StoreCon VPC Multi-AZ Architecture

凡例

HTTPS — 店舗/インターネットからのHTTPSトラフィック

Route / Forward — ALBからECSへのルーティング

Read/Write — Aurora DBへのデータアクセス

Cache — ElastiCacheへのキャッシュアクセス

Replication — AZ間のデータレプリケーション

Dedicated Line — Direct Connect専用線接続

Backup — Site-to-Site VPNバックアップ回線

Outbound / Endpoint — NAT経由外部通信 / VPCエンドポイント

概要

ストアコンピューターシステムの本番ワークロードを収容するVPC設計。2つのアベイラビリティゾーン（AZ-a / AZ-c）にまたがるマルチAZ構成で、3層サブネット（Public / Private / Data）による縦深防御を実現。56,000台の店舗端末からのトラフィックはCloudFront+WAFを経由してVPC内のALB→ECS Fargateに到達し、データ層のAurora/ElastiCacheにアクセスする。本部DCとはDirect Connect（主回線）+ Site-to-Site VPN（バックアップ）で接続。

データフロー

Inbound 店舗からのリクエスト

Store Computer→ CloudFront + WAF→ Internet Gateway→ ALB (Public Subnet)

App アプリケーション処理

ALB→ ECS Fargate (Private Subnet)→ Aurora Writer / ElastiCache (Data Subnet)

Replication AZ間レプリケーション

Aurora Writer (AZ-a)→ Aurora Reader (AZ-c)

ElastiCache Primary (AZ-a)→ ElastiCache Replica (AZ-c)

Outbound 外部通信

ECS Fargate→ NAT Gateway (Public Subnet)→ Internet

ECS Fargate→ S3 Gateway Endpoint (NAT不要)

Hybrid 本部DC接続

HQ Data Center→ Direct Connect (1Gbps)→ VPC

レイヤー構成

レイヤー	サブネット / サービス	用途
Edge	CloudFront, WAF	CDN配信、DDoS防御、WAFルール適用
Public Subnet	ALB, NAT Gateway (10.0.1.0/24, 10.0.2.0/24)	外部向けロードバランサー、Private Subnetの外部通信用NAT
Private Subnet	ECS Fargate (10.0.10.0/24, 10.0.11.0/24)	アプリケーションコンテナ（インターネットから直接到達不可）
Data Subnet	Aurora, ElastiCache (10.0.20.0/24, 10.0.21.0/24)	データベース（App SGからのみアクセス可）
VPC Endpoints	S3 Gateway, SecretsManager Interface	NATを経由せずAWSサービスへプライベート接続
Hybrid	Direct Connect, Site-to-Site VPN	本部DC専用線接続 + VPNバックアップ
Security Groups	SG-ALB / SG-App / SG-Data	3層のステートフルファイアウォール（ALB→App→Data）

設計のポイント

3層サブネットによる縦深防御 — Public（ALB/NAT）→ Private（App）→ Data（DB）の3層でネットワークを分離。各層のSecurity Groupで許可する通信を厳密に制御し、万が一ALBが侵害されてもDBには直接到達できない
AZごとのNAT Gatewayで可用性確保 — NAT Gatewayを各AZに1台ずつ配置し、AZ障害時もNAT通信が継続。シングルNATはSPOF（単一障害点）となるため、本番環境では必ずAZごとに配置する
VPC Endpointによるコスト削減とセキュリティ向上 — S3 Gateway EndpointはNAT Gatewayを経由せず無料でS3にアクセス可能。大量のS3通信があるストコン（売上データ、ログ）ではNAT転送料金を大幅に削減でき、かつトラフィックがAWSバックボーン内に留まる
Direct Connect + VPNの冗長構成 — 主回線はDirect Connect（1Gbps、低遅延）、障害時はSite-to-Site VPN（インターネット経由）にフェイルオーバー。56,000店舗のデータが流れるため、帯域保証のある専用線が不可欠

コスト概算

ap-northeast-1 (東京) リージョン基準の月額概算。実際の費用は利用量により変動します。
為替レート: $1 = 150円（参考値）

サービス	構成	Dev (月額)	Prod (月額)
NAT Gateway x2	2 AZ, 各100GB転送	$70 (10,500円)	$70-200 (10,500-30,000円)
ALB	1台 (Cross-AZ)	$20 (3,000円)	$25-50 (3,750-7,500円)
CloudFront + WAF	CDN + WAF Rules	$6-15 (900-2,250円)	$30-120 (4,500-18,000円)
Direct Connect	1Gbps Dedicated	—	$200+ (30,000円+)
Site-to-Site VPN	Backup connection	$36 (5,400円)	$36 (5,400円)
VPC Endpoint (IF)	SecretsManager x2 AZ	$15 (2,250円)	$15 (2,250円)
S3 Gateway EP	Gateway型	$0 (無料)	$0 (無料)
EIP x2	NAT GW用	$0 (使用中無料)	$0 (使用中無料)
合計（ネットワーク層のみ）		$147-156 (約22,050-23,400円)	$376-621 (約56,400-93,150円)

前提条件: NAT GWのデータ転送量100GB/AZ/月想定。Direct ConnectはProd環境のみ。VPN接続は常時ON。CloudFrontは転送量10-100GB/月想定

コスト最適化のポイント: S3 Gateway Endpointの活用でNAT転送料金を削減（S3通信はNATを経由しない）。Devは単一AZ+単一NAT構成にすることで$35/月削減可能。Direct Connect料金は帯域選択（1Gbps vs 10Gbps）で大きく変動

学習ポイント

サブネットは「ルートテーブル」で決まる — サブネットがPublicかPrivateかは名前ではなく、ルートテーブルにInternet Gatewayへのルート（0.0.0.0/0 → IGW）があるかどうかで決まる。Private SubnetのデフォルトルートはNAT Gatewayを指す。この区別はSAA試験で最頻出
Security GroupとNACLの使い分け — Security Groupはステートフル（戻りトラフィック自動許可）でインスタンス/ENI単位。NACLはステートレス（戻りも明示許可必要）でサブネット単位。通常はSGで十分だが、サブネット単位で「特定IPを全面ブロック」したい場合はNACLを併用する
NAT Gatewayの料金構造を理解する — NAT GWは「時間課金（$0.062/hr = 約$45/月）+ データ処理料金（$0.062/GB）」の二重課金。S3やDynamoDBへのアクセスはVPC Endpointを使えばNATを回避でき、コスト・セキュリティ両面で有利
Gateway型 vs Interface型 VPC Endpoint — Gateway型（S3/DynamoDB専用）はルートテーブルで制御し無料。Interface型（その他AWSサービス）はENI+PrivateLink経由で時間+データ課金あり。ストコンのようにS3通信が多いシステムでは、Gateway Endpointが大きなコスト削減に直結する
CIDR設計は拡張性を考慮する — /16（65,536 IP）のVPCに/24（256 IP）のサブネットを配置。将来のサブネット追加（監視用、管理用等）に備えて、CIDR空間に余裕を持たせる。10.0.0.0/16の中で10.0.1-2（Public）、10.0.10-11（Private）、10.0.20-21（Data）と間隔を空けることで、新層の追加が容易