AWSを触り始めると、必ず最初の壁として立ちはだかるのが「ネットワークがよく分からない」という問題です。EC2を立ち上げるにしても、結局VPCの理解が必要になります。今回の記事では、AWSネットワークの土台であるVPCとサブネットのしくみを、初心者でもイメージしながら読めるように解説していきます。

AWSネットワークの全体像

AWS上のネットワークは、ざっくり言うと「自分専用の仮想データセンター」を作るところから始まります。そのデータセンターがVPC（Virtual Private Cloud）です。この中に、EC2、RDSなどのリソースを配置し、どれを外部公開するか、どれは閉じておくかを細かく制御します。AWSのネットワークが分かると、システム全体の構造が急にスッキリ見えてくるのはこのためです。

VPCとは — 自分専用の仮想ネットワーク

VPCは、AWS上に作る論理的なネットワーク空間です。VPCを作成するときにCIDR（例：10.0.0.0/16）を決めますが、これは「空間をどれくらいの広さにするか？」という設定にあたります。
VPCで設定できる主な要素は以下の通りです。

• IPアドレス空間（CIDR）
• サブネットの作成
• ルートテーブルによる通信経路の制御
• セキュリティグループやNACLによるアクセス制御

VPCが理解できていると、「なぜ外からアクセスできないのか」「なぜ別サブネットに通信できないのか」など、ネットワークで起きる”ハマりどころ”も把握しやすくなります。

サブネットとは — VPC内を用途ごとに分割するしくみ

サブネットは、VPCをより小さく区切ったネットワークの単位です。AZ（アベイラビリティゾーン）単位で作成され、用途ごとに分けるのが一般的です。
よくある構成としては、

• パブリックサブネット：外部公開が必要なリソースを置く（例：ALB、NAT GW）
• プライベートサブネット：外部非公開のリソースを置く（例：EC2、RDS、ECSタスク）

といった使い分けです。

インターネットゲートウェイとNATゲートウェイネットワーク

ネットワークを理解する上で、外部通信の出口となるインターネットゲートウェイ（IGW）とNATゲートウェイ（NAT GW）は避けて通れません。

• （IGW）インターネットゲートウェイ

パブリックサブネットからインターネットへ出るための”正面玄関”です。ALBや外部公開が必要なEC2は、IGWに向けたルートを持つパブリックサブネットに置きます。

• （NAT GW）NATゲートウェイ

プライベートサブネット内のリソースが外へ出たいけれど、外からは入ってきてほしくないときに使う”裏の出口”です。
例：EC2 → OSアップデート、パッケージの更新をしたいECS → Dockerイメージを取得したいLambda→外部APIを叩きたい（VPC内配置時）こういったケースでNATGWを経由して通信します。

まとめ

AWSのネットワークは一見とっつきにくいですが、各サービスの役割・用途を順に理解すると、構造が一気に把握しやすくなります。ネットワークの基礎が分かれば、EC2、ECS、RDSなどの設計もスムーズになり、AWSの操作全体が迷わなくなるはずです。