2.2.3 グローバル IP アドレス
仮想ネットワーク内部のプライベート IP アドレスは、仮想ルーターの NAT 機能でグローバル IP アドレスに変換されます。この際、2 種類の変換方法が利用できます。
1 つは、一般に「IP マスカレード」と呼ばれる方法で、仮想マシンインスタンスから外部ネットワークに接続する際に、仮想ルーターが持つグローバル IP アドレスを共有して利用します。家庭内 LAN の PC が、ブロードバンドルーターに割り当てられたグローバル IP アドレスを共有してインターネット接続する場合と同じ仕組みです(図 2.10)。
この機能は、仮想マシンインスタンスを接続した仮想スイッチが仮想ルーターに接続されていれば、デフォルトで利用可能です。ただし、仮想マシンインスタンスから外部ネットワークへの接続はできますが、外部ネットワークから仮想マシンインスタンスに接続することはできません。
もう 1 つは、「Elastic IP(AWS の場合)」、もしくは「フローティング IP(OpenStackの場合)」と呼ばれる仕組みで、こちらは、個別のグローバル IP アドレスを仮想マシンインスタンスに割り当てます。
具体的には、それぞれのテナントで、Elastic IP/ フローティング IP として利用できるグローバル IP アドレスを事前に確保しておき、その中の 1 つを特定の仮想マシンインスタンスに割り当てる操作を行ないます。これにより、割り当てたグローバル IP アドレスを用いて、外部ネットワークから仮想マシンインスタンスにアクセスできるようになります(図 2.11)。Elastic IP /フローティング IP は、リージョンごとに確保する必要があります。
なお、操作上は仮想マシンインスタンスにグローバル IP アドレスを割り当てていますが、仮想マシンインスタンス内部のゲスト OS に該当の IP アドレスが設定されるわけではありません。仮想ルーターによって、割り当てたグローバル IP アドレスと、仮想マシンインスタンスのゲスト OS に設定されたプライベート IP アドレスを 1 対1 で相互変換しています。
2.2.4 セキュリティグループ
セキュリティグループは、仮想マシンインスタンスに出入りするネットワークパケットに対するフィルタリング機能を提供します。通信を許可するパケットの条件を指定したセキュリティグループを事前に定義しておき、仮想マシンインスタンスに対して適用します。
同時に複数のセキュリティグループを適用することができるので、「すべての仮想マシンインスタンスに共通適用するグループ」「Web サーバーに追加適用するグループ」などの使い分けが可能です。つまり、「共通適用グループ」では、SSH 接続など、最低限必要な接続を許可しておき、「Web サーバー用グループ」では、HTTP/HTTPS など追加で必要となる接続を許可するという使い方です(図 2.12)。
また、図 2.12 にあるように、フィルタリング処理は、仮想マシンインスタンスと仮想スイッチの接続ポートの間で実施されます。適用するセキュリティグループ、あるいは、それぞれのセキュリティグループの定義内容は、仮想マシンインスタンスを起動したまま、動的に変更することが可能です。
