オンプレミス環境との違いを整理する（その1）

今日から2回に渡って、AWSとオンプレミス環境の比較をして、違いを整理したいと思います。他のブログに、こういった記事が見当たらなかったので、自分でつくってみることにしました。

僕はオンプレ歴が長いのでAWSを扱いだしてから戸惑うことが多くありました。その疑問点と、理解した内容を書いていこうと思います。

左がパブリッククラウド、右が(ほぼ)同じ目的を達成するためのオンプレミス環境をざっくり絵にしたものです。

（マルチAZ構成の絵を使うとオンプレミス環境の絵がDR(ディザスタリカバリ)構成になってややこしくなるので、シングルAZ構成にしています）

EC2インスタンスってサーバー？

まずはここから始まりました。EC2インスタンスってサーバーですか？という疑問。

僕は、オープンクラウドの「OpenStack」を基にした、SIerが提供するクラウドサービスの基盤を一時期担当していました（拠点が広島某所にある）インスタンスという言葉はそこで何かは理解していたのですが、AWSだと概念が違います。

EC2インスタンス＝サーバーという言われ方を良くされますけど、僕は違うと思います。「仮想的に物理サーバーのような振る舞いをするリソースを使えるサービス」のことだと思います。

以前も出したこの図ですが、EC2インスタンス＝サーバーとしてしまうと、「EBSボリュームをEC2インスタンスにアタッチする」というような説明を、逆にオンプレミス環境で例えて説明できないからです。EBS＝HDD/SSDの説明もできないですし、そもそもオンプレにその概念が無いので、分けて考えています。

Firewallとルーターはどこ行った？

OpenStackには、仮想的なFirewall、仮想ルーターもあって割とすんなり頭に入りましたが、AWSにはFirewallがありません。ではネットワークの制御はどこでしているの？ということで混乱です笑 OpenStackと違って全体の構成も図で見えませんし、メニューを探してもFirewallもルーターも無いぞと。

AWSでネットワーク周りの制御)をするのは、VPCのネットワークACL、サブネットに対するルートテーブルです。

プライベートサブネット＝内部ネットワーク？

EC2インスタンス上でNginxなりApacheなりのWebサーバーが動作しているのは分かったのですが、業務でシステム構成図を見ると、EC2インスタンスがなんと「プライベートサブネット」にあります。

このプライベートサブネットはオンプレミス環境の内部ネットワークのことだとしたら、インターネット側からどうやってアクセスしているのかという疑問です。

ELBの存在がキモで、これが外部からアクセスできるパブリックサブネットに配置されていて、ELBにプライベートサブネット内のEC2をターゲットとして設定できます。

「外部からアクセスできるサブネットにEC2のようなログインできるものは置かない」とオンプレのインフラエンジニアに言ってもサッパリ分からないと思います。

インターネットゲートウェイって何？

これもOpenStackには無かったです。名前からして役割は想像がつくのですが、オンプレも対応するものが無いので、何をしているのかサッパリでした。

インターネットゲートウェイとは、VPCとインターネットとの通信ができるようにするものです。VPCにアタッチして、VPCのルートテーブルでDGWにインターネットゲートウェイを指定することで、VPC内とインターネットとの通信が可能になります。

VPCはデフォルトではインターネットと切り離されたエリアで、インターネットゲートウェイをアタッチして初めてインターネットとの通信ができるようになる。のような言い方が適切でしょうか。