DMZやプライベートセグメントを構成可能に

AWS、Amazon VPCを大幅に拡張

2011/03/16

　米Amazon Web Services（AWS）は3月15日、Amazon Virtual Private Cloud（VPC）の大幅な拡張を明らかにした。これはAmazon VPCの利用シーンを広げる重要な発表だ。VPCを直接インターネットや他のAWSサービスとつなげたり、プライベートサブネットを構成したりできるようになった。物理的なデータセンターに見られるようなサブネット構成を、かなりのレベルでAWS上に論理的に実現できるようになった。東京リージョンでは2011年中の提供を予定しているという。

　これまでのAmazon VPCは、Amazon EC2の一部のサーバ群を他のサーバと論理的に隔離し、企業や組織の拠点とIPsec VPN接続することで、Amazon EC2のリソースが、あたかも組織内にあるかのように利用できるというサービスだった。言い換えれば、VPCとして構成されたリソースは、組織の拠点との間のVPN接続経由でしかアクセスできなかった。

　今回の拡張では、物理的なデータセンターと同様に、ネットワーク的なセキュリティを高めながら、より柔軟な構成が論理的に行えるようになった。AWSはこの新たなAmazon VPCを、技術的にそれほど詳しくない人でも活用できるように、あるいは詳しい人でも迅速に活用できるように、ウィザードを提供している。このウィザードで何ができるかを見ると、新Amazon VPCでAWSが想定している代表的なユースケースがつかめる。

VPC with a single public subnet

一般的なEC2インスタンスとは分離されたサブネットでありながら、インターネットや他のAWSサービスと直接通信するVPCをつくれる。ACLやセキュリティ・グループ設定により、VPCに対する出入りの通信を細かく制御できる。

VPC with public and private subnets

上記のパブリックサブネットに加え、プライベートサブネットをつくれる。プライベートサブネットはインターネットとの直接通信はせず、NATを通じてパブリックサブネットと通信し、パブリックサブネットがインターネットと直接通信を行う。

データベースなどをプライベートサブネットで稼働し、Webサーバをパブリックサブネットで動かすなどが可能

VPC with Internet and VPN access

VPCに対し、従来から可能だったVPN接続と、インターネットとの直接接続を双方設定できる。

VPC with VPN only access

これは従来どおり、企業・組織の拠点とVPCとをIPsecで接続する構成だ。

　もちろん、ウィザードを使わずにトポロジーを構成することもできる。その際に利用できる、今回追加のVPC関連機能には、例えば次のようなものがある。

インターネット・ゲートウェイ

VPCにルーティングテーブルを設定し、インターネットや、Amazon S3など他のAWSサービスと直接通信できるようになった。

ネットワークACL、セキュリティ・グループのVPCでの利用

サブネット単位でネットワークACLを設定し、出と入りの通信を各プロトコルについて許可、あるいは拒否できる。また、VPC内のEC2インスタンス群に対してセキュリティ・グループを設定し、インスタンスレベルでのトラフィック制御ができる。AWS management Consoleで、セキュリティ・グループの複数の設定を変更し、稼働中のEC2インスタンスに対して1アクションで適用することもできるようになったという。

Elastic IP AddressのVPC内での適用

VPCに対し、Elastic IP Addressを割り当てられるようになった。ただし、このアドレスは現在のところ、専用のアドレスプールから払い出されるため、すでに利用中のElastic IP Addressを使うことはできないという。