MENU
Tech × Otaku 情報発信ブログ
  1. ホーム
  2. Tech
  3. VPC設計を”街の地図”で理解する:初心者でも迷わないサブネット設計【2025年版】

VPC設計を”街の地図”で理解する:初心者でも迷わないサブネット設計【2025年版】

Tech

VPC設計を”街の地図”で理解する:初心者でも迷わないサブネット設計【2025年版】

クラウドエンジニアの登竜門であり、最大の難関の一つが AWSのVPC(Virtual Private Cloud)設計です。VPCは、AWSクラウドの中に、外部から独立したあなた専用の「仮想ネットワーク」を作るサービスです。

僕はVPCを、「自分たちがインフラを構築・運用する、独立した国(街)」のように捉えています。

  • VPC全体:国境線と全体の方針
  • CIDR:国の人口規模(使えるIPアドレスの総数)
  • サブネット:街の中の区画(商業区、住宅区、工業区)

この「街の地図作り」を適当にやってしまうと、後から「道が狭すぎて渋滞(通信不可)」「危険なエリアに重要な施設を建ててしまった(セキュリティリスク)」といった問題が発生します。

この記事では、VPC設計の中でも特に重要な「サブネット設計」に焦点を当て、初心者でも迷わない3つの原則を、僕自身のTerraformでの設計経験を交えて解説します。
目次

🎨 サブネット設計を「街の区画整理」で理解する

サブネットは、VPCのCIDRブロックを分割した、個々のネットワークセグメント(区画)です。この区画整理をどう行うかが、安全で拡張性の高いインフラの鍵となります。

1 公開範囲で区画を分ける(Public/Privateの原則)

街には、誰でもアクセスできるエリアと、外部から遮断された安全なエリアが必要です。サブネットも、この「公開範囲」によって二種類に明確に分けます。

サブネット名 街の比喩 役割 設置するAWSリソース例
Public 商業区 外部インターネットとの接続口 ALB, Webサーバー(踏み台), NAT GW
Private 住宅区・機密エリア 外部から直接アクセス不可 DB(RDS), APサーバー, Cache

💡 鉄則

Private Subnetのサーバーは、絶対に外部から直接アクセスできないようにします。大切なデータ(DBなど)は、Privateという安全な区画に閉じ込めるのが基本です。

2 CIDR分割は「後で増える」を前提に

VPCのCIDR(例: 10.0.0.0/16)を決めたら、それをサブネットに分割します(例: 10.0.1.0/2410.0.2.0/24など)。

CIDRの選び方

  • サブネットのIPアドレス数は、CIDRの最後の数字(/24など)で決まります
  • /24なら256個(実質251個)のIPが使えます

📘 失敗しないコツ

用途ごとにIPアドレスの空きを意図的に残すこと

⚠️ 筆者経験:土地不足の地獄

以前のプロジェクトで、サブネットをカツカツで分割した結果、後から「監視用サーバーの専用サブネット」「新しいVPCピアリング接続用」が必要になり、IPアドレスの「土地不足」でVPCを作り直す地獄を見ました。

💬 Terraformでの設計

サブネットは、AZ(アベイラビリティゾーン)ごとにPublicとPrivateをセットで作成し、将来の拡張用に/20/22といった大きめのセグメントを予約しておくのが賢明です。IaCでコード化しておけば、再構築も容易です。

3 ルートテーブルは「標識」としてシンプルに保つ

サブネットの交通整理を行うのがルートテーブルです。

ルートテーブルの設定

  • Public Subnetのルートテーブル: インターネットゲートウェイ(IGW)へのルート(外部へのメインストリート)を設定
  • Private Subnetのルートテーブル: NATゲートウェイへのルート(Privateからの安全な出口)のみを設定

💡 街の地図の考え方

ルートテーブルは、サブネットから出るトラフィックの「標識」です。この標識が複雑になると、どこに通信が向かっているのか分からなくなり、デバッグが困難になります。「必要なルートだけ」を設定し、可能な限りシンプルに保ちましょう。

⚠️ 注意点・失敗談:コストとCIDRの「はみ出し」

サブネット設計で初心者がつまずきやすいポイントを2つ紹介します。

1. NAT Gatewayの常設コスト

Private Subnetがインターネットへ安全に出ていくために、NAT Gatewayが必要です。しかし、NAT Gatewayは時間課金とデータ処理量課金があり、無料枠ではすぐに予算オーバーします。

💡 対策

検証環境では、使用しないときはNAT Gatewayを削除するか、より安価なNATインスタンス(EC2)の利用を検討しましょう。

2. CIDRの重複チェック

VPCを複数作る際や、VPCピアリング(異なるVPC同士を接続)をする際、VPCやサブネットのCIDRが重複すると、絶対に通信できません

⚠️ 筆者経験:CIDR重複の罠

開発環境と本番環境で同じCIDR(例: 10.0.0.0/16)を使ってしまった結果、ピアリング接続ができず、「まさかCIDRが被るとは…」と途方に暮れたことがあります。設計の際は、「次に作るであろうVPC」のIP帯域も確保しておく、大局的な視点が大切です。

📚 まとめ:最高の「街の地図」を作ろう

VPC設計は、インフラの安全と拡張性を決める「街の地図作り」そのものです。

VPC設計の3つの原則

  1. Public/Privateで、公開範囲に応じた区画整理を徹底する
  2. CIDRは「後で増える」を前提に、空きを確保する
  3. ルートテーブルはシンプルに保ち、交通整理の標識を明確にする

これらの原則をTerraformのようなIaCツールでコード化し、変更可能な「設計書」として管理することで、インフラ運用は格段に楽になります。

📘 関連記事

👉 Terraformモジュールを”作品設計”で考える:再利用性と世界観の作り方【2025年版】

👉 AWS無料枠2025まとめ(AWS Free Tier Guide):できること・注意点・安全な使い方

👉 クラウドエンジニア初心者が最初に学ぶべき5つのスキル【2025年版】

Tech
AWS DevOps IaC Terraform VPC クラウド設計
よかったらシェアしてね!
  • URLをコピーしました!
  • URLをコピーしました!

この記事を書いた人

techotakulabのアバター techotakulab

関連記事

コメント

コメントする

CAPTCHA


目次