VPC(Virtual Private Cloud)。最初に聞いたとき、「また新しい謎用語か…」ってうんざりしたのを覚えてる。でもこれ、要するにAWS上に作る「自分だけのプライベートネットワーク」なんだよね。
物理サーバー時代は、ネットワーク機器を買ってラックに積んでケーブル刺して…って途方もない作業だった。VPCならブラウザでCIDR(IPアドレスの範囲)を決めるだけで、自分専用のネットワーク空間ができあがる。この感覚、慣れるとヤバい。
CIDR。`10.0.0.0/16` とか見ると身構えるけど、考え方はシンプルだ。「このネットワークに何個のIPアドレスを割り当てるか」の指定。`/16` なら65,536個、`/24` なら256個。cidr.xyzで視覚的に理解できるから、ここでつまずいたらまず見てほしい。
VPC設計で最初に覚えるべきはこれだけ:
- パブリックサブネット — インターネットから直接アクセスできるエリア。ロードバランサーとか置く。
- プライベートサブネット — インターネットから直接アクセスできないエリア。DBとかアプリサーバーはこっち。
- インターネットゲートウェイ(IGW) — VPCと外界を繋ぐ玄関。これがないとEC2から外に出られない。
- NATゲートウェイ — プライベートサブネットから「外に出るだけ」の出口。月額約$30と地味に高いのが玉に瑕。
僕がいつもやる構成は超シンプル。`10.0.0.0/16` でVPCを作って、publicに `10.0.1.0/24`、privateに `10.0.2.0/24`。これで個人開発の9割は事足りる。
あとセキュリティグループとネットワークACLの二重ファイアウォールもVPCの地味にすごいところ。後で「ここ制限しとけばよかった…」ってならないよう、最初からpublicサブネットには最低限のポートだけ開ける癖をつけておこう。