり（初回作成時）	あり（全リージョンに自動作成）	あり（仮想ネットワーク自動作成）
ルーティング制御	ルートテーブル	ルーティングルール	ルートテーブル（UDR）
セキュリティ制御	セキュリティグループ + ACL	ファイアウォールルール（タグベース）	NSG（Network Security Group）

4. パブリック・プライベートサブネットの使い分け

パブリックサブネットとは？

• インターネットゲートウェイ経由でインターネット通信が可能
• 例：Webサーバ、VPNゲートウェイなど

プライベートサブネットとは？

• インターネットからの直接アクセス不可
• NATゲートウェイを使ってアウトバウンド通信は可能
• 例：DBサーバ、バッチ用サーバなど

5. 各クラウドにおけるVPC設計の流れ（概要）

AWSの場合

1. VPC作成（CIDR指定）
2. サブネット作成（AZ単位）
3. IGW・NATのアタッチ
4. ルートテーブルと関連付け
5. セキュリティグループ設定

GCPの場合

1. VPCネットワーク作成
2. サブネット作成（リージョン単位）
3. ファイアウォールルール作成
4. 外部IPの付与 or Cloud NAT設定

Azureの場合

1. 仮想ネットワーク作成
2. サブネット作成
3. NSG（ファイアウォール）をアタッチ
4. パブリックIP割り当て or NAT Gateway設定

補足：L2スイッチは存在しない？

クラウドではL2のブロードキャストやARPは抽象化されており、利用者が意識する必要はありません。

代わりに、各VMには仮想NICが割り当てられ、ルーティングやファイアウォール設定により接続性を定義します。

通信制御の違い（セキュリティ構成の視点）

観点	AWS	GCP	Azure
VM単位制御	セキュリティグループ（状態あり）	ファイアウォールルール（状態あり）	NSG（状態あり）
サブネット単位制御	ACL（状態なし）	不可（すべて状態あり）	NSG（サブネットにも適用可能）
デフォルト許可	なし（明示許可が必要）	明示許可	明示許可

おわりに：ネットワークの設計がクラウドの安定稼働を決める

仮想ネットワーク（VPC）は、クラウドのセキュリティと可用性を根本から支える基盤です。

構成が複雑に見えても、1つ1つの概念はオンプレミスに近いため、慣れれば設計の自由度はむしろ高くなります。

次回は、「アクセス制御」と「認証管理」に焦点を当てたIAM（Identity and Access Management）について解説します。