すべてのプロダクト
Search

このプロダクト

    Virtual Private Cloud:技術原理

    ドキュメントセンター

    Virtual Private Cloud:技術原理

    最終更新日:Oct 17, 2025

    Virtual Private Cloud (VPC) は、クラウド上に構築される、論理的に分離されたプライベートネットワーク環境です。ソフトウェア定義ネットワーク (SDN) および VXLAN トンネル技術を活用してデータプレーンとコントロールプレーンを分離し、各 VPC には一意の VXLAN ネットワーク識別子 (VNI) を割り当てることで、仮想ネットワーク間の分離を実現します。

    サービスアーキテクチャ

    image

    データプレーン: パケット転送パス

    データプレーンは、ネットワークトラフィックの処理および転送を担い、分散 vSwitch とゲートウェイクラスターから構成されます。

    • ネットワーク分離: VPC は VXLAN トンネル技術によってネットワークを分離します。従来の VLAN 技術では最大 4,096 の仮想ネットワークしかサポートできず、大規模クラウドの要件を満たせません。VXLAN は、レイヤー 2 イーサネットメッセージをレイヤー 3 UDP パケットにカプセル化して転送することで物理ネットワークの制約を克服し、数百万もの仮想ネットワークをサポートします。

    • 通信フロー:

      • VPC 内通信: 同一 VPC 内の Elastic Compute Service (ECS) インスタンス間で通信が行われる際、送信パケットはカプセル化され、その VPC 固有の VNI でマークされます。パケットは物理ネットワーク経由で転送されますが、同一 VPC 内のインスタンスのみがこのパケットをデカプセル化して受信できます。

      • VPC 間分離: 異なる VPC のインスタンスは VNI も異なるため、それぞれ別の論理ルーティングプレーンに属します。これにより、インスタンス間のパケット転送は行われず、ネットワーク分離が保証されます。

    コントロールプレーン: ネットワークの集中管理

    コントロールプレーンは VPC のコアコンポーネントであり、SDN コントローラークラスターから構成され、ネットワークの集中管理とポリシー配信を担います。

    • 機能の分離: SDN 技術により、コントロールプレーンはデータプレーンから分離 (デカップリング) されます。コンソールまたは API を通じて行われるネットワーク設定 (ルート定義やセキュリティルール設定など) は、SDN コントローラーによって処理されます。これにより管理者は、基盤となるハードウェアの詳細を意識することなく、コントローラーを介してネットワークの動作を動的に調整できます。

    • 設定の配信: コントローラーは転送テーブルなどの設定情報を計算し、独自プロトコルを用いてデータプレーン上の vSwitch やゲートウェイに配信することで、トラフィック転送を制御します。この分離アーキテクチャにより、物理ハードウェアを操作することなくネットワーク設定を変更できるため、柔軟性と自動化のレベルが向上します。

    高可用性

    VPC アーキテクチャには、サービスの安定性を保証するため、高可用性と冗長性のメカニズムが組み込まれています。

    • 分散ノード: 分散 vSwitch を使用して、単一障害点 (SPOF) を防ぎます。

    • クラスターデプロイメント: ゲートウェイとコントローラーはクラスター構成でデプロイされ、複数のデータセンター (ゾーン) 間でのフェイルオーバーをサポートします。

    • リンクの冗長性: すべての物理リンクは冗長化されており、障害からのディザスタリカバリが可能です。

    機能アーキテクチャ

    VPC は、ビジネスニーズに応じたネットワークアーキテクチャを構築するための豊富な機能セットを提供するとともに、きめ細かなアクセス制御、監視、運用保守の機能も備えています。

    image

    • vSwitch: VPC ネットワークを分割 (サブネット化) し、リソースをデプロイするための基本ユニットです。ゾーンレベルのリソースです。

    • ルートテーブル: VPC 内のトラフィックの方向を制御します。vSwitch がルートテーブルにバインドされると、ルートエントリがその vSwitch を通過するパケットのネクストホップを決定します。

    • IP Address Manager (IPAM): IP の割り当てと管理を自動化する IP アドレス管理ツールです。これにより、ネットワーク管理が簡素化され、アドレスの競合が防止されます。

    • IPv4 ゲートウェイ/IPv6 ゲートウェイ: ルートテーブルと併用して、インターネットトラフィックを集中管理します。これにより、分散アクセスに伴うセキュリティリスクが軽減されます。

    • VPC ピアリング接続: 同一または異なるアカウントやリージョンにまたがる VPC 間の相互接続を可能にします。

    • ネットワーク ACL: vSwitch にバインドし、ACL ルールを設定することで、vSwitch を通過するインバウンドおよびアウトバウンドトラフィックを制御します。

    • フローログ: Elastic Network Interface (ENI) を通過するインバウンドおよびアウトバウンドトラフィックを収集・記録します。この情報を利用して、ネットワークパフォーマンスの監視、問題のトラブルシューティング、トラフィックコストの最適化などが可能です。

    • トラフィックミラーリング: 本番トラフィックに影響を与えないバイパス型の監視ソリューションです。フィルター条件に一致したトラフィックを複製し、セキュリティ分析アプライアンスに転送することで、リアルタイムの脅威検出を実現します。