プライベートサブネット【private subnet】
プライベートサブネットとは?
サブネットとは、大きなネットワークを分割した単位である。クラウドサービスでは、インターネットへの通信経路を持つ「パブリックサブネット」と、持たない「プライベートサブネット」を使い分けて設計する。プライベートサブネットにはインターネットゲートウェイが接続されておらず、外部から直接到達する経路が存在しない。内部の機器にはグローバルIPアドレスが割り当てられず、ネットワーク内でのみ有効なプライベートIPアドレスで識別される。
この領域には、顧客情報を扱うデータベースサーバや、バックエンド処理を担当するアプリケーション、業務で利用する内部システム、管理用システムなどが配置される。これらは外部に公開する必要がなく、むしろインターネットに直接さらすことでサイバー攻撃や情報漏洩のリスクを招く。プライベートサブネットに置くことで、外部からの侵入経路をあらかじめ断った状態で運用できる。
内部の機器であっても、ソフトウェアのアップデートを取得する際など、サーバ側からインターネットへ接続しなければならない場合がある。その場合は「NATゲートウェイ」を経由させることで、内部から外部への一方向の通信のみを許可できる。外部からプライベートサブネットへの自発的な接続は遮断したまま、内側からの必要な通信だけを通す構成である。
実際のシステムでは、パブリックサブネットとプライベートサブネットを組み合わせた多層構造が一般的である。外部からのリクエストはパブリックサブネットのWebサーバが受け取り、その処理に必要なデータをプライベートサブネット内のデータベースへ問い合わせるといった使い分けが行われる。クライアントが直接アクセスできるのはWebサーバだけで、データベースサーバへはWebサーバ上のプログラムから問い合わせを送ることで、利用者側から隔離することができる。
共有ボタンをタップ