AWS SAA-C03 学習サイト

EC2のネットワーク設定とIPアドレス管理

パブリック/プライベートIP、Elastic IP、ENI、セキュリティグループとNACL、ソース/宛先チェック、接続トラブルシューティングを試験向けに整理します。

学習順Step 17 / 61サービスVPC試験ドメイン弾力性

パブリックIPとプライベートIP

EC2インスタンスには、ネットワークインターフェース(ENI)を通じてIPアドレスが割り当てられます。

プライベートIPアドレス

  • VPC内部の通信に使用される
  • インスタンス起動時に自動で割り当てられ、インスタンスが終了するまで変わらない
  • 同じVPC内の他のインスタンスやサービスとの通信に利用

パブリックIPアドレス

  • インターネットとの通信に使用される
  • デフォルトサブネットではインスタンス起動時に自動で付与される
  • ユーザーが作成したサブネットでは、サブネット設定で「パブリックIP自動割り当て」を明示的に有効化する必要がある
  • インスタンスの停止・再起動で変更される可能性がある

Elastic IP(EIP)

インスタンスの停止・再起動でパブリックIPが変わると困る場合、Elastic IPを使用して固定のパブリックIPアドレスを割り当てます。

  • AWSアカウントに割り当てられる静的なパブリックIPv4アドレス
  • インスタンスに関連付けると、そのインスタンスに固定のパブリックIPが設定される
  • インスタンスを停止しても、EIPの関連付けは維持される
  • EIPを取得したまま未使用(インスタンスに関連付けていない)の場合、課金が発生するため注意が必要
  • EIPを別のインスタンスに付け替えることで、障害時のフェイルオーバーにも活用可能

ENI(Elastic Network Interface)

ENIは、EC2インスタンスに接続される仮想的なネットワークカードです。インスタンスには必ず1つのプライマリENIがアタッチされており、そこにIPアドレスやセキュリティグループが設定されます。

ENIに設定される情報

  • プライベートIPアドレス(1つ以上)
  • パブリックIPアドレスまたはElastic IP
  • セキュリティグループ
  • MACアドレス

ENIの活用

  • 複数ネットワークインターフェースの接続: 1つのインスタンスに複数のENIをアタッチして、管理用ネットワークとサービス用ネットワークを分離できる
  • フェイルオーバー: 障害発生時にENIを別のインスタンスに付け替えることで、IPアドレスを維持したまま切り替え可能
  • 同じAZ内のインスタンス間でENIを移動して柔軟なネットワーク構成を実現

インターネット接続のトラブルシューティング

EC2インスタンスにインターネットからアクセスできない場合、以下の3つの観点を確認します。

1. パブリックIPアドレスの確認

  • インスタンスにパブリックIPまたはElastic IPが割り当てられているか
  • デフォルトサブネット以外を使用している場合、パブリックIPの自動割り当てが有効か

2. アクセス許可設定

  • セキュリティグループのインバウンドルールで、必要なポート(SSH: 22、HTTP: 80など)が許可されているか
  • ネットワークACLで通信がブロックされていないか
  • クライアント側のファイアウォールやネットワーク設定に問題がないか

3. ネットワーク構成

  • インスタンスがパブリックサブネットに配置されているか
  • サブネットのルートテーブルにインターネットゲートウェイへのルートが存在するか
  • VPCにインターネットゲートウェイがアタッチされているか

セキュリティグループとネットワーク ACL の対比

観点 セキュリティグループ(SG) ネットワーク ACL(NACL)
適用単位 ENI/インスタンス サブネット
ステート ステートフル(戻りトラフィックは関連フローとして許可されやすい) ステートレス(インバウンドとアウトバウンドを別ルールで明示)
ルール 許可のみ(拒否は暗黙) 許可と拒否
試験の典型 SSH/HTTP のポート開放 追加の IP ブロックやレガシー設計

プライベートサブネットのインスタンスがインターネットに出るには NAT ゲートウェイ/NAT インスタンスルートテーブル 0.0.0.0/0 → NAT が必要、という長文が頻出です。

ソース/宛先チェック(NAT など)

NAT ゲートウェイやルーティング用 EC2 では ソース/宛先チェックの設定が論点になることがあります。試験では「NAT に SG は付くが、パケット転送の仕組みはルートとチェック」など、VPC のルーティングとセットで読む問題が出ます。

試験でよく出るシナリオ

  • パブリックサブネットの Web サーバーに届かないSG のインバウンドNACLルートで IGWパブリック IP または EIP の有無
  • プライベート DB に踏み台から SSH で入れない同一 VPC 内 SG 参照踏み台のパブリック IPDB SG で踏み台 SG をソースに指定
  • EIP を付け替えたが DNS が古いTTLRoute 53 のエイリアス の話に繋がる。

参考リンク

重要ポイント

  • パブリックIPは停止で解放されやすい。EIPは固定だが未関連付けで課金
  • SGはステートフルな仮想ファイアウォール。NACLはサブネットのステートレス
  • NATゲートウェイやVPCルートでプライベートサブネットからのアウトバウンドを設計
  • ENIはIP・SGの単位で付け替え可能。マルチホームやフェイルオーバーに利用
  • 接続不可はルートテーブル・IGW・SG・NACLの順で切り分け

このトピックの学習を完了しますか?

完了状態はいつでも切り替えられます

この試験ドメイン内で次の学習に進む

この試験ドメイン内の前

EC2起動

EC2インスタンスの起動フローと基礎

この試験ドメイン内の次

EC2ライフサイクル

EC2インスタンスのライフサイクルと状態管理

同じサービスの関連トピック

VPC とネットワーク設計 に関連するトピックを続けて確認できます。

VPC/サブネット

VPCとサブネットの基本

VPC外部

VPCの外部通信・外部接続(IGW/NAT/VPN/Peering/Endpoint)

VPC制御

VPCのアクセス制御(ルートテーブル / SG / NACL)

VPC セキュリティ

VPC, Security Groups, NACLs

← 弾力性 に戻るクイズに挑戦 →