一般的な質問

Q: Amazon Virtual Private Cloud とは何ですか?

Amazon VPC では、アマゾン ウェブ サービス (AWS) クラウド内で論理的に分離したセクションをプロビジョニングし、お客様が定義する仮想ネットワークで AWS リソースを起動できます。独自の IP アドレス範囲の選択、サブネットの作成、ルートテーブルやネットワークゲートウェイの設定など、仮想ネットワーキング環境を完全に制御できます。また、会社のデータセンターと自分の VPC 間にハードウェア仮想プライベートネットワーク (VPN) 接続を作成できるので、AWS クラウドを会社の既存のデータセンターの延長として活用できます。

Amazon VPC のネットワーク設定は容易にカスタマイズすることができます。例えば、インターネットへのアクセスがあるウェブサーバーのパブリック サブネットを作成し、データベースやアプリケーションサーバーなどのバックエンドシステムをインターネットへのアクセスがないプライベート サブネットに配置できます。セキュリティグループやネットワークアクセスコントロールリストなどの複数のセキュリティレイヤーを活用し、各サブネットの Amazon EC2 インスタンスへのアクセスをコントロールすることができます。

Q: Amazon VPC のコンポーネントにはどんなものがありますか?

Amazon VPC は、すでにご自身でネットワークを管理されているお客様にとって理解しやすいオブジェクト群で構成されています。

  • Virtual Private Cloud: AWS クラウド内の、論理的に分離した仮想ネットワーク。VPC の IP アドレス空間を選択した範囲で定義できます。
  • サブネット: 分離したリソースグループを格納する場所を指定する VPC の IP アドレス範囲です。
  • インターネットゲートウェイ: Amazon VPC とパブリックインターネットを接続するためのゲートウェイです。
  • NAT ゲートウェイ: 高い可用性を持つマネージド型のネットワークアドレス変換 (NAT) サービスで、プライベートサブネットにあるリソースからインターネットへの接続に利用します。
  • ハードウェア VPN 接続: Amazon VPC とデータセンター、ホームネットワーク、またはコロケーション施設をつなぐハードウェアベースの VPN 接続です。
  • 仮想プライベートゲートウェイ: VPN 接続の Amazon VPC 側です。
  • カスタマーゲートウェイ: 顧客側の VPN 接続先です。
  • ルーター: ルーターは、サブネットを相互接続し、インターネットゲートウェイ、仮想プライベートゲートウェイ、NAT ゲートウェイ、およびサブネットの間でトラフィックを正しい宛先に送ります。
  • ピアリング接続: ピアリング接続を使用すると、2 つのピア VPC 間のトラフィックをプライベート IP アドレス経由でルーティングできます。
  • VPC エンドポイント: AWS 内でホストされたプライベートな接続をお客様の VPC 内から可能にし、インターネットゲートウェイ、VPN、ネットワークアドレス変換 (NAT) デバイス、またはファイアウォールプロキシは使用しません。
  • 送出専用インターネットゲートウェイ: VPC からインターネットへの IPv6 に送出専用のアクセスを提供するステートフルゲートウェイ。
 
Q: Amazon VPC を使用する利点は何ですか?
 
Amazon VPC により、AWS クラウド内に仮想ネットワークを構築することができます。VPN やハードウェア、または物理的なデータセンターは不要です。独自のネットワーク空間を定義し、そしてネットワーク、およびネットワーク内の Amazon EC2 リソースをどのようにインターネットに公開するかをコントロールすることができます。また、Amazon VPC の大幅に強化されたセキュリティオプションを利用し、仮想ネットワーク内の Amazon EC2 インスタンスへの、および Amazon EC2 インスタンスからのより細やかなアクセスコントロールが可能です。
 
Q: どうすれば Amazon VPC の使用を開始できますか?
 
お客様の AWS リソースはすぐに利用できるデフォルトの VPC 内へ自動的にプロビジョニングされます。追加の VPC を作成するには、AWS マネジメントコンソールの Amazon VPC ページで [Start VPC Wizard] を選択します。
 
そうすると、ネットワークアーキテクチャの 4 つの基本オプションが表示されます。オプションを選択したら、VPC とそのサブネットのサイズと IP アドレスの範囲を変更することができます。ハードウェア VPN アクセスのオプションを選択した場合は、ネットワーク上の VPN ハードウェアの IP アドレスを指定する必要があります。VPC に変更を加えて、セカンダリ IP アドレス範囲やゲートウェイを追加/削除することもできますし、IP 範囲にサブネットを追加することもできます。
 
以下がその 4 つのオプションです:
 
  1. 1 つのパブリックサブネットのみを持つ VPC
  2. パブリックとプライベート サブネットを持つ VPC
  3. パブリックとプライベート サブネットおよびハードウェア VPN アクセスを持つ VPC
  4. 1つのプライベート サブネットのみ、およびハードウェア VPN アクセスを持つ VPC
 
Q: Amazon VPC で利用できる VPC エンドポイントには、どのような種類がありますか?
 
VPC エンドポイントにより、インターネットゲートウェイ、NAT デバイス、ファイアウォールプロキシを使うことなく、VPC から AWS 上でホストされたサービスへのプライベート接続が可能になります。エンドポイントは水平方向にスケーラブルで可用性の高い仮想デバイスで、VPC 内のインスタンスと AWS のサービス間の通信を可能にします。Amazon VPC には、ゲートウェイタイプとインターフェイスタイプという 2 種類のエンドポイントが用意されています。
 
ゲートウェイタイプエンドポイントは AWS サービスに対してのみ利用でき、S3、DynamoDB などがあります。このタイプのエンドポイントでは、選択したルートテーブルにエントリが追加され、トラフィックが Amazon のプライベートネットワークを経由してサポート対象のサービスにルーティングされます。
 
インターフェイスタイプのエンドポイントは PrivateLink を用いたサービスにプライベートに接続でき、AWS サービスですので、お客様自身のサービスや SaaS ソリューションに、Direct Connect 上での接続をサポートします。将来はより多くの AWS、SaaS ソリューションがこれらのエンドポイントでサポートされるようになります。インターフェイスタイプのエンドポイントの料金については、VPC の料金を参照してください。
 

請求

Q: Amazon VPC を利用すると、どのように課金および請求されますか?

VPC 自体の作成・使用には追加料金はかかりません。Amazon EC2 などの他のアマゾン ウェブ サービスの利用料金が、データ転送料金を含めこれらのリソースに指定レートで適用されます。お客様の VPC を貴社のデータセンターに接続するために、ハードウェア VPN 接続 (オプションのサービス) を使用する場合、ご利用料金は VPN 接続時間 (VPN 接続が「利用可能」状態である時間の長さ) 単位となります。1 時間未満の消費時間は、1 時間分として請求されます。VPN 接続経由で転送されたデータは、標準の AWS データ転送料金で課金されます。VPC-VPN の料金情報については、Amazon VPC 製品ページ料金セクションをご覧ください。

Q: 課金対象となる VPN 接続時間はどのように定義されますか?

VPN 接続時間によるご請求は、VPN 接続が "利用可能" 状態であった時間に対して発生します。VPN 接続の状態を調べるには、AWS マネジメントコンソール、CLI、または API を使用します。VPN 接続を使う必要がなくなった場合は、VPN 接続を終了すれば、それ以上 VPN 接続時間として請求されることはありません。

Q: VPC 内の Amazon EC2 インスタンスから Amazon S3 など、AWS のその他のサービスを利用した場合はどのように課金されるのですか?

Amazon EC2 など、他のアマゾン ウェブ サービスの利用料金も、これらのリソースの発行料金として適用されます。VPC インターネットゲートウェイを介して Amazon S3 のようなアマゾン ウェブ サービスへアクセスする場合は、データ転送料は発生しません。

VPN 接続を介して AWS リソースにアクセスする場合は、インターネットデータ転送料金が発生します。

Q: 料金は税込み価格ですか?

別途記載がない限り、表示される料金には VAT、売上税、その他取引に対して適用される一切の税金等および関税は含まれません。日本の居住者であるお客様が AWS サービスをご利用になった場合には、料金とあわせて別途消費税をご請求させていただきます。詳細はこちらをご覧ください。

接続

Q: VPC の接続に関してはどのようなオプションがありますか?

VPC は以下に接続することができます。

  • インターネット (インターネットゲートウェイ経由)
  • ハードウェア VPN 接続を使用する、お客様の自社データセンター (仮想プライベートゲートウェイ経由)
  • インターネットとお客様の自社データセンターの両方 (インターネットゲートウェイと仮想プライベートゲートウェイの両方を利用)
  • (インターネットゲートウェイ、NAT、仮想プライベートゲートウェイ、VPC エンドポイント経由での) その他の AWS のサービス
  • その他の VPC (VPC ピアリング接続経由)
 
Q: VPC はどのようにインターネットへ接続するのですか?
 
Amazon VPC はインターネットゲートウェイの作成をサポートしています。このゲートウェイにより、VPC 内の Amazon EC2 インスタンスは直接インターネットにアクセスすることができます。
 
 
Q: インターネットゲートウェイに帯域幅制限はありますか? 可用性を気にする必要がありますか? これは単一の障害点になる恐れがありますか?
 
いいえ。インターネットゲートウェイは水平にスケーリングされるため、冗長性と高可用性を達成できます。帯域幅制限はありません。
 
Q: VPC のインスタンスはどのようにインターネットにアクセスしますか?
 
VPC 内のインスタンスは、Elastic IP アドレス (EIP) などのパブリック IP アドレスを使って、直接インターネットへ発信することも、インターネットからのトラフィックを受信 (例えば、ウェブサーバー) することもできます。次の質問に対する回答も参考になるでしょう。
 
Q: パブリック IP アドレスがないインスタンスが、インターネットにアクセスするにはどうすればよいですか
 
パブリック IP アドレスがないインスタンスは、2 つの方法のうちのいずれかでインターネットにアクセスすることができます。
 
  1. パブリック IP アドレスがないインスタンスは、NAT ゲートウェイや NAT インスタンスを通してトラフィックをルーティングし、インターネットにアクセスできます。こういったインスタンスは、NAT ゲートウェイや NAT インスタンスのパブリック IP アドレスを使って、インターネットに接続します。NAT ゲートウェイや NAT インスタンスは外向きの通信を許可しますが、インターネットのマシンがプライベートにアドレスを付与されたインスタンスへの接続を開始することは許可しません。
  2. ハードウェア VPN 接続や Direct Connect 接続を使用する VPC の場合、インスタンスからのインターネットトラフィックは、仮想プライベートゲートウェイ経由でお客様の既存のデータセンターにルーティングできます。そこから(必要があれば)既存のネットワークセキュリティ/モニタリングデバイスを経由してインターネットにアクセスすることができます。
 
Q: ソフトウェア VPN を使用して自分の VPC に接続できますか?
 
はい。サードパーティ製のソフトウェア VPN を使用して、インターネットゲートウェイを介する VPC により、サイトからサイトのまたはリモートアクセスの VPN 接続を作成できます。
 
Q: ハードウェア VPN 接続は、Amazon VPC とどのように連携しますか?
 
ハードウェア VPN 接続は、VPC をお客様のデータセンターへ接続します。Amazon は、インターネットプロトコル セキュリティ(IPsec: Internet Protocol security) VPN 接続をサポートしています。VPC とデータセンター間を転送されるデータは、転送中データの機密性と整合性を維持するために、暗号化された VPN 接続を介してルーティングします。インターネットゲートウェイが、ハードウェア VPN 接続を確立する必要はありません。
 
Q: IPsec とは何ですか?
IPsec は、データストリームの各 IP パケットを認証して暗号化することによって、安全に通信を行うためのプロトコルです。
 
Q: Amazon VPC に接続するために、どのようなカスタマーゲートウェイ装置を使用することができますか
 
作成できる VPN 接続のタイプは 2 つあります。1 つは静的ルーティングを使用する VPN 接続、もう 1 つは動的ルーティングを使用する VPN 接続です。静的ルーティングを使用する VPN 接続をサポートするカスタマーゲートウェイ装置は、次の機能を備えている必要があります。
 
  • Pre-shared キーを使用して、IKE セキュリティ接続を確立する
  • トンネルモードで、IPsec セキュリティ接続を確立する
  • AES 128 ビットまたは 256 ビットの暗号化機能を使用する
  • SHA-1 または SHA-2 (256) のハッシュ機能を使用する
  • 「グループ 2」モード、または AWS がサポートする追加の DH グループの 1 つで Diffie-Hellman (DH) Perfect Forward Secrecy を使用する
  • 暗号化の前にパケットの断片化を実行する
 
動的ルーティングを使用する VPN 接続をサポートする装置は、上記の機能に加えて、次の機能も備えている必要があります。
 
  • Border Gateway Protocol(BGP)ピア接続を確立する
  • トンネルを論理インターフェイス(ルートベースの VPN)にバインドする
  • IPsec Dead Peer Detection の利用
 
Q: どの Diffie-Hellman グループがサポートされていますか?
 
以下のフェーズ 1 およびフェーズ 2 の Diffie-Hellman (DH) グループをサポートしています。
 
  • フェーズ 1 DH グループ 2、14~18、22、23、24
  • フェーズ 2 DH グループ 2、5、14~18、22、23、24
 
Q: Amazon VPC で機能することが知られているカスタマーゲートウェイデバイスにはどのようなものがありますか?
 
前述の要件を満たす以下のデバイスは、ハードウェア VPN 接続で動作することが知られており、お客様のデバイスに適切な設定ファイルを自動生成するコマンドラインツールをサポートしています。
 
これらのサンプル設定は AES128、SHA1、DH グループ 2 の最低要件に向けたものであることに注意してください。AES256、SHA256、他の DH グループを活用するためには、これらのサンプル設定ファイルを修正する必要があります。
 
Q:私のデバイスが対応リストにない場合、これを Amazon VPC で使用するための詳細な情報はどこで入手できますか?
 
他のお客様がすでにお客様のデバイスと同じものを使用している可能性があるため、 Amazon VPC フォーラムをご確認いただくことをお勧めしています。
 
Q: VPN 接続の最大スループットはどれくらいですか?

VGW では、IPSEC VPN スループットを最大 1.25 Gbps までサポートしています。同一の VPC に対して VPN 接続が複数ある場合は、VGW スループットは累積で 1.25 Gbps に制限されます。
 

Q: VPN 接続のスループットに影響を与える要因は何ですか?

VPN 接続のスループットは、カスタマーゲートウェイ (CGW) の能力、接続容量、平均パケットサイズ、使用されているプロトコル (TCP または UDP)、CGW と仮想プライベートゲートウェイ (VGW) の間のネットワークレイテンシーなど、複数の要因によって変わります。

 
Q: ハードウェア VPN 設定のトラブルシューティングに役立つどのようなツールが利用可能ですか?
 
DescribeVPNConnection API には、どちらかのトンネルが「ダウン」の場合、各 VPN トンネルの状態 (「アップ」/「ダウン」) や対応するエラーメッセージなど、VPN 接続ステータスが表示されます。この情報は AWS マネジメントコンソールにも表示されます。
 
Q: VPC を企業のデータセンターとどのように接続するのですか?
 
お客様の既存のネットワークと Amazon VPC の間にハードウェア VPN 接続を確立することによって、あたかもそれらがお客様の既存のネットワーク内にあるかのように、VPC 内にある Amazon EC2 インスタンスと通信を行うことができます。AWS は、ハードウェア VPN 接続を経由してアクセスされる VPC 内にある Amazon EC2 インスタンスとの通信では、 ネットワークアドレス変換 (NAT) を実行しません。
 
Q: ルーターまたはファイアウォールの背後で CGW に対して NAT を有効にできますか?
 
はい。NAT-T を有効にし、NAT デバイスで UDP ポート 4500 を開く必要があります。
 
Q: CGW アドレスにはどの IP アドレスを使用しますか?

NAT デバイスのパブリック IP アドレスを使用します。

Q: 接続で NAT-T を無効にするにはどうすればよいですか?

デバイスで NAT-T を無効にする必要があります。NAT-T を使用する予定がなく、デバイスで無効にされていない場合は、AWS が UDP ポート 4500 を介したトンネルの確立を試行します。このポートが開いていない場合トンネルは確立されません。

Q: NAT の背後で複数の CGW を持つように設定するには何をする必要がありますか?

各接続の CGW に対して NAT デバイスのパブリック IP アドレスを使用します。また、UDP ポート 4500 を開く必要があります。

Q: トンネルにつき同時に確立できる IPsec Security Association は何個ですか?

AWS VPN サービスはルートベースのソリューションであるため、ルートベースの設定で SA の上限数が問題になることはありません。ただし、ポリシーベースのソリューションでは、サービスがルートベースのソリューションとなるため、単一の SA に制限する必要があります。

 

IP アドレス関連

Q: VPC 内では、どのような IP アドレス範囲を使用できますか?

RFC 1918 や、パブリックにルーティング可能なプライマリ CIDR ブロックの IP アドレス範囲など、任意の IPv4 アドレス範囲を使用できます。セカンダリ CIDR ブロックには、一定の制限が適用されます。パブリックにルーティング可能な IP ブロックには、仮想プライベートゲートウェイ経由でのみ到達可能であり、インターネットゲートウェイを通してインターネット経由でアクセスすることはできません。AWS 側では、お客様所有の IP アドレスブロックをインターネット上でアドバタイズしません。Amazon の提供した IPv6 CIDR ブロックは、関連 API の呼び出しまたは AWS マネジメントコンソールによって VPC に割り当てることができます。

Q: VPC に IP アドレス範囲を割り当てるにはどうすればよいですか?

VPC を作成する際に、1 つの Classless Internet Domain Routing (CIDR) IP アドレス範囲をプライマリ CIDR ブロックとして割り当てます。VPC の作成後は、最大 4 つまでのセカンダリ CIDR ブロックを追加できます。VPC 内のサブネットは、これらの CIDR 範囲から指定してください。IP アドレスの範囲が重複する複数の VPC を作成することができる一方で、そうすることにより、これらの VPC をハードウェア VPN 接続を介して同じホームネットワークへ接続することができなくなることにご注意ください。この理由から、当社は IP アドレス範囲を重複させないことをお勧めしています。Amazon 提供の CIDR ブロックを VPC に割り当てることができます。

Q: デフォルトの VPC にはどの IP アドレス範囲が割り当てられるのですか?

デフォルトの VPC は CIDR 範囲 172.31.0.0/16 に割り当てられます。デフォルト VPC 内のデフォルトサブネットは、その VPC の CIDR 範囲内の /20 ネットブロックに割り当てられます。 

Q: VPC パブリック IP アドレス範囲をインターネットへ公開できますか? またトラフィックがハードウェア VPN を経由して、データセンターを通って自分の VPC に到達するようにルーティングできますか?

はい。ハードウェア VPN 接続経由でトラフィックのルーティングを行って、お客様のホームネットワークからアドレス範囲を公開することができます。

Q: どれくらい大きな規模の VPC を作成できますか?

現在、Amazon VPC では 5 つの IP アドレス範囲 (IPv4 の 1 つのプライマリと 4 つのセカンダリ) がサポートされています。これらの各範囲のサイズは、CIDR 表記で /28~/16 となります。VPC の IP アドレス範囲と既存ネットワークの IP アドレス範囲を重複させることはできません。

IPv6 の場合、VPC のサイズは/56 (CIDR 表記法) に固定されています。IPv4 と IPv6 両方の CIDR ブロックを同じ VPC に関連付けることができます。

Q: VPC のサイズを変更できますか?

はい。既存の VPC を拡張するには、4 つのセカンダリ IPv4 IP 範囲 (CIDR) を VPC に追加します。VPC を縮小するには、VPC に追加したセカンダリ CIDR ブロックを削除します。ただし、VPC の IPv6 アドレス範囲のサイズは変更できません。

Q: VPC ごとに、いくつのサブネットを作成できますか?

現在、VPC ごとに 200 のサブネットを作成できます。さらに作成する場合は、サポートセンターにケースを送信します

Q: サブネットの規模に下限または上限はありますか?

サブネットの最小サイズは/28 (または 14 個の IP アドレス、IPv4 の場合)。サブネットを、それらが作成された VPC より大きくすることはできません。

IPv6 の場合、サブネットのサイズは/64 に固定されています。サブネットに割り当て可能なのは IPv6 CIDR ブロック 1 つのみです。

Q: サブネットに割り当てる IP アドレスをすべて使用できますか?

いいえ。各サブネットにおいて、Amazon が先頭の4 IP アドレスを確保し、最後の1 IP アドレスは、IP ネットワーキングの目的で確保されます。 

Q: VPC 内で Amazon EC2 インスタンスにプライベート IP アドレスを割り当てるにはどうすればよいですか?

VPC 内で Amazon EC2 インスタンスを起動する際に、インスタンスのプライマリプライベート IP アドレスをオプションで指定できます。プライマリプライベート IP アドレスを指定しない場合は、お客様が指定したサブネットの IP アドレス範囲から AWS が自動的にアドレスを割り当てます。セカンダリプライベート IP アドレスは、インスタンスを起動する際、Elastic Network Interface を作成する際、またはインスタンス起動後やインターフェイス作成後に割り当てることができます。

Q: VPC で実行中または停止中の Amazon EC2 インスタンスのプライベート IP アドレスを変更できますか?

プライマリプライベート IP アドレスは、インスタンスまたはインターフェイスが存在する限り保持されます。セカンダリプライベート IP アドレスはいつでも、割り当て、割り当て解除、またはインターフェイスやインスタンスの間で移動可能です。

Q: Amazon EC2 インスタンスを VPC で停止した場合に、同じ VPC で同じ IP アドレスを持つ別のインスタンスを起動できますか?

いいえ。実行中のインスタンスに割り当てられている IP アドレスは、実行中のインスタンスが「終了」状態になってから別のインスタンスでのみ再利用できます。

Q: 複数のインスタンスに同時に IP アドレスを割り当てることはできますか?

いいえ。インスタンスを起動する時は、1つのインスタンスに対してのみ IP アドレスを指定できます。

Q: インスタンスに任意の IP アドレスを割り当てることはできますか?

インスタンスが以下の条件を満たしていれば、どのような IP アドレスでも割り当てることができます。

  • サブネットの IP アドレス範囲の一部である
  • IP ネットワーク用に Amazon がリザーブしていない
  • 別のインターフェイスに割り当てられていない

Q: インスタンスに複数の IP アドレスを割り当てることはできますか?

はい。Amazon VPC の Elastic Network Interface や EC2 インスタンスに、1 つまたは複数のセカンダリプライベート IP アドレスを割り当てることができます。割り当て可能なセカンダリプライベート IP アドレスの数は、インスタンスタイプにより異なります。インスタンスタイプごとの割り当て可能なセカンダリプライベート IP アドレスの数については、EC2 ユーザーガイドを参照してください。

Q: Elastic IP (EIP) アドレスを、VPC ベースの Amazon EC2 インスタンスに割り当てることはできますか?

はい。しかし、EIP アドレスはインターネットからのみアクセスできます (VPN 接続ではできません)。EIP アドレスはそれぞれ、インスタンスの一意のプライベート IP アドレスに関連付けられる必要があります。EIP アドレスは、インターネットゲートウェイに直接トラフィックをルーティングするように構成されたサブネット内のインスタンスでのみ使用する必要があります。NAT ゲートウェイまたは NAT インスタンスを使用してインターネットにアクセスするよう設定されたサブネット内にあるインスタンスでは、EIP を使用できません。これは IPv4 にのみ適用されます。現時点で、Amazon VPC で IPv6 の EIP はサポートされていません。

ルーティングとトポロジー

Q: Amazon VPC ルーターは何をするのですか?

Amazon VPC ルーターを使用すれば、サブネット内にある Amazon EC2 インスタンスが、同一の VPC 内にある別のサブネットの Amazon EC2 インスタンスと通信することが可能となります。また、VPC ルーターを通して、サブネット、インターネットゲートウェイ、仮想プライベートゲートウェイが相互に通信します。ネットワーク利用のデータをルーターから入手することはできません。しかし、ネットワーク利用統計データは、Amazon CloudWatch を使用してお客様のインスタンスから取得することができます。

Q: VPC のルートテーブルを変更することはできますか?

はい。ルーティングルールを作成して、どのサブネットがインターネットゲートウェイ、仮想プライベートゲートウェイ、または他のインスタンスにルーティングされるかを指定できます。

Q: どのサブネットがどのゲートウェイを使用するかをデフォルトとして指定することは可能ですか?

はい。各サブネットごとにデフォルトルートを作成することができます。このデフォルトルートによって、VPC から出るトラフィックをインターネットゲートウェイ、仮想プライベートゲートウェイ、または NAT ゲートウェイ経由で送信できます。

Q: Amazon VPC は、マルチキャストまたはブロードキャストをサポートしますか?

いいえ。

セキュリティとフィルタリング

Q: 私の VPC 内で稼働している Amazon EC2 インスタンスをどのように保護すればよいでしょうか?

Amazon EC2 セキュリティグループを、Amazon VPC 内のセキュリティで保護されたインスタンスをよりセキュアにするために使用することができます。VPC 内のセキュリティグループにより、各 Amazon EC2 インスタンスにおける着信および発信両方のネットワークトラフィックを指定することができます。明示的に許可されていないトラフィックは自動的に拒否されます。

セキュリティグループに加えて、各サブネットに出入りするネットワークトラフィックは、ネットワークアクセスコントロールリスト (ACL) を使用して許可または拒否することができます。

Q: VPC 内のセキュリティグループと VPC 内のネットワーク ACL では何が違うのですか?

VPC 内のセキュリティグループは、どのトラフィックが Amazon EC2 インスタンスへ、または Amazon EC2 インスタンスから許可されるかを指定します。ネットワーク ACL は、サブネットレベルで動作し、サブネットへ出入りするトラフィックを検証します。ネットワーク ACL は、許可ルールと拒否ルールの両方を設定するのに使用することができます。ネットワーク ACL は、同じサブネット内のインスタンス間のトラフィックをフィルタリングしません。加えて、ネットワーク ACL はステートレス フィルタリングを実行する一方、セキュリティグループはステートフル フィルタリングを実行します。

Q: ステートフルフィルタリングとステートレスフィルタリングにはどのような違いがありますか?

ステートフルフィルタリングでは、リクエスト元を追跡し、リクエストに対する応答が自動的に元のコンピュータに戻るようにできます。例えば、ウェブサーバーで tcp ポート 80 の着信トラフィックを許可するステートフルフィルタでは、通常、さらに若い番号のポート (例: 送信先 tcp ポート 63) でクライアントとウェブサーバー間のステートフルフィルタを通過するリターントラフィックが許可されます。フィルタリングデバイスでは、送信元ならびに送信先ポート番号と IP アドレスを追跡するステートテーブルが維持されます。フィルタリングデバイスで必要とされるルールは、tcp ポート 80 でウェブサーバーへの着信トラフィックを許可することのみです。

一方ステートレスフィルタリングは、トラフィックが新しいリクエストであるか、またはリクエストへの応答であるかにかかわりなく、送信元または送信先 IP アドレスおよび送信先ポートのみを確認します。上記の例ではフィルタリングデバイスに、tcp ポート 80 でウェブサーバーへの着信トラフィックを許可するルールと、ウェブサーバーからの発信トラフィックを許可するルール (tcp ポート範囲 49、152 から 65、535) の、2 つのルールを実装する必要があります。

Q: Amazon VPC 内で、Amazon EC2 内のインスタンスのために作成された SSH キーペアを使用できますか? またはその逆が可能ですか?

はい。

Q: VPC 内の Amazon EC2 インスタンスは、VPC 内にない Amazon EC2 インスタンスと通信を行えますか?

はい。インターネットゲートウェイが設定されている場合は、VPC 内にない Amazon EC2 インスタンス宛ての Amazon VPC 内からのトラフィックは、インターネットゲートウェイを通過して、パブリック AWS ネットワークに入り EC2 インスタンスへ到達します。インターネットゲートウェイが設定されていない場合や、インスタンスが属するサブネットが仮想プライベートゲートウェイを介してルーティングするように設定されている場合は、トラフィックは VPN 接続を通過し、お客様のデータセンターから出て、パブリックの AWS ネットワークに再び入ります。

Q: 1 つのリージョンの VPC 内にある Amazon EC2 インスタンスは、別のリージョンの VPC 内にある Amazon EC2 インスタンスと通信できますか?

はい。あるリージョンのインスタンスは、インターリージョン VPC ピアリング、パブリック IP アドレス、NAT ゲートウェイ、NAT インスタンス、VPN 接続、または Direct Connect 接続を使用して相互に通信できます。

Q: VPC 内の Amazon EC2 インスタンスは Amazon S3 と通信できますか?

はい。VPC 内のリソースと Amazon S3 が通信するためしようできる複数のオプションがあります。S3 用 VPC エンドポイントを使うと、すべてのトラフィックが確実に Amazon のネットワーク内に残り、Amazon S3 トラフィックに他のアクセスポリシーを適用できます。インターネットゲートウェイを使うと、VPC からのインターネットアクセスが可能となり、VPC のインスタンスと Amazon S3 の通信が可能となります。また、Amazon S3 へのすべてのトラフィックが Direct Connect または VPN 接続を通過し、データセンターを出てから再びパブリック AWS ネットワークに入るようにできます。

Q: サブネットを内部接続するルーターまたはデフォルトゲートウェイに ping を打てないのはなぜですか?

VPC 内のルーターへの Ping (ICMP エコー要求とエコー応答) リクエストはサポートされていません。VPC 内の Amazon EC2 インスタンス間の Ping は、オペレーティングシステムのファイアウォール、VPC セキュリティグループ、およびネットワーク ACL がこのようなトラフィックを許可する場合に限りサポートされます。

Q. VPC のネットワークトラフィックを監視することはできますか?

はい。Amazon VPC フローログ機能を使用すれば、VPC のネットワークトラフィックを監視できます。

Amazon VPC と EC2

Q: どの Amazon EC2 リージョンで、Amazon VPC を利用できますか?

Amazon VPC は現在、すべての Amazon EC2 リージョンにおいて、複数のアベイラビリティーゾーンでご利用になれます。

Q: 1 つの VPC を複数のアベイラビリティーゾーンで利用できますか?

はい。 

Q: 1 つのサブネットを複数のアベイラビリティーゾーンで利用できますか?

いいえ。サブネットは、単一のアベイラビリティーゾーン内に存在している必要があります。

Q: Amazon EC2 インスタンスを起動するアベイラビリティーゾーンをどのように指定するのですか?

Amazon EC2 インスタンスを起動する際には、インスタンスを起動するサブネットを指定する必要があります。インスタンスは、指定されたサブネットに関連付けられているアベイラビリティーゾーンで起動します。

Q: 自分のサブネットがどのアベイラビリティーゾーンにあるのかをどのように判断するのですか?

サブネットを作成する際には、サブネットを配置するアベイラビリティーゾーンを指定する必要があります。VPC ウィザードを使用する場合は、ウィザードの確認画面でサブネットのアベイラビリティーゾーンを選択します。API または CLI を使用する場合は、サブネットを作成する際にサブネットのアベイラビリティーゾーンを指定します。アベイラビリティーゾーンを指定しないと、デフォルトの「プレファレンスなし」のオプションが選択され、サブネットはリージョン内の利用可能なアベイラビリティーゾーンで作成されることになります。

Q: 異なるサブネット内のインスタンス間のネットワーク帯域幅に対しては請求が発生しますか?

インスタンスが異なるアベイラビリティーゾーン内のサブネットにある場合は、お客様にはデータ転送料として 1 GB あたり 0.01 USD が請求されます。

Q: DescribeInstances() を呼び出す場合、EC2-Classic および EC2-VPC 内のインスタンスを含め、Amazon EC2 インスタンスをすべて閲覧できますか?

はい。DescribeInstances() は、実行中のすべての Amazon EC2 インスタンスを返します。EC2-Classic インスタンスと EC2-VPC インスタンスを区別するには、サブネットフィールドの内容を見ます。サブネット ID が記載されていれば、そのインスタンスは VPC 内にあります。 

Q: DescribeVolumes() を呼び出す場合、EC2-Classic および EC2-VPC 内のボリュームを含めて、Amazon EBS ボリュームをすべて閲覧できますか?

はい。DescribeVolumes() は、すべての EBS ボリュームを返します。

Q: VPC 内では、いくつの Amazon EC2 インスタンスを使用できますか?

お客様の VPC が適切なサイズで、各インスタンスに割り当てられた IP アドレスを保有している限り、VPC 内で任意の数の Amazon EC2 インスタンスを実行することができます。最初は、同時起動できる Amazon EC2 インスタンスの数は最大 20 まで、VPC サイズは最大 /16(65,536 IP)までに制限されています。これらの制限数を超過して使用したい場合は、以下のフォームにご記入ください。

Q: Amazon VPC 内で既存の AMI を使用できますか?

お客様の VPC と同一のリージョン内に登録されている Amazon VPC の AMI を使用できます。例えば、us-east-1 内に登録されている AMI を us-east-1内の VPC で使用することができます。Amazon EC2 のリージョンおよびアベイラビリティーゾーンのよくある質問で、詳細な情報をご覧いただけます。

Q: 既存の Amazon EBS スナップショットを使用できますか?

はい。お客様の VPC と同一のリージョンにあれば、Amazon EBS スナップショットを使用することができます。Amazon EC2 リージョンおよびアベイラビリティーゾーンのよくある質問で、詳細な情報をご覧いただけます。

Q: Amazon VPC 内の Amazon EBS ボリュームから、Amazon EC2 インスタンスを起動できますか?

はい。ただし、Amazon EBS ベースの AMI を使用して VPC で起動されたインスタンスは、停止と再起動時に、同一の IP アドレスを維持します。これは、新しい IP アドレスを取得する、VPC の外で起動される同様のインスタンスとは対照的です。サブネットの停止したインスタンスの IP アドレスは、利用不可能とみなされます。

Q: Amazon EC2 リザーブドインスタンスを、Amazon VPC で使用できますか?

はい。リザーブドインスタンスを購入すれば、Amazon VPC のインスタンスを予約できます。請求額を計算する時、AWS は、お客様のインスタンスが Amazon VPC または標準 Amazon EC2 のどちらで実行するか区別しません。AWS は自動的にどちらのインスタンスが低いリザーブドインスタンス料金を請求するかを判断して、支払い料金が常に最小限になるようにします。ただし、お客様のインスタンス予約は、Amazon VPC に特定されます。詳しくは、リザーブドインスタンスページをご参照ください。

Q: Amazon CloudWatch を Amazon VPC 内で使用できますか?

はい。

Q: Auto Scaling を Amazon VPC 内で使用できますか?

はい。 

Q: Amazon EC2 クラスターインスタンスを VPC 内で起動できますか?

はい。Amazon VPC ではクラスターインスタンスをサポートしますが、インスタンスタイプによっては、一部のリージョンおよびアベイラビリティーゾーンで使用できない場合があります。

 

デフォルト VPC

Q: デフォルト VPC とは何ですか?

デフォルト VPC とは、AWS アカウントで初めて Amazon EC2 リソースをプロビジョニングするとき自動的に作成される、論理的に隔離された仮想ネットワークです。サブネット ID を指定せずにインスタンスを起動すると、そのインスタンスはデフォルト VPC 内に起動します。

Q: デフォルト VPC の利点は何ですか?

リソースをデフォルト VPC 内に起動すると、Amazon VPC(EC2-VPC)の持つ先進的なネットワーキング機能の恩恵を、Amazon EC2(EC2-Classic)の手軽さで得ることができます。例えば、実行中のインスタンスのセキュリティグループ変更、セキュリティグループによる出力フィルタリング、マルチ IP アドレス、マルチネットワークインターフェイスなどの機能を、明示的に VPC を作成してその VPC にインスタンスを起動するという手間をかけずに利用可能です。

Q: どんなアカウントでデフォルト VPC が有効になっていますか?

2013 年 3 月 18 日以降に作成された AWS アカウントであれば、デフォルト VPC 内でリソースを起動できます。どのリージョンでデフォルト VPC の機能が有効になっているかを確認するには、こちらのフォーラムでのお知らせをご覧ください。また、上記の日時より前に作られたアカウントであっても、デフォルト VPC が有効なリージョンのうち、これまでに EC2 インスタンスの起動や Elastic Loadbalancing、Amazon RDS、Amazon ElastiCache、Amazon Redshift などのリソースのプロビジョニングをしたことがないリージョンの中であれば、デフォルト VPC を利用できます。

Q: 自分のアカウントでデフォルト VPC が使えるかどうかはどのように分かりますか?

Amazon EC2 コンソールを見れば、指定したリージョンでインスタンスを起動可能なプラットフォームや、そのリージョンにデフォルト VPC があるかどうかがわかります。使用するリージョンがナビゲーションバーで選択されていることを確認してください。Amazon EC2 コンソールダッシュボードの [Account Attributes] の下にある [Supported Platforms] を探します。そこに値が 2 つ(EC2-Classic と EC2-VPC)あれば、どちらのプラットフォームにもインスタンスを起動できます。値が 1 つ(EC2-VPC)なら、EC2-VPC にのみインスタンスを起動できます。デフォルト VPC を使う設定のアカウントの場合、[Account Attributes] の下にデフォルト VPC の ID が表示されます。また EC2 DescribeAccountAttributes API や CLI を使用することでも、サポート対象のプラットフォームを取得できます。

Q: デフォルト VPC の使用には Amazon VPC についての知識が必要ですか?

いいえ。デフォルト VPC 内で EC2 インスタンスなどの AWS リソースの起動や管理を行うには、AWS マネジメントコンソール、AWS EC2 CLI、Amazon EC2 API を使用できます。指定された AWS リージョンに対し、AWS が自動的にデフォルト VPC を作成し、各アベイラビリティーゾーンにデフォルトサブネットを作成します。デフォルト VPC はインターネットゲートウェイに接続され、お客様のインスタンスには、EC2-Classic と同様、自動的にパブリック IP アドレスが割り当てられます。

Q: インスタンスを EC2-Classic で起動した場合と EC2-VPC で起動した場合の違いは何ですか?

EC2 ユーザーガイドの EC2-Classic と EC2-VPC の違いをご覧ください。

Q: デフォルト VPC を使用するには VPN 接続が必要ですか?

いいえ。デフォルト VPC はインターネットに接続されており、デフォルト VPC のデフォルトサブネット内で起動するインスタンスにはすべて自動的にパブリック IP アドレスが割り当てられます。必要に応じて VPN 接続を追加することも可能です。

Q: デフォルト VPC とは別に VPC を作成して併用することはできますか?

はい。デフォルトでない VPC にインスタンスを起動する場合は、インスタンスを起動する時にサブネット ID を指定してください。

Q: デフォルト VPC 内にプライベートサブネットなどの追加サブネットは作成できますか?

はい。デフォルトでないサブネット内に起動する場合は、コンソール (または CLI、API、SDK から --サブネットオプション) を使って起動先を指定します。

Q: いくつのデフォルト VPC を所有できますか?

Supported-Platforms の属性が「EC2-VPC」になっている AWS リージョンごとに 1 つ所有できます。

Q: デフォルト VPC の IP 範囲はどうなっていますか?

デフォルト VPC の CIDR は 172.31.0.0/16 です。デフォルトサブネットはデフォルト VPC の CIDR のうち、/20 CIDR を使用します。

Q: デフォルト VPC 内にはデフォルトサブネットがいくつありますか?

デフォルトサブネットはデフォルト VPC 内の各アベイラビリティーゾーンに 1 つ作成されます。

Q: どの VPC をデフォルト VPC にするか指定できますか?

現時点ではありません。

Q: どのサブネットをデフォルトサブネットにするか指定できますか?

現時点ではありません。

Q: デフォルト VPC を削除できますか?

はい。デフォルト VPC を削除できます。削除したら VPC コンソールから直接、または CLI を使用して新しいデフォルト VPC を作成できます。これによりリージョン内に新しいデフォルト VPC が作成されます。削除された以前の VPC は復旧できません。

Q: デフォルトサブネットを削除できますか?

はい。デフォルトサブネットを削除できます。削除後、CLI または SDK を使用して、そのアベイラビリティーゾーンに新しいデフォルトサブネットを作成できます。こうして、指定されたアベイラビリティーゾーンに新しいデフォルトサブネットが作成されます。削除された以前のサブネットは復旧できません。

Q: 既存の EC2-Classic アカウントを持っています。デフォルト VPC を利用できますか?

デフォルト VPC を利用する最も簡単な方法は、デフォルト VPC が有効なリージョンに新しくアカウントを作ることです。既存のアカウントでも、これまで利用したことがなく Supported-Platforms の属性が「EC2-VPC」になっているリージョンがあれば、そのリージョンで利用できます。

Q: 既存の EC2 アカウントでどうしてもデフォルト VPC が使いたいのです。何か方法はありますか?

はい。AWS 側で既存のアカウントに対しデフォルト VPC を有効にすることは可能ですが、そのアカウントの EC2-Classic リソースが存在しないリージョンに限ります。該当のリージョン内で、VPC にプロビジョニングされていない Elastic Load Balancer、Amazon RDS、Amazon ElastiCache、Amazon Redshift のリソースが存在している場合、それらをすべて終了する必要があります。アカウントがデフォルト VPC を使用するよう設定されると、以後に起動されるリソースは、Auto Scaling により起動されるインスタンスを含め、すべてデフォルト VPC 内に配置されます。お使いの既存アカウントにデフォルト VPC のセットアップを希望する場合は、アカウントおよび請求 -> サービス: アカウント -> カテゴリ: EC2 Classic から VPC への変換の順に選択し、リクエストを送信してください。お客様のリクエストと AWS のサービスおよび EC2-Classic の利用状況を確認したうえで、今後の対応についてご連絡いたします。

Q: IAM アカウントはデフォルト VPC によって何か影響を受けますか?

AWS アカウントがデフォルト VPC を使う設定になっている場合、その AWS アカウントに関連付けられた IAM アカウントはすべて、AWS アカウントと同じデフォルト VPC を使用します。

 

Elastic Network Interface

Q: EC2 インスタンスの稼働中に 1 つまたは複数のネットワークインターフェイスをアタッチまたはデタッチすることは可能ですか?

はい。

Q: 2 つよりも多いネットワークインターフェイスを EC2 インスタンスにアタッチすることは可能ですか?

EC2 インスタンスにアタッチできるネットワークインターフェイスの合計数は、インスタンスタイプにより異なります。インスタンスタイプごとの許可されるネットワークインターフェイスの数については、EC2 ユーザーガイドを参照してください。

Q: あるアベイラビリティーゾーンにあるネットワークインターフェイスを、別のアベイラビリティーゾーンのインスタンスにアタッチすることは可能ですか?

ネットワークインターフェイスをアタッチできるインスタンスは、同じアベイラビリティーゾーンに存在するものに限られます。

Q: ある VPC にあるネットワークインターフェイスを、別の VPC のインスタンスにアタッチすることは可能ですか?

ネットワークインターフェイスをアタッチできるインスタンスは、インターフェイスと同じ VPC に存在するものに限られます。

Q: Elastic Network Interface は、それぞれ別の IP アドレスを必要とする複数のウェブサイトを 1 つのインスタンスでホストするための手段として使用できますか?

はい。ただし、これは複数インターフェイスの使い方として最適なものではありません。代わりに、追加のプライベート IP アドレスをインスタンスに割り当ててから、必要に応じて EIP をプライベート IP に関連付けます。

Q: Elastic IP アドレスが関連付けられているネットワークインターフェイスが、実行中のインスタンスにアタッチされていない場合、料金は請求されますか?

はい。

Q: EC2 インスタンスのプライマリインターフェイス (eth0) をデタッチすることは可能ですか?

いいえ。EC2 インスタンスの 2 つ目のインターフェイス(eth1~ethn)はアタッチとデタッチができますが、eth0 インターフェイスのデタッチはできません。

 

ピアリング接続

Q: 異なるリージョンの VPC に対してピアリング接続を作成できますか?

はい。ピアリング接続は、異なるリージョンの VPC を使用して作成できます。インターリージョン VPC ピアリングは現在、AWS 米国東部 (バージニア)、米国東部 (オハイオ)、米国西部 (オレゴン) および EU (アイルランド) リージョンでサポートされています。

Q: 自分が所有する VPC と別の AWS アカウントに属する VPC をピアリング接続できますか?

はい。相手の VPC のオーナーがピアリング接続要求を受け入れれば可能です。

Q: IP アドレス範囲が一致する 2 つの VPC 間でピアリング接続することは可能ですか?

いいえ。重複している IP アドレス範囲を持つ VPC はピアリング接続できません。

Q: VPC ピアリング接続の料金はいくらですか?

VPC ピアリング接続の作成に費用はかかりませんが、ピアリング接続間のデータ転送には料金が発生します。データ転送料金については、EC2 料金ページのデータ転送セクションを参照してください。

Q: AWS Direct Connect またはハードウェア VPN 接続を使って、ピアリングした VPC にアクセスすることはできますか?

いいえ。「エッジ間ルーティング」は Amazon VPC ではサポートされていません。詳細については、VPC Peering Guide を参照してください。

Q: ピアリング接続を使用するにはインターネットゲートウェイが必要ですか?

いいえ。VPC ピアリング接続にインターネットゲートウェイは不要です。

Q: VPC ピアリングトラフィックはリージョン内で暗号化されますか?

いいえ。ピアリング接続された VPC 内のインスタンス間のトラフィックはプライベートであり隔離されています。同じ VPC 内の 2 つのインスタンス間のトラフィックがプライベートで隔離されているのと同じです。

Q: ピアリング接続の一方の VPC を削除すると、相手側は引き続きその VPC にアクセスできますか?

いいえ。ピアリング接続のいずれか一方は、いつでもピアリング接続を停止できます。ピアリング接続を停止すると、その 2 つの VPC 間のトラフィックも停止します。

Q: VPC A と VPC B、VPC B と VPC C をそれぞれピアリング接続した場合、VPC A と VPC C をピアリング接続したことになりますか?

いいえ。推移的ピアリング関係には対応していません。

Q: ピアリング接続がダウンするとどうなりますか?

AWS では VPC の既存のインフラストラクチャを使用して VPC ピアリング接続を作成しています。これはゲートウェイでも VPN 接続でもなく、個別の物理ハードウェアに依存するものではありません。通信の単一障害点や帯域幅のボトルネックは存在しません。

インターリージョン VPC ピアリングは、現在 VPC に使用されているものと同じ、水平スケーリング、冗長化、高可用性を持ったテクノロジーを使って動作します。インターリージョン VPC ピアリングトラフィックは、冗長性と動的帯域幅割り当てを内蔵している AWS バックボーンを経由します。通信に単一の障害点はありません。

インターリージョンピアリング接続がダウンすると、トラフィックはインターネット経由でルーティングされません。

Q: ピアリング接続に帯域幅制限はありますか?

ピアリング接続されたインスタンス間の帯域幅は、同じ VPC 内のインスタンス間の帯域幅と同じです。注: プレイスメントグループをピアリング接続した VPC に設定することもできますが、ピアリング接続した VPC 内のインスタンス間では全二重帯域幅を使用できません。プレイスメントグループの詳細についてはこちらをご覧ください。

Q: インターリージョン VPC ピアリングトラフィックは暗号化されていますか。

トラフィックは、最新の AEAD (Associated Data with Associated Data) アルゴリズムを使用して暗号化されます。キーの共有とキーの管理は AWS によって処理されます。

Q: インターリージョン VPC ピアリングで DNS 変換はどのように機能しますか。

既定では、別のリージョンのピア VPC 内のインスタンスのパブリックホスト名のクエリはパブリック IP アドレスに解決されます。Route 53 プライベート DNS を使用して、インターリージョン VPC ピアリングでプライベート IP アドレスに解決できます。

Q: インターリージョン VPC ピアリング接続を介してセキュリティグループを参照できますか。

いいえ。セキュリティグループは、インターリージョン VPC ピアリング接続で参照することはできません。

Q: インターリージョン VPC ピアリングは IPv6 をサポートしていますか。

いいえ。インターリージョン VPC ピアリングは IPv6 をサポートしていません。

Q: インターリージョン VPC ピアリングに EC2-Classic Link 使用できますか。

いいえ。インターリージョン VPC ピアリングは EC2-ClassicLink では使用できません。

Q: インターリージョン VPC ピアリングでは使用できない AWS のサービスはありますか。

Network Load Balancer、AWS PrivateLink および Elastic File System は、インターリージョン VPC ピアリングでは使用できません。

Q: ClassicLink とは何ですか?

Amazon Virtual Private Cloud (VPC) ClassicLink により、EC2-Classic プラットフォーム内の EC2 インスタンスがプライベート IP アドレスを使用して VPC 内のインスタンスと通信できるようになります。ClassicLink を使用するには、ユーザーのアカウントで ClassicLink を VPC に対して有効にし、VPC のセキュリティグループを EC2-Classic 内のインスタンスと関連付けます。VPC セキュリティグループのルールはすべて、EC2-Classic 内のインスタンスと VPC 内のインスタンスの間の通信に適用されます。 

Q: ClassicLink の費用はどれくらいですか?

ClassicLink を使用するのに追加料金はかかりませんが、現在設定されているアベイラビリティゾーン間のデータ転送料金が適用されます。詳細については、EC2 の料金表のページをご覧ください。

Q: ClassicLink の使用方法について教えてください。

ClassicLink を使用するには、まずユーザーのアカウントで少なくとも 1 つの VPC を ClassicLink に対して有効にする必要があります。次に、VPC のセキュリティグループを EC2-Classic インスタンスと関連付けます。これで、EC2-Classic インスタンスは VPC とリンクされ、VPC 内で選択されたセキュリティグループのメンバーになります。EC2-Classic インスタンスを複数の VPC と同時にリンクさせることはできません。

Q: EC2-Classic インスタンスは VPC のメンバーになりますか?

EC2-Classic インスタンスは VPC のメンバーにはなりません。代わりに、そのインスタンスに関連づけられた VPC セキュリティグループのメンバーになります。その VPC セキュリティグループに対するルールやリファレンスはすべて、EC2-Classic インスタンスと VPC 内のリソースの間の通信に適用されます。

Q: プライベート IP を使用して通信するために、EC2-Classic インスタンスと EC2-VPC インスタンスの EC2 パブリック DNS ホスト名を使用してお互いのアドレスを指定することはできますか?

いいえ。EC2-Classic インスタンスからクエリした場合、EC2 パブリック DNS ホスト名は EC2-VPC インスタンスのプライベート IP アドレスに解決しません。その逆も同様です。

Q: ClassicLink を有効にできない VPC はありますか?

はい。クラスレスドメイン間ルーティング(CIDR)が 10.0.0.0/8 の範囲内である場合、その VPC に対して ClassicLink を有効にすることはできません(ただし、10.0.0.0/16 と 10.1.0.0/16 を除く)。さらに、ルートテーブルに 10.0.0.0/8 CIDR 空間をポイントするエントリがある場合、その VPC に対しても ClassicLink を有効にすることができません(ただし、ターゲットが「ローカル」であるものを除く)。

Q: EC2-Classic インスタンスからのトラフィックに Amazon VPC を通過させ、インターネットゲートウェイ、仮想プライベートゲートウェイ、またはピア接続された VPC 経由で送信することはできますか?

EC2-Classic インスタンスからのトラフィックをルーティングできるのは、VPC 内のプライベート IP アドレスに対してのみです。インターネットゲートウェイ、仮想プライベートゲートウェイ、またはピア接続された VPC など、VPC の外の宛先にルーティングすることはできません。

Q: ClassicLink は、EC2-Classic インスタンスと EC2-Classic プラットフォーム内の他のインスタンスの間のアクセス制御に影響を与えますか?

EC2-Classic プラットフォームの既存のセキュリティグループにより EC2-Classic インスタンスに対して定義されたアクセス制御が、ClassicLink により変更されることはありません。

Q: EC2-Classic インスタンスを停止して再開した場合、そのインスタンスでの ClassicLink の設定は変更されますか?

EC2-Classic インスタンスを停止して開始した場合、ClassicLink の接続は切断されます。そのため、EC2-Classic インスタンスを停止して再開した後に、インスタンスを再度 VPC にリンクさせる必要があります。ただし、インスタンスを再起動しても、ClassicLink の接続は切断されません。

Q: ClassicLink を有効にした後、EC2-Classic インスタンスには新しいプライベート IP アドレスが割り当てられますか?

EC2-Classic インスタンスに新しいプライベート IP アドレスが割り当てられることはありません。EC2-Classic インスタンスで ClassicLink を有効にした場合、インスタンスは既存のプライベート IP アドレスを保持し、VPC でのリソースとの通信に使用します。

Q: ClassicLink では、EC2-Classic セキュリティグループのルールから VPC セキュリティグループへのリファレンスや、VPC セキュリティグループのルールから EC2-Classic セキュリティグループへのリファレンスが許可されていますか?

ClassicLink では、EC2-Classic セキュリティグループのルールから VPC セキュリティグループへのリファレンスや、VPC セキュリティグループのルールから EC2-Classic セキュリティグループへのリファレンスが許可されていません。

仮想プライベートゲートウェイ – 独自の自律システム番号を使用する

Q: これはどのような機能ですか?

新しい VGW では、設定可能なプライベート自律システム番号 (ASN) によって、VPN および AWS Direct Connect プライベート VIF 向け BGP セッションの Amazon 側の ASN をお客様が設定できます。

Q: この機能の利用料金はいくらですか?

この機能に追加料金は発生しません。

Q: Amazon 側 ASN としてアドバタイズされるように自分の ASN の設定および割り当てを行うにはどうすればよいですか?

仮想プライベートゲートウェイ (VGW) の新規作成時に、Amazon 側 ASN としてアドバタイズされるように ASN の設定および割り当てを行えます。VGW は、VPC コンソールまたは EC2/CreateVpnGateway API コールを使用して作成できます。

Q: この機能以前、Amazon ではどのような ASN を割り当てていましたか?

Amazon は、欧州西部 (ダブリン) に 9059、アジアパシフィック (シンガポール) に 17493、アジアパシフィック (東京) に 10124 を割り当てていました。その他すべてのリージョンでは ASN 7224 が割り当てられていました。これらの ASN は、そのリージョンの "レガシーパブリック ASN" と呼ばれます。

Q: パブリックでもプライベートでも、すべての ASN を使用できますか?

Amazon 側には、任意のプライベート ASN を割り当てることができます。2018 年 6 月 30 日まで、そのリージョンの "レガシーパブリック ASN" を割り当てることができ、それ以外のパブリック ASN を割り当てることはできません。2018 年 6 月 30 日以降、Amazon では 64512 という ASN を提供します。

Q: BGP セッションの Amazon 側にパブリック ASN を割り当てられないのはなぜですか?

Amazon は ASN の所有権を検証しません。このため、Amazon 側 ASN をプライベート ASN のみに制限しています。お客様を BGP スプーフィングから保護したいと考えています。

Q: どのような ASN を選択できますか?

任意のプライベート ASN を選択できます。16 ビットのプライベート ASN の範囲は、64512~65534 です。32 ビット ASN では、4200000000~4294967294 を利用できます。

お客様が選択しない場合は、Amazon が VGW のデフォルト ASN を指定します。2018 年 6 月 30 日まで、Amazon ではそのリージョンの "レガシーパブリック ASN" の提供を継続します。2018 年 6 月 30 日以降、Amazon では 64512 という ASN を提供します。

Q: パブリック ASN を BGP セッションの Amazon 側に割り当てるとどうなりますか?

そのリージョンの "レガシーパブリック ASN" でない限り、VGW 作成試行でプライベート ASN の再入力を要求します。

Q: BGP セッションの Amazon 側の ASN を自分で指定しない場合、Amazon によってどのような ASN が割り当てられますか?

お客様が選択しない場合は、Amazon が VGW の ASN を指定します。2018 年 6 月 30 日まで、Amazon ではそのリージョンの "レガシーパブリック ASN" の提供を継続します。2018 年 6 月 30 日以降、Amazon では 64512 という ASN を提供します。

Q: Amazon 側 ASN はどこに表示されますか?

Amazon 側 ASN は VPC コンソールの VGW ページや EC2/DescribeVpnGateways API の応答内に表示されます。

Q: パブリック ASN を持っている場合、AWS 側のプライベート ASN と合わせて使用できますか?

はい。BGP セッションの Amazon 側にプライベート ASN を、お客様側にパブリック ASN を設定できます。

Q: プライベート VIF が既に設定されています。既存の VIF の BGP セッションに別の Amazon 側 ASN を設定したいと考えています。この変更を実行するにはどうすればよいですか?

希望する ASN で新しい VGW を作成し、新規作成された VGW で新しい VIF を作成することが必要になります。デバイス設定も必要に応じて変更する必要があります。

Q: VPN 接続が既に設定されています。この VPN の BGP セッションの Amazon 側 ASN を変更したいと考えています。この変更を実行するにはどうすればよいですか?

希望する ASN で新しい VGW を作成し、カスタマーゲートウェイと新規作成された VGW との間に VPN 接続を再作成することが必要です。

Q: 既存の VGW に、Amazon から割り当てられたパブリック ASN 7224 を使用したプライベート VIF/VPN 接続が設定されています。Amazon が新しいプライベート VGW に ASN を自動生成する場合、どのような Amazon 側 ASN が割り当てられますか?

Amazon では、新しい VGW の Amazon 側 ASN に 64512 を割り当てます。

Q: 既存の VGW に、Amazon から割り当てられたパブリック ASN を使用したプライベート VIF/VPN 接続が設定されています。これから作成する新しいプライベート VIF/VPN 接続にも、Amazon から割り当てられた同一のパブリック ASN を使用したいと考えています。どのようにすれば実現できますか?

仮想プライベートゲートウェイ (VGW) の新規作成時に、Amazon 側 ASN としてアドバタイズされるように ASN の設定および割り当てを行えます。VGW はコンソールまたは EC2/CreateVpnGateway API コールを使用して作成できます。前述のとおり、新規作成される VGW では "レガシーパブリック ASN" を使用できます。

Q: 既存の VGW に、Amazon から割り当てられたパブリック ASN 7224 を使用したプライベート VIF/VPN 接続が設定されています。Amazon が同じ VGW を使用する新しいプライベート VIF/VPN 接続に ASN を自動生成する場合、どのような Amazon 側 ASN が割り当てられますか?

Amazon では、新しい VIF/VPN 接続の Amazon 側 ASN に 7224 を割り当てます。新しいプライベート VIF/VPN 接続の Amazon 側 ASN は、既存の VGW およびその ASN に対するデフォルトから継承されます。

Q: 単一の VGW に複数のプライベート VIF をアタッチします。各 VIF に個別の Amazon 側 ASN を設定できますか?

いいえ。VGW ごとに個別の Amazon 側 ASN を割り当ておよび設定できますが、VIF ごとに割り当ておよび設定することはできません。VIF の Amazon 側 ASN は、アタッチされた VGW の Amazon 側 ASN から継承されます。

Q: 単一の VGW に複数の VPN 接続を作成します。各 VPN 接続に個別の Amazon 側 ASN を設定できますか?

いいえ。VGW ごとに個別の Amazon 側 ASN を割り当ておよび設定できますが、VPN 接続ごとに割り当ておよび設定することはできません。VPN 接続の Amazon 側 ASN は、VGW の Amazon 側 ASN から継承されます。

Q: 独自の ASN はどこで選択できますか?

VPC コンソールで VGW を作成する場合、Amazon BGP ASN を自動生成するかどうかのチェックをオフにし、BGP セッションの Amazon 側 ASN に独自のプライベート ASN を指定します。VGW に Amazon 側 ASN が設定されると、その VGW を使用して作成されるプライベート VIF や VPN 接続で Amazon 側 ASN が使用されるようになります。

Q: 現在 CloudHub を使用しています。今後、設定の調整が必要になりますか?

変更は不要です。

Q: 32 ビット ASN を選択したいと考えています。32 ビットプライベート ASN の範囲を教えてください。

AWS では 4200000000~4294967294 の 32 ビット ASN がサポートされます。

Q: VGW が作成されると、Amazon 側 ASN を変更できますか?

いいえ。作成後は Amazon 側 ASN を変更できません。VGW を削除してから、希望する ASN で新しい VGW を再作成できます。

Q: Amazon 側 ASN の設定および割り当てを行うための新しい API はありますか?

いいえ。従来と同じ API (EC2/CreateVpnGateway) で実行できます。この API には、新しいパラメータ (amazonSideAsn) が追加されました。

Q: Amazon 側 ASN を表示するための新しい API はありますか?

いいえ。従来と同じ EC2/DescribeVpnGateways API で Amazon 側 ASN を表示できます。この API には、新しいパラメータ (amazonSideAsn) が追加されました。

 

Q: PrivateLink とは何ですか?

AWS PrivateLink により、お客様は AWS にホストされたサービスに可用性が高くスケーラブルな方法でアクセスすることができ、どのようなネットワークトラフィックも AWS ネットワークの外に出ることはありません。このサービスのユーザーは、PrivateLink により、Amazon Virtual Private Cloud (VPC) または自社施設から AWS のサービスに、パブリック IP を使用せず、またインターネットを経由する必要なく、サービスにプライベートにアクセスできます。サービスの所有者はそのネットワークロードバランサーを PrivateLink サービスに登録し、他の AWS の顧客にサービスを提供できます。

Q: AWS PrivateLink を使用するにはどうしたらよいですか?

お客様はサービスのユーザーとして、PrivateLink を用いたサービスに対するインターフェイスタイプ VPC エンドポイントを作成する必要があります。これらのサービスエンドポイントは、プライベート IP を割り当てられた Elastic Network Interface (EIN) として VPC に表示されます。このようなエンドポイントが作成されると、該当する IP を送信先とするトラフィックは AWS の対応するサービスにプライベートでルーティングされます。

サービスの所有者として、お客様はサービスを AWS PrivateLink にオンボードでき、これにはネットワークロードバランサー (NLB) をサービスのフロントに置き、 PrivateLink サービスが NLB に登録されるように生成します。お客様の顧客はその VPC 内でエンドポイントを確立して、お客様が顧客のアカウントをホワイトリストと IAM ロールに入れるとお客様のサービスに接続できるようになります。

Q: 現在、 PrivateLink では AWS のどのようなサービスを利用できますか?

次の AWS サービスがこの機能をサポートしています: Amazon Elastic Compute Cloud (EC2)、Elastic Load Balancing (ELB)、Kinesis Streams、Service Catalog、EC2 Systems Manager、および Amazon SNS。多くの SaaS ソリューションもこの機能をサポートしています。AWS PrivateLink を用いたその他の SaaS 製品については、AWS Marketplace をご覧ください。

Q: AWS PrivateLink を使用したサービスに AWS Direct Connect を使ってプライベートでアクセスできますか?

はい。お客様施設内のデータセンターのアプリケーションは、AWS Direct Connect を使って Amazon VPC 内のサービスエンドポイントに接続できます。このサービスエンドポイントにより、トラフィックは AWS PrivateLink を使用した AWS のサービスに自動的に転送されます。

その他の質問

Q: AWS マネジメントコンソールを使用して、Amazon VPC を管理、運用できますか?

はい。AWS マネジメントコンソールを使って VPC、サブネット、ルートテーブル、インターネットゲートウェイ、IPSec VPN 接続などの Amazon VPC オブジェクトを管理できます。さらに、簡単なウィザードを使って VPC を作成できます。

Q: VPC、サブネット、Elastic IP アドレス、インターネットゲートウェイ、カスタマーゲートウェイ、仮想プライベートゲートウェイ、VPN 接続は、いくつまで作成できますか?

作成可能な数は次のとおりです。

  • 各リージョンの AWS アカウントごとに 5 つの Amazon VPC
  • Amazon VPC ごとに 200 のサブネット
  • 各リージョンの AWS アカウントごとに 5 つの Amazon VPC Elastic IP アドレス
  • 1 つの VPC ごとに 1 つのインターネットゲートウェイ
  • 各リージョンの AWS アカウントごとに 5 つの仮想プライベートゲートウェイ
  • 各リージョンの AWS アカウントごとに 50 のカスタマーゲートウェイ
  • 仮想プライベートゲートウェイごとに 10 の IPSec VPN 接続

VPC 制限数の詳細については、VPC ユーザーガイドを参照してください。

Q: Amazon VPC の VPN 接続にはサービスレベルアグリーメント(SLA)がありますか?

現在はできません。 

Q: AWS サポートは Amazon VPC にも利用できますか?

はい。AWS サポート の詳細については、ここをクリックしてください。

Q: Amazon VPC で ElasticFox を使用できますか?

現在 ElasticFox については、Amazon VPC を管理するための公式サポートはありません。Amazon VPC のサポートは、AWS API 、コマンドラインツール、AWS マネジメントコンソール、またサードパーティー製のさまざまなユーティリティから利用できます。

 

Amazon VPC の詳細

製品詳細ページを見る
始める準備はできましたか?
サインアップ
ご不明な点がおありですか?
お問い合わせ