第1章: はじめに
目的
本ドキュメントは、AWSのVPCピアリング接続について分かりやすくまとめたものです。基礎的な概念から実装手順、運用上の注意点や代替案までを網羅し、設計や運用の判断に役立てていただくことを目的とします。
背景と重要性
クラウド環境では、複数のネットワーク(VPC)をセキュアかつ直接に結ぶ場面が増えています。例えば、開発用VPCから本番VPCへログやメトリクスを送るとき、別アカウントのサービスを利用するときなどにVPCピアリングを使います。これによりトラフィックをインターネット経由にせずに済み、セキュリティと遅延の改善につながります。
対象読者
- クラウド設計者やネットワーク担当者
- マルチアカウント環境で接続設計を検討しているエンジニア
- AWSのネットワーク機能を学びたい技術者
本書の構成
全8章で構成します。第2章で概念説明、第3章で特徴、第4章で制約、第5章でDNSと管理、第6章で構築手順、第7章で適用例、第8章で代替ソリューション比較を扱います。各章は実務ですぐ使えるポイントを重視して解説します。
AWS VPCピアリング接続とは
概要
VPCピアリング接続は、2つのAmazon VPC間でプライベートなネットワーク接続を作る仕組みです。両端はプライベートIPv4やIPv6のアドレスを使って直接通信できます。インターネットやVPNを経由せずにAWSの内部ネットワークでやり取りするため、安全で効率的です。
仕組みのイメージ
簡単に言うと、VPC同士を直接つなぐ“社内LANの延長”のようなものです。例えば、開発用VPCと本番用VPCをつないで、開発環境から本番のログ集約サーバへ安全に送る、といった使い方ができます。設定は片方が接続を申し込み、もう片方が承認してルートを追加します。
主な利点
- プライベート通信:データがインターネットに晒されません。具体例:データベースへの接続を限定できます。
- 低遅延・高速:AWS内部の経路を使うため応答が速くなります。
- シンプルな構成:専用のゲートウェイやVPNを用意せずに接続可能です。
注意すべきポイント
- CIDRブロックが重複していると接続できません。
- ルートテーブルやセキュリティグループは自分で設定します。
- トランジティブ(経由)ルーティングはサポートしません。つまりA–BとB–Cの接続があっても、AからCへ直接ルーティングできません。
利用イメージ
共有サービスを中央VPCで運用し、各アプリVPCがそこへアクセスする構成でよく使われます。小規模から大規模まで幅広く適用できます。
VPCピアリングの主な特徴
直接接続で中間機器が不要
VPCピアリングは、中間のゲートウェイやVPNアプライアンスを挟まずにVPC同士を直接つなぎます。ルートテーブルにピア先への経路を追加するだけで通信が可能になり、構成がシンプルです。例えば、開発用VPCと本番VPCを直接つなぎ、アプリ間通信を素早く行えます。
リージョン内外・アカウント間の柔軟性
同一リージョン内だけでなく、異なるリージョン間や別のAWSアカウント間でもピアリングを作れます。組織内でアカウントを分けている場合や、別リージョンのバックアップ先とやり取りしたい場合に便利です。
既存のセキュリティ設定を活かせる
セキュリティグループやネットワークACLはそのまま適用できます。既存のアクセス制御ルールを維持しながら接続できるため、セキュリティポリシーの移行が楽です。接続先ごとに細かく制御できます。
自動暗号化と高いパフォーマンス
VPC間のトラフィックはAWSのプライベートネットワーク内を通り、自動的に保護されます。一般に低レイテンシーで高帯域幅の通信が可能なため、データベースレプリケーションやサービス間通信に向きます。
運用のしやすさ
追加の機器管理が不要で、運用負荷が少ない点が魅力です。ルーティングとアクセス制御を中心に管理すれば、安全で効率的な接続を維持できます。
VPCピアリングの制約事項と重要な制限
1. CIDRブロックの重複不可
VPCピアリングでは、接続する両側のVPCでCIDRブロックが重複していると接続できません。例えば、片方が10.0.0.0/16で、もう片方も10.0.0.0/16だとピアリングできません。重複があるとルーティングが曖昧になるためです。
2. 1対1の直接接続(中継不可)
ピアリングは基本的に1対1の直接接続です。AとBがピアリングしていて、BとCがピアリングしていても、AからCへは自動で到達できません。したがって、複数VPC間で通信する場合はハブ・アンド・スポーク(中央VPCを経由して個別にピアリング)やトランジットゲートウェイの採用が必要になります。
3. ルートの明示的設定とセキュリティ
ピアリング後も各VPCのルートテーブルに相手のCIDRを追加する必要があります。また、セキュリティグループやネットワークACLで相手のトラフィックを許可してください。自動で全通信を通すわけではありません。
4. サービスや機能の制約
一部のAWSマネージドサービスやエンドポイントはピアリング越しに動作しない場合があります。例えば、AWSの特定のリージョンサービスやVPCエンドポイントは制約があります。利用前に対象サービスのドキュメントを確認してください。
5. 設計上の注意点
CIDRは計画的に割り当て、将来の拡張や他VPCとの接続を見越して余裕を持たせてください。IPアドレスの重複を避けるためにサブネット設計を共有ルールで管理すると運用が楽になります。
DNS解決とネットワーク管理
概要
VPCピアリングではオプションで相手VPCのプライベートDNS名を解決できます。例えばVPC-Aのデータベース名をVPC-Bから名前で呼べると運用が楽になります。
DNS解決の仕組み
ピアリングでDNS解決を有効化すると、片方のVPCのプライベートホスト名をもう片方で名前解決可能にします。実際はVPCのDNSサーバが応答し、IPアドレスを返します。これはプライベートIPのみ対象です。
設定のポイント(高レベル)
- ピアリング作成時にDNS解決を許可する設定をオンにします。
- 各VPCのサブネットやルートテーブルで相手VPCへのルートを正しく設定します。
- セキュリティグループやネットワークACLが名前解決後の通信を許可しているか確認します。
ネットワーク管理で気を付けること
- ルーティング: 名前解決できてもルートがなければ通信できません。
- CIDR重複: 重複があると解決や接続が失敗します。
- ログと監視: フローログやDNSログで問題箇所を特定します。
ベストプラクティス
- サービス発見用途はDNS解決を活用し、直接IP参照を減らします。
- テスト環境で先に動作確認を行い、本番に反映します。
よくあるトラブルと対処
- 名前解決できない: ピアリングのDNS設定とVPC側のDNS解決設定を確認します。
- 接続できない: ルートとセキュリティ設定を見直します。
- 意図しないアクセス: 最小限のセキュリティグループで制限します。
ピアリング接続の構築手順
前提
例として、要求元VPC(VPC-A: 10.0.0.0/16)と要求先VPC(VPC-B: 10.1.0.0/16)を想定します。CIDRが重複していると接続できません。
1. ピアリング作成
AWSコンソールのVPCダッシュボードで「ピアリング接続の作成」を選びます。入力する主な項目は要求元VPC、要求先VPC(同一アカウント、異アカウント、異リージョンのいずれかを指定)と相手のアカウントIDやリージョンです。CLIの例:
aws ec2 create-vpc-peering-connection –vpc-id vpc-aaaa –peer-vpc-id vpc-bbbb –peer-owner-id 123456789012 –peer-region ap-northeast-1
2. 承認(相手側)
相手アカウントまたは相手VPCの管理者がリクエストを承認します。コンソールで「承諾」をクリックするだけです。
3. ルート追加
各VPCのルートテーブルに相手VPCのCIDRを宛先として追加し、ターゲットにピアリング接続ID(例: pcx-0a1b2c3d)を設定します。適用するサブネットのルートテーブルを忘れずに更新してください。
4. セキュリティ設定
セキュリティグループとネットワークACLで相手VPCからの通信を許可します。例: SSHを許可するなら送信元に10.1.0.0/16を指定してポート22を開けます。
5. オプション設定
プライベートDNS名を相手側で解決したい場合は、ピアリングのDNS解決を有効にします。クロスリージョンやクロスアカウントでは追加確認が必要です。
注意点
CIDR重複の確認、ルーティングの適用先(各サブネットのルートテーブル)とセキュリティ設定の両方を必ず確認してください。途中で設定変更が必要になることがあります。
適用シーンと活用例
概要
VPCピアリングは、独立したVPC同士を安全に直接つなぐ仕組みです。複数チームや外部パートナーと限定的にネットワークを共有したい場面で役立ちます。
具体例 1:大規模マイクロサービス
複数チームがそれぞれ独立VPCでサービスを運用する場合、チーム間でサービスを呼び出すためにピアリングを使います。例:フロントエンドVPCから認証サービスVPCへ直結し、低遅延かつ管理を分離します。CIDRの重複を避けてルートを設定します。
具体例 2:パートナー企業との限定接続
外部パートナーへ一部のリソースだけ公開するときに有効です。VPNやインターネットを使わずに直接接続できるため、通信経路を簡潔に保てます。アクセス制御はセキュリティグループとルートで管理します。
具体例 3:開発・検証環境
本番VPCと検証VPCを分け、必要なAPIだけピアリングで共有します。誤操作の影響を抑えつつ実運用に近い検証が可能です。
活用上のポイント
- 事前にCIDR設計を調整する
- 必要最小限のルーティングとセキュリティでアクセスを制御する
- 複雑な相互接続は管理負荷が上がるため、設計を簡潔に保つ
以上のような場面でVPCピアリングは有効に使えます。
第8章: 代替ソリューションの比較
概要
VPCピアリングの代わりに使う代表的な方法に、AWS PrivateLinkとTransit(VPCトランジット接続)があります。ここでは、それぞれの特徴とVPCピアリングとの違いを分かりやすく説明します。
PrivateLink(プライベートリンク)
- 何か:サービス単位でプライベート接続を提供します。エンドポイント経由で特定のサービスにアクセスします。
- 長所:相手のVPCとIPアドレス帯が重複していても影響を受けません。公開IPを使わずにサービスを提供できます。
- 短所:VPC全体へのルーティングではなく、特定サービス向けです。多数のサービスをつなぐと設定やコストが増えます。
- 例:社内アプリから相手VPCのデータベースやSaaSのプライベートAPIに安全に接続したい場合。
Transit(トランジット)
- 何か:複数VPCを中央ハブに接続できる仕組みです。大規模なネットワーク設計に向きます。
- 長所:CIDR重複があってもルーティングで対処しやすく、スケールしやすいです。ハブ経由で管理が集中します。
- 短所:構成が複雑になりやすく、運用やコストの負担が増えます。
- 例:多数の部署やアカウントのVPCを一元管理して接続したい場合。
VPCピアリングとの比較ポイント
- IP重複:ピアリングは重複不可、PrivateLink/Transitは緩和手段あり
- スケール:ピアリングは多数接続で管理が大変、Transitは拡張向け
- 範囲:ピアリングはVPC間通信全体、PrivateLinkはサービス単位
- コストと運用:PrivateLink/Transitは設計と料金面で上位
選び方の目安
- 少数のVPCで直接通信するならVPCピアリング
- サービス単位で安全に公開したいならPrivateLink
- 多数VPCを中央管理で接続するならTransitを選ぶと良いです。
