翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# スケーラブルで安全なマルチ VPC AWS ネットワークインフラストラクチャの構築
公開日: **2024 年 4 月 17** 日 ([ドキュメント履歴](document-revisions.md))
アマゾン ウェブ サービス (AWS) のお客様は、ワークロードをセグメント化してフットプリントを拡大するために、何百ものアカウントと仮想プライベートクラウド (VPCs) に頼ることがよくあります。このレベルのスケールでは、リソース共有、VPC 間接続、VPC 接続へのオンプレミス施設に関する課題が頻繁に生じます。
このホワイトペーパーでは、[Amazon Virtual Private Cloud](https://aws.amazon.com/vpc/) (Amazon VPC)、[AWS Transit Gateway](https://aws.amazon.com/transit-gateway)、、[AWS PrivateLink](https://aws.amazon.com/privatelink/)、[Direct Connect](https://aws.amazon.com/directconnect/)[Gateway Load Balancer](https://aws.amazon.com/elasticloadbalancing/gateway-load-balancer/)、、[Amazon Route 53 ](https://aws.amazon.com/route53/)などの AWS サービスを使用して[AWS Network Firewall](https://aws.amazon.com/network-firewall/)、大規模なネットワークにスケーラブルで安全なネットワークアーキテクチャを作成するためのベストプラクティスについて説明します。増大するインフラストラクチャを管理するためのソリューションを示し、オーバーヘッドコストを抑えながら、スケーラビリティ、高可用性、セキュリティを確保します。
## 序章
AWS のお客様は、アクセス許可、コスト、サービスをセグメント化する管理境界を表す 1 つの AWS アカウントでリソースを構築することから始めます。ただし、お客様の組織が成長するにつれて、コストのモニタリング、アクセスの制御、環境管理の簡素化のために、サービスのセグメント化を強化する必要があります。マルチアカウントソリューションは、組織内の IT サービスとユーザーに特定のアカウントを提供することで、これらの問題を解決します。 には、 など、このインフラストラクチャを管理および設定するためのツールがいくつか AWS 用意されています[AWS Control Tower](https://aws.amazon.com/controltower/)。
![\[AWS Control Tower 初期デプロイを示す図\]](http://docs.aws.amazon.com/ja_jp/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/images/control-tower-deployment.png)
を使用してマルチアカウント環境を設定すると AWS Control Tower、2 つの組織単位 (OUsが作成されます。
+ **セキュリティ OU** – この OU 内で、 は 2 つのアカウント AWS Control Tower を作成します。
+ ログアーカイブ
+ 監査 (このアカウントは、ガイダンスで前述したセキュリティツールアカウントに対応します)。
+ **サンドボックス OU** – この OU は、 内に作成されたアカウントのデフォルトの送信先です AWS Control Tower。これには、チームの許容可能な使用ポリシーに従って、ビルダーが AWS サービス、およびその他のツールやサービスを試すことができるアカウントが含まれています。
**AWS Control Tower では、追加の OUs を作成、登録、管理して初期環境を拡張し、ガイダンスを実装できます。 **
次の図は、 AWS Control Towerによって最初にデプロイされた OU を示しています。 AWS 環境を拡張して、図に含まれている推奨 OU のいずれかを実装し、要件を満たすことができます。
![\[AWS 組織の OUs を示す図。\]](http://docs.aws.amazon.com/ja_jp/whitepapers/latest/building-scalable-secure-multi-vpc-network-infrastructure/images/organization-ous.png)
を使用したマルチアカウント環境の詳細については AWS Control Tower、「複数アカウントを使用した環境の整理」ホワイトペーパーの[https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/appendix-e-establish-multi-account.html](https://docs.aws.amazon.com/whitepapers/latest/organizing-your-aws-environment/appendix-e-establish-multi-account.html)」を参照してください。 * AWS *
ほとんどのお客様は、インフラストラクチャをデプロイするためにいくつかの VPCs から始めます。顧客が作成する VPCs の数は通常、アカウント、ユーザー、ステージング環境 (本番稼働、開発、テストなど) の数に関連しています。クラウドの使用が増えるにつれて、顧客がやり取りするユーザー、ビジネスユニット、アプリケーション、リージョンの数も増加し、新しい VPCsが作成されます。
VPCs の数が増えるにつれて、クロス VPC 管理はお客様のクラウドネットワークの運用に不可欠です。このホワイトペーパーでは、VPC 間およびハイブリッド接続における 3 つの特定の分野のベストプラクティスについて説明します。
+ **ネットワーク接続** — VPCsとオンプレミスネットワークを大規模に相互接続します。
+ **ネットワークセキュリティ** – [ネットワークアドレス変換 (NAT) ゲートウェイ](https://docs.aws.amazon.com/vpc/latest/userguide/vpc-nat-gateway.html)、[VPC エンドポイント 、、、Gateway Load Balancer などのインターネットとエンドポイント](https://docs.aws.amazon.com/vpc/latest/privatelink/vpc-endpoints.html)にアクセスするための一元的な出力ポイントを構築します。 [AWS PrivateLink](https://aws.amazon.com/privatelink/) [AWS Network Firewall](https://aws.amazon.com/network-firewall/) [https://aws.amazon.com/elasticloadbalancing/gateway-load-balancer/](https://aws.amazon.com/elasticloadbalancing/gateway-load-balancer/)
+ **DNS 管理** – Control Tower およびハイブリッド DNS 内の DNS を解決します。
## IP アドレスの計画と管理
スケーラブルなマルチアカウントマルチ VPC ネットワーク設計を構築するには、IP アドレスの計画と管理が不可欠です。適切な IP アドレス指定スキームでは、現在および将来のネットワークニーズを考慮する必要があります。IP アドレススキーム IP は、オンプレミスワークロード、クラウドワークロードをカバーし、将来の拡張 (新規、ビジネスユニット AWS リージョン、合併や買収の追加など) も可能にする必要があります。また、チームが誤って重複CIDRs を作成しないようにする必要があります。分離されたワークロードや切断されたワークロードなど、重複する IP CIDR が必要な場合は、この決定を意識し、ルーティング、セキュリティ、コストへの影響を考慮する必要があります。また、このような例外に必要な承認プロセスの作成を検討する必要がある場合もあります。優れた IP アドレス指定スキームは、ネットワーク設計とルーティング設定の簡素化にも役立ちます。
主な考慮事項:
+ IP アドレススキーム (パブリック IP とプライベート IPs) を事前に計画し、IP アドレス管理ツールを選択して、すべてのワークロードで IP アドレスの使用状況を割り当て、管理、追跡します。
+ 階層型および要約された IP アドレス指定スキームを使用します。
+ 環境、組織、またはビジネスユニットに基づいて AWS リージョン、一貫した IP 割り当てを計画します。
+ オンプレミスネットワークとクラウドネットワーク用に個別の IP CIDRs (IPv4 と IPv6 の両方) を指定します。
+ 重複する IP CIDRs。
+ IP CIDRs のサイズを適切に設定して、スケーリングと将来の成長を可能にします。
+ IPv6 またはデュアルスタックの互換性のためにワークロードを有効にして、IP 競合を減らし、IPv4 スペースの枯渇に対処します。
Amazon VPC IP Address Manager (IPAM) を使用すると、 AWS ワークロードのパブリック IP アドレスとプライベート IP アドレスの両方の計画、追跡、モニタリングを簡素化できます。IPAM を使用すると、複数の および 間で IP アドレス空間を整理、割り当て、モニタリング、共有できます AWS リージョン AWS アカウント。また、特定のビジネスルールを使用して CIDRs を VPCs に自動的に割り当てるのにも役立ちます。
[「Amazon VPC IP Address Manager Best Practices](https://aws.amazon.com/blogs/networking-and-content-delivery/amazon-vpc-ip-address-manager-best-practices/)」、[「Managing IP pools across VPCs and Regions using Amazon VPC IP Address Manager](https://aws.amazon.com/blogs/networking-and-content-delivery/managing-ip-pools-across-vpcs-and-regions-using-amazon-vpc-ip-address-manager/)」、[「IP Address Management for AWS Control Tower](https://aws.amazon.com/blogs/networking-and-content-delivery/ip-address-management-for-aws-control-tower/) blog posts」を参照して、IP Addressing best practices and how to use IPAM to manage IP pools across VPCs AWS リージョン」、および「」を参照してください AWS Control Tower。
## Well-Architected の実現状況の確認
[AWS Well-Architected フレームワーク](https://aws.amazon.com/architecture/well-architected/)は、クラウド内でのシステム構築に伴う意思決定の長所と短所を理解するのに役立ちます。このフレームワークの 6 つの柱により、信頼性、安全性、効率、費用対効果、持続可能性の高いシステムを設計および運用するための、アーキテクチャのベストプラクティスを確認できます。[AWS マネジメントコンソール](https://console.aws.amazon.com/wellarchitected) で無料で提供されている [AWS Well-Architected Tool](https://aws.amazon.com/well-architected-tool/) を使用すると、柱ごとに一連の質問に答えることで、これらのベストプラクティスに照らしてワークロードを評価できます。
クラウドアーキテクチャに関する専門的なガイダンスやベストプラクティス (リファレンスアーキテクチャのデプロイ、図、ホワイトペーパー) については、[AWS アーキテクチャセンター](https://aws.amazon.com/architecture/)を参照してください。