こんにちは!「機械系の俺がIT業界に転生してみた件」、ブログ主の瑠璃坊主です。
これまで、データを保存する「ストレージ」や、アプリケーションを動かす「仮想サーバー」といった、クラウドの主要な「箱」について学んできました。これらは、システムを構成するための「部品」のようなものです。
前回の記事はこちら↓
【未経験者向け】仮想サーバーの運用が劇的に変わる!ロードバランサー、オートスケーリング、スナップショットの超基礎知識
今回は、これらの部品を相互に、そしてインターネットとも確実につなぐ、まさにシステム全体の「神経」とも言えるネットワークについて、僕がITの勉強を始めたときに特に難しく感じたポイントを中心に、基礎から徹底的に解説していきます。
ネットワークは、システムを安全に、そして確実に動かすために、絶対に必要な知識です。特にクラウドの世界では、自分で物理的な配線をする必要がない分、その設定の概念をしっかり理解することが、安全なシステム構築の鍵になります。
専門用語も多いですが、補足説明を交えて解説しているので、極力初心者でもわかる内容で記載しています。一緒に頑張って学んでいきましょう!
1. 仮想ネットワーク「Amazon VPC」:クラウド上のマイホーム
突然ですが、皆さんのお家は自分の家と他人の家が混ざっているなんてことはありませんよね?
シェアルームは別かもしれませんが、家には、外部の人が勝手に入ってこられないように、壁やドア、鍵があって守られています。
クラウドの世界でも同じで、自分たちのサーバーやデータを、インターネット上の不特定多数の人々から隔離し、安全に守る「自分専用の空間」が必要です。
AWS{Amazon Web Services}では、この専用の空間をAmazon VPC(Amazon Virtual Private Cloud)と呼んでいます。
Amazon VPC{クラウド上で、完全に独立した自分たち専用の仮想的なネットワーク環境を構築できるサービスのこと}は、AWSの中に自分たちだけの「プライベートなネットワーク」を自由に設計できるサービスです。VPCを設定することで、インターネットから隔離された、安全な領域で仮想サーバーなどのリソースを動かすことができるようになります。
VPCを構成する要素:サブネットとアベイラビリティーゾーン
VPCという大きな家の中を、さらに細かく区切るのがサブネットという考え方です。
サブネット{ネットワークをさらに細かく分割した単位のこと}は、VPCの中に作る「部屋」のようなものです。例えば、「インターネットに直接つなぐ部屋(公開用)」と「インターネットから隔離する部屋(データ管理用)」のように、セキュリティや用途に応じてネットワークを分割するために使われます。
そして、このサブネットは、AWSのアベイラビリティーゾーン{物理的に離れた場所にあるデータセンターの単位のこと}の中に作られます。
- インターネットに接続するサブネット(パブリックサブネット):ウェブサーバーなど、インターネットからのアクセスを受け付けるサーバーを配置します。
- インターネットに接続しないサブネット(プライベートサブネット):データベースサーバーなど、外部から直接アクセスされたくない、重要なサーバーを配置します。
VPCを使うことで、どこに何を配置するかを自由に決められるため、ネットワークの構成とセキュリティを、自分たちの思い通りに設計できるんです。これは、物理的なインフラ{土台となる設備や環境のこと}を自前で用意していた時代には考えられない自由度の高さです。
2. ネットワークの守り神「セキュリティグループ」:サーバーの門番
せっかくVPCというプライベートな空間を作っても、そこに不正なアクセスが入ってきてしまっては意味がありません。VPCが「家の壁」だとすると、個々の仮想サーバーを守るための「鍵」や「門番」が必要です。
それが、セキュリティグループです。
セキュリティグループ{仮想サーバーへのアクセスを制御する、ソフトウェアで動作する「通信のフィルター」機能のこと}は、仮想サーバーへの「通信の許可・不許可」を設定するルールのようなものです。まるで、サーバーの前に立っている門番のイメージです。
セキュリティグループでは、以下の2つのルールを主に設定します。
- ポート番号の指定:
- ポート番号{ネットワーク上でデータをやり取りするための、仮想的な窓口のこと}は、コンピューターが「どの目的の通信か」を判別するための番号です。
- 例えば、ウェブサイトを見るための通信は80番(HTTP)や443番(HTTPS)、サーバーを遠隔操作するための通信は22番(SSH)など、用途によって決まっています。
- IPアドレスの指定:
- IPアドレス{インターネット上の機器に割り当てられた、住所のような番号のこと}は、どこからのアクセスを許可するかを指定します。
- たとえば、「会社のIPアドレスからのみサーバーへのアクセスを許可する」といった、非常に厳密な制限が可能です。
例えば、ウェブサーバー{サイトを表示するためのファイルや画像などのウェブサイトのデータを保管し、利用者のWebブラウザからの要求に応じてそれらのデータを提供するコンピューター、またはそのソフトウェア}の場合を考えてみましょう。ウェブサイトを公開するためには、インターネットから443番(HTTPS)の通信だけは受け入れる必要がありますが、サーバーを遠隔操作するための22番(SSH)は、管理者だけがアクセスできるように制限したいですよね。
セキュリティグループを使えば、「443番ポートはインターネット全体からのアクセスを許可。22番ポートは特定の管理者PCのIPアドレスからのアクセスのみ許可」といった、きめ細かな設定が簡単にできるのです。
これにより、不要な通信をシャットアウトし、サーバーの安全性を飛躍的に高めることができます。
3. ドメイン名とIPアドレスを結びつける「Amazon Route 53」:インターネットの電話帳
皆さんが友人や会社の同僚に電話をかけるとき、「〇〇さんの電話番号は090-XXXX-XXXX」と覚える代わりに、「〇〇さん」という名前で電話帳に登録しますよね。
ウェブサイトにアクセスするときも同じで、コンピューターが理解できる「IPアドレス」という数字の羅列(例: 172.16.0.10)を、人間が覚えやすい「ドメイン名」(例: www.google.comやこのブログのURL)に変換する仕組みが必要です。
この変換作業を行っているのが、DNS(Domain Name System)という仕組みです。
AWSでは、このDNSサービスをAmazon Route 53という名前で提供しています。
Route 53の役割と信頼性
Route 53の主な役割は、皆さんがブラウザに打ち込んだドメイン名を、そのウェブサイトが実際に動いている仮想サーバーのIPアドレスに変換し、正確に案内することです。
Route 53のすごいところは、その信頼性と拡張性です。
- 可用性の高さ:Amazon Route 53は、AWSのサービスの中でも特に高い可用性{システムが停止することなく動き続ける能力のこと}を公約している、非常に信頼性の高いサービスです。サービスが止まってしまうと、世界中のウェブサイトにアクセスできなくなる可能性があるため、極めて重要なインフラとして設計されています。
- 拡張性(スケーラビリティ):どれだけアクセスが増えても、スムーズに対応できる高い拡張性を持っています。急激なアクセス集中があっても、Route 53が止まる心配はほとんどありません。
IT業界で働く上で、このDNSの仕組みと、それが提供するドメイン名とIPアドレスの関係を理解することは、ウェブサービスがどのように動いているかを理解する上で、不可欠な知識となります。
まとめ
今回は、ITインフラの根幹であるネットワークについて、AWSの主要サービスを例に学んでいきました。
- Amazon VPC:クラウド上に自分専用のプライベートな仮想ネットワークを構築します。サブネットでネットワークを分割し、用途やセキュリティレベルを変えられます。
- セキュリティグループ:仮想サーバーの門番として、アクセスしてくる通信(ポート番号とIPアドレス)を厳しくチェックし、不正な通信をブロックします。
- Amazon Route 53:インターネットの電話帳の役割を担い、人間が使うドメイン名をコンピューターのIPアドレスに変換することで、ウェブサイトへのアクセスを可能にしています。
これらのネットワークの仕組みと設定を理解し、適切に利用することで、未経験からIT業界に入った私たちでも、安全で安定したシステムを構築・運用できるようになります。
ネットワークの知識は、奥が深くて難しく感じるかもしれませんが、一つ一つの機能が「家」「鍵」「電話帳」のように具体的な役割を持っていると考えると、整理しやすいのではないでしょうか。
次の記事では、いよいよITシステムの心臓部とも言える「データベース」について見ていきます。
それでは次回までご安全に!
コメント