仮想プライベートクラウド（VPC）とは

VPCを利用すると、企業は他のパブリッククラウドのテナントから論理的に隔離された仮想ネットワークを定義して制御できるようになり、パブリッククラウド上にプライベートでセキュアな空間を構築できます。

クラウド・プロバイダーのインフラストラクチャーを、複数の世帯が住むアパートと考えてみてください。パブリッククラウドのテナントは、数人のルームメイトとアパートをシェアするようなものです。対照的に、VPCを持つことは、自分専用のコンドミニアムを持つようもので、他の誰も鍵を持っておらず、自分が許可しなければ誰もそのスペースに入ることはできません。

VPCの論理的隔離は、仮想ネットワーク機能とセキュリティー機能を使用して実装されるため、エンタープライズ顧客は、特定のリソースにアクセスできるIPアドレスやアプリケーションを詳細にコントロールできます。この機能は、公開済みの投稿を見ることができる人やできない人を制限する、ソーシャル・メディア・アカウントの「友達限定」や」「公開/非公開」のコントロールに似ています。

VPCは、PaaS（Platform as a Service）、SaaS（Software as a Service）、サーバーレスとともに、最も人気のある4つのクラウド・サービス製品の1つであるIaaS（Infrastructure as a Service）カテゴリーに分類されます。Amazon Web Services（AWS）、Microsoft Azure、Google Cloud、IBM Cloud、Oracle Cloud Platform、VMwareなど、すべてのトップ・クラウド・サービス・プロバイダーがVPCソリューションを提供しています。

医療、金融、官公庁・自治体など、高いレベルのセキュリティー、プライバシー、データ制御を必要とする業界では、多くの場合VPCが好まれます。Future Market Insights, Inc.のレポートによると、仮想プライベートクラウド（VPC）の市場シェアは、2022年の388億ドルから2032年には1,296億ドルに拡大すると予測されています¹。この成長の原動力としては、シンプルなインストールと低コストの災害復旧（DR）ソリューションに対する需要の高まりや、中小企業における仮想プライベートクラウドの採用の増加などがあります¹。

VPCとそのアーキテクチャーおよびそのメリットについて詳細は、IBM CloudのRyan Sumnerが説明するこの動画をご覧ください。

VPCは、パブリック／プライベート・クラウド・コンピューティングの「両者のメリットを活かす」アプローチです。パブリッククラウドのリソースとコスト削減を活用しながら、プライベートクラウドの多くの利点を顧客に提供します。VPCモデルの主な特徴は次のとおりです。

各VPCの主な特徴は、ビジネスの俊敏性、革新性の向上、成長のスピードアップを支援するメリットへとスムーズに変換できます。

• 柔軟な事業成長：仮想サーバー、クラウド・ストレージ、ネットワーキングなどクラウド・インフラストラクチャーのリソースは動的にデプロイできるため、VPCのお客様はビジネス・ニーズの変化に容易に対応することができます。

• 顧客の満足：今日の「常時接続」のデジタル・ビジネス環境では、ほぼ100%の稼働率が期待されています。VPC環境の高可用性により、信頼性の高いオンライン・エクスペリエンスを実現し、顧客ロイヤルティーを構築して、ブランドへの信頼を高めます。

• データ・ライフサイクル全体でのリスク低減：VPCは、インスタンス・レベル、サブネット・レベル、あるいはその両方で高レベルのセキュリティーを享受できます。これにより安心感が得られ、さらにお客様の信頼が高まります。

• ビジネス・イノベーションに向けたリソースの拡大：コストを削減し、社内のITチームへの負担を減らすことで、主要なビジネス目標の達成やコア・コンピテンシーの発揮に注力できます。

仮想プライベート・ネットワーク（VPN）は、情報が通過する暗号化されたトンネルを作成することで、パブリック・インターネットへの接続がプライベート・ネットワークへの接続と同様に安全となるようにします。VPCにVPN as a Service（VPNaaS）をデプロイすると、VPCとオンプレミス環境や他のロケーションの間にセキュアなサイト間通信チャネルを確立できます。VPNを使用すると、複数のVPC内のサブネットを接続して、あたかも単一のネットワーク上にあるかのように機能させることができます。

プライベートクラウドと仮想プライベートクラウド（VPC）は、（誤って）同じ意味で使われることがあります。VPCは実際には、パブリッククラウド提供サービスのひとつです。プライベートクラウドは、企業が所有・運用・管理するシングルテナントのクラウド環境であり、オンプレミスまたは専用スペースや設備でホストされるのが一般的です。これに対して、VPCはマルチ・テナント・アーキテクチャーでホストされますが、各顧客のデータとワークロードは他のすべてのテナントのデータとワークロードから論理的に分離されています。クラウド・プロバイダーには、この論理的隔離を徹底する責任があります。

VPCは、パブリッククラウドのアーキテクチャー内にプライベートなスペースを作成することを可能とするシングルテナントのコンセプトです。VPCは、従来のマルチテナント・パブリッククラウド提供サービスよりも優れたセキュリティーを提供しながらも、顧客にパブリッククラウドの高可用性や柔軟性、費用対効果の活用を可能にします。場合によっては、VPCとパブリッククラウド・アカウントを拡張する方法が異なることがあります。例えば、追加のストレージ・ボリュームが、VPCでは特定のサイズのブロックでしか利用できない場合があります。一部のパブリッククラウド機能は、VPC提供サービスでサポートされていません。

VPCでは、論理インスタンスと呼ばれるクラウド・リソースを独自の分離された仮想ネットワークにデプロイできます。こうしたクラウド・リソースは、次の3つのカテゴリーに分類されます。

• コンピュート：仮想サーバー・インスタンス（VSI、仮想サーバーとも呼ばれる）は、所定の計算能力、メモリーなどを備えたCPU（vCPU）としてユーザーに提示されます。

• ストレージ：VPCの顧客には通常、アカウントごとに一定のブロック・ストレージ容量が割り当てられ、追加購入も可能です。この価格モデルは、ハードドライブ容量を追加購入するのに似ています。ストレージの推奨要件は、ワークロードの特性によって異なります。

• ネットワーキング：仮想プライベートクラウドのアカウントに、さまざまなネットワーク機能の仮想バージョンをデプロイして、そのリソースへのアクセスを有効にしたり制限したりできます。これには次のものが含まれます。
  • パブリック・ゲートウェイ：パブリック・ゲートウェイは、VPC環境の全部または一部の領域を一般のインターネットで利用可能にするために導入されます。
  • ロード・バランサー：ロード・バランサーは、ネットワーク・トラフィックを複数の仮想サーバー・インスタンス（VSI）に分散させ、可用性とパフォーマンスを最適化します。
  • ルーター：ルーターはトラフィックを転送し、複数のネットワーク・セグメント間の通信を可能にします。
  • 直接リンクまたは専用リンク：直接ネットワーク接続または専用ネットワーク接続により、オンプレミスのエンタープライズIT環境、もしくはプライベートクラウドとパブリッククラウド上のVPCリソース間の高速かつ安全な通信が可能になります。

• リージョン：プロバイダーが地域をまたいでVPCをホストします。リージョンとは、アプリやサービスその他のリソースをデプロイできる特定の地理的な場所です。リージョンは1つ以上のゾーンで構成されます。ゾーンは、ホスト・サービスとアプリケーション用のコンピューティング、ネットワーク、ストレージのためのリソースならびに関連する冷却装置や電源を収容する物理データセンターです。ゾーンは相互に分離されているため、リージョン内で共有される単一障害点が発生することはありません。

• 可用性ゾーン：可用性ゾーンとは、VPCリージョン内で論理的・物理的に隔離され、独立した電源や冷却装置、ネットワーク・インフラストラクチャーがある場所のことです。

• サブネット：サブネットとは、IPネットワークをより小さなネットワーク・セグメントに分割した論理的な区画のことです。VPC内のこれらの基本メカニズムは、個々のリソース（仮想サーバー・インスタンスなど）にIPアドレスを割り当て、ネットワーク・アクセス制御リスト（ACL）やルーティング・テーブル、リソース・グループを通じて、これらのリソースに対するさまざまな制御を可能にします。サブネットは、VPC環境ではインターネットを通じて一般にアクセスできないプライベートIPアドレスのように機能します。

• ルート・テーブル：VPC内の各サブネットは、サブネットまたはゲートウェイのネットワーク・トラフィックを制御するルールまたはルートのコレクションであるルート・テーブルに紐づけられている必要があります。

• フロー・ログ：フロー・ログは、VPC内のネットワーク・インターフェースを行き来するIPトラフィックに関する情報の収集・保管・表示を可能にします。

• ドメイン・ネーム・システム（DNS）サービス：VPCに紐づけられたDNSサービスにより、ユーザーは独自のプライベートDNSゾーンとDNSリソース・レコードを作成できます。プライベートDNSは、DNSクエリーを暗号化し、第三者がオンライン・アクティビティーを監視できないようにすることで、オンラインのプライバシーとセキュリティーを向上させることができます。

今日のソフトウェア・アプリケーションの大半は、次のような相互接続された層で構成される3層アーキテクチャーで設計されています。

3層アプリケーションでは、すべての通信がアプリケーション層を経由します。プレゼンテーション層とデータ層は相互に直接通信することはできません。アプリケーション層は、アプリケーション・プログラミング・インターフェース（API）の呼び出しによって、プレゼンテーション層およびデータ層と通信します。

VPC上に3層のアプリケーション・アーキテクチャーを作成するには、各層に独自のサブネットを割り当てることが必要で、それによって独自のIPアドレス範囲が付与されます。各層には、自動的に独自のユニークなACLが割り当てられます。

仮想プライベートクラウド（VPC）モデルでは、VPCプロバイダーが各顧客のデータを分離された安全な状態に保つことを保証します。これは、サブネットや仮想プライベート・ネットワーク（VPN）、仮想ローカル・エリア・ネットワーク（VLAN）など、セキュリティーの向上とネットワーク・トラフィックの制御に役立つネットワークの分離を含むクラウド・セキュリティーの手順と技術によって実現します。

さらに、VPCは、従来のデータセンターに収容されたリソースへのアクセスを制御するために使用されるセキュリティー機能の仮想レプリカを作成することで、高水準のセキュリティーを実現します。これらのセキュリティー機能により、お客様はパブリッククラウドの論理的に隔離された部分に仮想ネットワークを定義し、どのIPアドレスがどのリソースにアクセスできるかをコントロールできます。

VPCセキュリティーの層を構成する2種類のネットワーク・アクセス制御 :

• アクセス制御リスト（ACL）：ACLは、VPC内の特定のサブネットにアクセスできる人を制限するルールのリストです。前述のとおり、サブネットとは、VPCの一部またはサブディビジョンのことで、ACLはそこへのアクセスを許可されたIPアドレスまたはアプリケーションのセットを定義します。

• セキュリティー・グループ：セキュリティー・グループを使用すると、複数のサブネットに存在する可能性があるリソースのグループを作成し、それらに統一されたアクセス・ルールを割り当てることができます。例えば、3つの異なるサブネットに3つのアプリケーションがあり、それらをすべてインターネットに公開したい場合、同じセキュリティー・グループに配置することができます。セキュリティー・グループは仮想ファイアウォールのように機能し、仮想サーバーがどのサブネットにあるかに関係なく、仮想サーバーへのトラフィックフローをコントロールします。

さまざまなクラウド・プロバイダーが、VPC提供サービスで異なる価格モデルを提供している場合があります。ロード・バランサー、VSI、ストレージなどの個々のVPCリソースは個別に価格設定されるのが一般的です。データ転送も、容量に応じて課金されるのが一般的ですが、プライベート・ネットワーク経由のデータ転送には課金しないクラウド・プロバイダーもあります。

ビジネス・ニーズを満たす最適なVPCと価格モデルを決定するには、まず、導入予定のアプリケーションの要件を考慮することから始めます。数値計算の負荷は高いか。大量のメモリーやCPUを必要とするか。あるいは、CPUやストレージ、メモリーの要件に関してよりバランスが取れているか。これらの質問に答えることで、使用ニーズを予測しやすくなり、オプションを比較する際に潜在的なコストを見積もることができます。

• Webアプリケーションのホスト：Webアプリケーションを安全にホストし、インターネットからVPCリソースへのネットワーク・トラフィックをより適切に制御できます。

• クラウド移行：VPCは、機微なオンプレミス資産をパブリッククラウド環境内の分離されたプライベートクラウドに移動する費用対効果の高い方法を提供し、低遅延で最小限のダウンタイムおよび堅牢なクラウド・セキュリティーを保証します。

• ハイブリッドクラウド戦略：VPCは、今日のハイブリッドクラウド戦略をサポートします。開発者は、VPNを使用してVPCをパブリッククラウドまたはオンプレミス・インフラストラクチャーに接続し、オンプレミスやプライベート、パブリッククラウドのリソースを統合して、単一かつ柔軟で統合されたITインフラストラクチャーを作成できます。

• マルチクラウド・デプロイメント：VPCは、クラウド・プロバイダー間のVPC間のプライベート接続を許可することで、マルチクラウド・デプロイメントもサポートします。マルチクラウド・ソリューションには、Kubernetesなどのオープンソースのクラウドネイティブ・テクノロジーが含まれます。また、通常、中央コンソールまたはシングルペイン・オブ・グラス（単一の画面）で複数のクラウドにわたるワークロードを管理する機能も備えています。

• DevOpsプラクティス：VPC環境はDevOpsプラクティスをサポートし、より高品質なアプリケーションとサービスの提供を加速します。DevOps自動化では、クラウド・ネイティブのツールとテクノロジーを使用してルーチン・タスクを実行し、その結果、ワークフローとソフトウェア開発ライフサイクル全体を高速化します。

• 高性能コンピューティング（HPC）：VPC環境は、最高レベルのネットワーク速度と最も安全なソフトウェア定義のネットワーキング・リソースを備えた、高速プロビジョニングの計算能力を提供し、金融や医療などの規制の厳しい業界の高性能コンピューティング（HPC）のニーズをサポートします。

• 規制コンプライアンスとデータ・ガバナンス：厳格な規制やデータ・ガバナンスの要件を遵守することは、特に石油・ガスなどのグローバルな業界では重要です。今日のクラウドVPCのマネージド・サービス・プロバイダーは、組み込みのセキュリティー・ツールや規制コンプライアンス・ツールならびに機密コンピューティング用のハードウェアおよびソフトウェア・ソリューションを提供しています。標準機能には、暗号化オプションとデータ・レジデンシー制御が含まれます。

• 業界固有のクラウド：VPCは業界固有のクラウド・プラットフォームの理想的な構成要素であり、金融や医療などの業界では、安全でビジネス成果を迅速に提供できるセクター固有の機能を求める傾向が高まっています。

• ビジネス継続性ディザスタ・リカバリ（BCDR）:他のクラウドベースのサービスと同様に、事業継続性ディザスタ・リカバリ（BCDR）には、データを保護し、サービス機能を復元するメカニズムが必要です。これには、システム停止後にシステム、アプリケーション、またはデータセンターを復旧するためのさまざまなツール、ポリシー、および手順が含まれます。設備の故障、サイバー攻撃、自然災害などによる災害が発生した場合に、組織はビジネス継続性ディザスタ・リカバリを確保できます。

• エッジコンピューティングとモノのインターネット（IoT）：製造業や小売業などの業界でIoTが使用され、エッジ・デバイスがクラウドに接続されるようになると、VPCのような安全でスケーラブルなクラウド環境が必要になります。