AWS SAA 試験勉強（2日目）

AWS 認定ソリューションアーキテクト – アソシエイト（SAA-C03）の合格において、「ネットワーク（VPC）」 は避けて通れない重要分野です。

試験では、単に用語を知っているだけでなく、「安全で、可用性が高く、かつコスト効率の良い通信設計」 をケーススタディ形式で選ぶ力が求められます。
今回は、VPCの基本から応用までを整理します。

なぜVPC（Virtual Private Cloud）が重要なのか？

AWS上のほとんどのサービス（EC2, RDS, Lambdaなど）は、このVPCという仮想ネットワークの中で動作します。

「EC2をどこに配置し、どうやってDBと安全に通信させ、どうやってインターネットに公開するか」といった設計の全責任はエンジニアにあります。
VPCを理解することは、AWSインフラの「設計図」を書けるようになることと同義です。

AWSクラウド内に確保された、自分専用のプライベートな論理ネットワーク空間です。

VPCをさらに細かく分割したネットワークの単位です。
アベイラビリティーゾーン（AZ） ごとに作成します。

サブネット種別	特徴	主な配置リソース
パブリック	インターネットゲートウェイ（IGW）へのルートを持つ。外部からアクセス可能。	ALB, Bastion(踏み台サーバ), Webサーバー
プライベート	直接インターネットへのルートを持たない。	DBサーバー(RDS), アプリケーションサーバー

試験のポイント： セキュリティの観点から「DBは必ずプライベートサブネットに配置する」のが鉄則です。

プライベートな空間であるVPCを、どうやって外の世界と繋ぐかの設計です。

VPCとインターネットを繋ぐ「玄関」です。

プライベートサブネットにあるインスタンスが、「中から外へ」だけ 通信できるようにする仕組みです。

AWSネットワークの保護には、毛色の違う2つの「壁」を組み合わせます。

「単一の障害でシステムを止めない」ために、マルチAZでの設計が必須です。

VPCを外の環境や他のVPCと繋ぐ方法は、試験で非常によく問われます。

VPCピアリング
- 2つのVPCを「1対1」で繋ぐ。最もシンプル。
- 推移的ルーティングは不可（A-B間、B-C間が繋がっていても、A-C間は通信不可）。
VPC エンドポイント (PrivateLink)
- インターネットを経由せずに、S3やDynamoDBなどのAWSサービスへ直接アクセスする仕組み。
- セキュリティとコストの面で推奨されます。
Transit Gateway
- 多数のVPCやオンプレミス拠点を「ハブ」のように一括接続するサービス。複雑な構成に。
AWS Direct Connect & Site-to-Site VPN
- Direct Connect: 専用線。安定、高速、高価。
- VPN: インターネット経由の暗号化。安価、短期間で導入可能。

試験で迷ったら、以下の「ベストプラクティス」を思い出す。