AWS Certified Cloud Practitioner (CLF-C02) #7 Domain 3-2 コアサービス — ネットワーキングとデータベース

読了 12分

#6 でコンピューティングとストレージを押さえました。Domain 3 の後半 — ネットワーキング・データベース・運用サービス をまとめます。

ネットワーキングサービスを一望 #

サービス役割
VPC仮想プライベートネットワーク
SubnetVPC 内の IP 範囲
Internet Gateway (IGW)VPC をインターネットに接続
NAT Gatewayプライベートサブネットのアウトバウンドインターネット
Route 53DNS + ドメイン登録 + ヘルスチェック
CloudFrontCDN、エッジキャッシュ
ELB負荷分散 (4 種)
VPNサイト ↔ AWS の暗号化トンネル
Direct Connectサイト ↔ AWS の専用回線
Global AcceleratorAWS バックボーンネットワークによるグローバル高速化
Transit Gateway複数 VPC・オンプレミスを接続するハブ

VPC (Virtual Private Cloud) #

仮想プライベートネットワーク です。ユーザーが作成したリソース (EC2・RDS など) を入れる隔離された空間。

VPC の基本構成要素 #

構成要素役割
VPC1 つのリージョンにひも付く IP 範囲 (例: 10.0.0.0/16)
SubnetVPC を 1 つの AZ 内で分割した小さな IP 範囲
Route Tableどのトラフィックをどこに送るか
Internet GatewayVPC とインターネットを接続
NAT Gatewayプライベートサブネットのアウトバウンドインターネット
Security GroupEC2 単位のファイアウォール (ステートフル)
NACLサブネット単位のファイアウォール (ステートレス)

Public vs Private Subnet #

種類特性
Public Subnetルートテーブルに IGW があり、インターネットと双方向通信
Private SubnetIGW なし。NAT Gateway 経由でアウトバウンドのみ

典型的なパターン: Web サーバーは Public Subnet (または ALB のみ Public)、アプリサーバー・DB は Private Subnet

Security Group vs NACL (最もよく混同される比較) #

項目Security GroupNACL
適用単位EC2 インスタンスサブネット
ステートフル?ステートフル (応答を自動許可)ステートレス (応答も明示)
ルールAllow のみ可能Allow + Deny
評価すべてのルールを評価して決定番号順
デフォルトすべてのインバウンドを拒否、すべてのアウトバウンドを許可すべてのトラフィックを許可 (デフォルト NACL)

試験で「EC2 のインバウンド 22 番ポートを特定 IP からのみ許可」 → Security Group

「サブネット単位で特定 IP を遮断」 → NACL

Route 53 #

AWS の DNS + ドメイン登録サービス です。名前の 53 は DNS ポート。

Route 53 の 3 つの機能 #

機能説明
ドメイン登録.com.io などのドメインを購入
DNSA・CNAME・MX などのレコード管理
ヘルスチェックエンドポイントの状態監視

Routing Policy #

ポリシー利用ケース
Simple単一リソース
Weighted重み付けによる分散 (A/B テスト)
Latency-based最も近いリージョン
Failoverプライマリダウン時にセカンダリへ
Geolocationユーザーの位置で分岐
Geoproximityリソースの地理的位置に基づく
Multi-Value複数の IP を返す

試験で「障害発生時に自動で別のリージョンへルーティング」 → Failover

「最も応答時間の速いリージョンへルーティング」 → Latency-based

CloudFront — CDN #

世界中の 600+ Edge Location にコンテンツをキャッシュし、ユーザーに近い場所から応答します。

特性
OriginS3、EC2、ALB、他のサイト
HTTPS標準サポート
WAF 連携可能
Geo Restriction国単位の遮断/許可
Lambda@Edge / CloudFront Functionsエッジでのコード実行

試験の出題パターン #

  • 「静的コンテンツ (画像・CSS・JS) を世界中のユーザーに高速配信」 → CloudFront
  • 「動画ストリーミングの遅延を最小化」 → CloudFront
  • 「特定の国からのアクセスを遮断」 → CloudFront Geo Restriction

ELB (Elastic Load Balancing) #

負荷分散サービス。4 種類 あり、それぞれ異なるレイヤー/用途です。

種類レイヤー用途
ALB (Application Load Balancer)L7 (HTTP/HTTPS)Web アプリ、パスベースのルーティング、WebSocket
NLB (Network Load Balancer)L4 (TCP/UDP)超低遅延・高性能、静的 IP が必要なケース
GLB (Gateway Load Balancer)L3 (IP)ファイアウォール・IDS などのセキュリティアプライアンス前段
CLB (Classic Load Balancer)L4 + L7レガシー (新規利用は非推奨)

試験の出題パターン #

  • 「HTTPS Web トラフィックの負荷分散、パスごとに異なるバックエンド」 → ALB
  • 「TCP ゲームサーバーの超低遅延負荷分散、静的 IP が必要」 → NLB
  • 「ファイアウォールアプライアンス前段」 → GLB

VPN vs Direct Connect #

オンプレミス ↔ AWS 接続方式の 2 つ。

項目Site-to-Site VPNDirect Connect
構築時間分〜時間数週間〜数か月
回線インターネット (暗号化トンネル)専用回線
帯域インターネット回線の関数1・10・100 Gbps の固定
遅延インターネット次第で変動非常に安定
コスト安価高価 (専用回線のリース)
セキュリティ暗号化隔離された専用回線

試験の出題パターン #

  • 「オンプレミス ↔ AWS を即時接続、コストは安く」 → VPN
  • 「帯域の一貫性・低遅延・予測可能なコスト」 → Direct Connect
  • 「最高水準のセキュリティ + 一貫した性能 + インターネットを経由しない」 → Direct Connect

Global Accelerator vs CloudFront #

どちらもグローバル性能を扱いますが、位置付けが異なります。

項目CloudFrontGlobal Accelerator
種類CDN (コンテンツキャッシュ)グローバルルーティング
トラフィック主に HTTP/HTTPSあらゆる TCP/UDP
キャッシュ可能不可
静的 IPなし (CloudFront ドメイン)2 つの Anycast 静的 IP
利用ケース静的・動的コンテンツの高速化ゲーム・VoIP・リアルタイムアプリ

試験シナリオ: 「グローバルゲームサーバーの応答時間を短縮し、静的 IP が必要」 → Global Accelerator

「世界中のユーザーに動画・画像をキャッシュして高速配信」 → CloudFront

Transit Gateway #

複数の VPC・オンプレミスを ハブ・スポーク型で一箇所から接続する ゲートウェイです。

試験シナリオ: 「数十の VPC とオンプレミスが互いに通信する必要がある」 → Transit Gateway (VPC Peering より拡張性が高い)。

ネットワーキングのマッピング整理 #

シナリオ正解
仮想プライベートネットワークVPC
インターネットに公開する EC2Public Subnet + IGW
プライベート EC2 のアウトバウンドインターネットNAT Gateway
ドメイン登録 + DNSRoute 53
静的コンテンツのグローバルキャッシュCloudFront
HTTP の負荷分散 + パスベースのルーティングALB
TCP の超低遅延負荷分散NLB
ファイアウォールアプライアンス前段GLB
オンプレミス ↔ AWS の素早いセットアップVPN
安定した性能 + インターネットを経由しないDirect Connect
グローバルな TCP 高速化 + 静的 IPGlobal Accelerator
複数 VPC + オンプレミスのハブTransit Gateway
EC2 単位のファイアウォールSecurity Group
サブネット単位のファイアウォールNACL

データベースサービスを一望 #

サービス種類ワークロード
RDSリレーショナル (マネージド)MySQL・PostgreSQL・MariaDB・Oracle・SQL Server・Aurora
Auroraリレーショナル (AWS 独自)MySQL・PostgreSQL 互換、5 倍の性能
DynamoDBNoSQL (Key-Value / Document)サーバーレス、無限スケール、1 桁ミリ秒
ElastiCacheインメモリキャッシュRedis・Memcached
RedshiftデータウェアハウスOLAP・大量分析
DocumentDBNoSQL (Document)MongoDB 互換
NeptuneGraph DBソーシャルグラフ・レコメンドシステム
KeyspacesNoSQL (Wide-column)Cassandra 互換
Timestream時系列 DBIoT・メトリクス
QLDBLedger DB変更不可な台帳 (金融など)

RDS (Relational Database Service) #

リレーショナル DB のマネージドサービス。複数のエンジンをサポート。

サポートエンジン特性
MySQL / PostgreSQL / MariaDBオープンソース
Oracle / SQL Server商用
AuroraAWS 独自 (MySQL/PostgreSQL 互換)

RDS のマネージド機能 #

  • 自動バックアップ — 1〜35 日保管
  • 手動スナップショット — 永続保管
  • Multi-AZ — 同期レプリケーションのスタンバイ (自動フェイルオーバー)
  • Read Replica — 読み込み負荷分散 (非同期レプリケーション)
  • 自動パッチ — メンテナンスウィンドウ設定
  • モニタリング — CloudWatch 統合

試験の出題パターン #

  • 「マネージドな MySQL/PostgreSQL」 → RDS
  • 「高可用性、1 つの AZ がダウンしたら自動フェイルオーバー」 → Multi-AZ
  • 「読み込み負荷分散」 → Read Replica

Aurora #

AWS 独自のリレーショナルエンジン。MySQL/PostgreSQL 互換で 5 倍の性能を謳います。

特性
ストレージ自動拡張 (10 GB → 128 TB)
レプリケーション3 AZ に 6 コピー
Read Replica最大 15
Aurora Serverless自動起動/停止 — 変動トラフィック
Global Database複数リージョン間で 1 秒未満のレプリケーション

試験で「マネージドなリレーショナル DB に最高の性能と可用性」 → Aurora

「利用量が非常に不規則なリレーショナル DB」 → Aurora Serverless

DynamoDB #

サーバーレス NoSQL DB。Key-Value + Document。

特性
応答時間1 桁ミリ秒
スケール無限 (水平)
モードOn-Demand (利用量ベース) / Provisioned (予約容量)
Global Tables複数リージョンのマルチマスターレプリケーション
Streams変更イベントのストリーム

試験の出題パターン #

  • 「サーバーレス NoSQL、1 桁ミリ秒の応答」 → DynamoDB
  • 「リレーショナルな SQL クエリが必要」 → DynamoDB 不可。RDS/Aurora
  • 「世界中でのマルチマスターレプリケーション」 → Global Tables

ElastiCache #

マネージドなインメモリキャッシュ — Redis・Memcached。

種類特性
Redis永続化・レプリケーション・Pub/Sub・複雑なデータ構造
Memcachedシンプルなキャッシュ、マルチスレッド、永続化なし

試験の出題パターン #

  • 「DB の負荷を減らすために頻繁に参照されるデータをキャッシュ」 → ElastiCache
  • 「リアルタイムリーダーボード、Pub/Sub」 → Redis

Redshift — データウェアハウス #

ペタバイト級 OLAP 分析向け DB。カラムナストレージ。

特性
種類OLAP (分析) — OLTP (トランザクション) ではない
データモデルカラムナ
統合S3 (COPY による高速ロード)、BI ツール
Redshift Serverless使った分だけ
SpectrumS3 上のデータを直接クエリ

試験シナリオ: 「数年分の売上データを BI ダッシュボードで分析」 → Redshift

「リアルタイムのトランザクション処理」 → Redshift 不可。RDS。

その他の DB #

サービス利用ケース
DocumentDBMongoDB 互換 (マイグレーション)
Neptuneソーシャルグラフ・レコメンドシステム (Graph)
KeyspacesCassandra 互換
TimestreamIoT メトリクス・時系列
QLDB変更不可な台帳

DB マッピング整理 #

シナリオ正解
マネージドなリレーショナル DBRDS
最高性能のリレーショナル DBAurora
変動トラフィックのリレーショナル DBAurora Serverless
サーバーレス NoSQL、高速応答DynamoDB
DB 負荷分散用のキャッシュElastiCache
リアルタイムリーダーボードElastiCache Redis
大量分析・データウェアハウスRedshift
MongoDB マイグレーションDocumentDB
ソーシャルグラフ・レコメンドNeptune
Cassandra マイグレーションKeyspaces
時系列データ (IoT メトリクス)Timestream
金融台帳・監査トレースQLDB

運用・管理サービス #

CloudWatch — モニタリング #

機能説明
Metricsリソースの指標 (CPU・メモリ・リクエスト数など)
Logsログの収集・検索・アラーム
Alarmsしきい値超過時の通知・自動アクション
Events / EventBridgeイベント駆動の自動化
Dashboards可視化

CloudTrail vs CloudWatch (再整理) #

  • CloudTrail誰が どの API を呼び出したか
  • CloudWatch — リソースの 状態と指標

AWS Trusted Advisor #

アカウント全体を 5 つのカテゴリで自動点検する サービス。

カテゴリ点検項目
Cost Optimization未使用リソース、RI の利用率
Performanceインスタンスのサイズ適合性
Securityパブリック公開、MFA 未設定の root
Fault Toleranceバックアップ・Multi-AZ 未設定
Service Limits上限が近い

Basic・Developer Support → 6 つのコア点検のみ。 Business・Enterprise Support → すべての点検項目

試験シナリオ: 「コスト削減の機会を自動で見つけたい」 → Trusted Advisor

AWS Systems Manager #

機能説明
Session ManagerSSH キーなしで EC2 にアクセス
Patch ManagerEC2 のパッチ管理
Run Command複数の EC2 にコマンドを一括実行
Parameter Store設定値・シークレットの保存

CloudFormation — IaC #

インフラを YAML/JSON のコードで定義 し、コンソール/CLI からデプロイするサービス。無料 (生成されたリソースのみ課金)。

試験シナリオ:

  • 「インフラをコードで管理したい」 → CloudFormation
  • 「同じインフラを複数環境 (dev・staging・prod) に複製」 → CloudFormation テンプレート

AWS Cloud Development Kit (CDK) #

CloudFormation を TypeScript・Python のようなプログラミング言語で 記述するツールです。

AWS Service Catalog #

組織内であらかじめ承認されたリソースのみをユーザーに公開する サービスです。ガバナンスの強化。

AWS Health Dashboard #

種類説明
Service Health DashboardAWS 全体のサービスの状態 (公開)
Personal Health Dashboard自分のアカウントに影響するイベント

よく出会う落とし穴 #

1) Security Group と NACL の混同 #

  • Security Group = インスタンスステートフル、Allow のみ
  • NACL = サブネットステートレス、Allow + Deny

2) ALB と NLB の混同 #

  • ALB = L7 (HTTP/HTTPS、パスルーティング)
  • NLB = L4 (TCP/UDP、静的 IP、超低遅延)

3) CloudFront と Global Accelerator の混同 #

  • CloudFront = コンテンツキャッシュ (CDN)
  • Global Accelerator = グローバルルーティング (静的 IP、ゲーム/VoIP)

4) DynamoDB に SQL クエリ #

DynamoDB は NoSQL。SQL は不可。(PartiQL という SQL ライクなインターフェースはありますが、試験の答えとしては推奨されません。)

5) Redshift でトランザクション処理 #

Redshift は OLAP 専用。トランザクションは RDS/Aurora/DynamoDB

6) CloudWatch と CloudTrail の混同 #

  • CloudWatch = リソースの状態
  • CloudTrail = API 呼び出しの監査

7) Trusted Advisor がすべてのアカウントですべての点検をすると思い込む #

Basic・Developer Support は 6 つのコアのみ。Business / Enterprise で全点検が解放されます。

まとめ #

この記事で押さえたこと:

  • ネットワーキング — VPC・Subnet・Route 53・CloudFront・ELB 4 種・VPN・Direct Connect・Global Accelerator・Transit Gateway
  • Security Group (インスタンス・ステートフル) vs NACL (サブネット・ステートレス)
  • ALB (L7) vs NLB (L4) vs GLB (L3)
  • VPN (素早いセットアップ・安価) vs Direct Connect (専用回線・安定)
  • CloudFront (CDN) vs Global Accelerator (グローバルルーティング、静的 IP)
  • データベース — RDS / Aurora / DynamoDB / ElastiCache / Redshift / DocumentDB・Neptune・Keyspaces・Timestream・QLDB
  • ワークロード別の DB マッピング — リレーショナルは RDS/Aurora、NoSQL は DynamoDB、キャッシュは ElastiCache、分析は Redshift
  • 運用サービス — CloudWatch (モニタリング) / CloudTrail (監査) / Trusted Advisor (自動点検) / Systems Manager (運用) / CloudFormation (IaC) / Service Catalog / Health Dashboard

次へ — Domain 4 請求とサポート #

Domain 3 まで終わりました。最後のドメインは Billing, Pricing, and Support (12%) です。

#8 Domain 4 請求とサポート — 価格モデル、Support Plan、TCO では、EC2 価格モデル 4 種 (On-Demand / Reserved / Savings Plans / Spot)、無料利用枠、AWS Pricing Calculator、Cost Explorer、AWS Budgets、Consolidated Billing、Support Plan 4 段階 (Basic / Developer / Business / Enterprise) をまとめます。

X