- 公開日
- 最終更新日
【Amazon VPC IPAM】そもそもIPAMとは?基本概念と導入メリットを整理してみた
この記事を共有する
目次
はじめに
皆さんこんにちは!パーソル&サーバーワークスの小泉です。
今回から数回にわたって、Amazon VPC IP Address Manager(IPAM) について検証した内容をまとめていきます。本記事はその第1回として、「そもそもIPAMって何?」「何が嬉しいの?」という基本的なところを整理します。
正直に言うと、私自身NW領域には苦手意識があり、IPAMの公式ドキュメントを読んだだけでは「プール?スコープ?ロケール?」と用語の時点で引っかかっていました。
そこで実際に触りながら理解した内容を、できるだけ平易にまとめたいと思います。
※検証に使用したリソースは既に削除済みになるため、IDなどはマスクしていません。
IPAMが解決する課題
マルチアカウント環境でIPアドレスを管理していると、こんな悩みが出てきます。
- CIDR重複に気づけない:VPCピアリングやTransit Gatewayを繋ごうとして初めて「被ってた」と発覚
- 全体像が見えない:どのアカウントの、どのリージョンに、どんなCIDRが、どれだけ使われているのか分からない
- 払い出しが無統制:開発者が好きなCIDRでVPCを作れてしまい、後で衝突する
IPAMはこれらを1つのサービスで解決します。
IPAMを一言で表すと
個人的な解釈ですが、VPCのCIDRを「台帳管理 + 払い出し窓口 + 監視カメラ」として一元化するサービスと考えています。
| 役割 | 具体的にやること |
|---|---|
| 台帳管理 | どのアカウント・リージョンにどんなCIDRがあるか自動検出・一覧化 |
| 払い出し窓口 | プールからルールに沿ったCIDRだけを払い出す(タグ必須・サイズ固定等) |
| 監視カメラ | 重複検出、使用率監視、コンプライアンス判定、IP履歴追跡 |
基本用語
IPAMを理解するために最低限押さえるべき用語を整理します。
スコープ
IPAM内の最上位コンテナ。IPAM作成時に2つ自動生成されます。
| スコープ | 管理対象 |
|---|---|
| private scope | プライベートIP(VPCのCIDR、サブネット等) |
| public scope | パブリックIP(EIP、EC2パブリックIP、BYOIP等) |
通常、VPCのCIDR管理はprivate scopeで行います。
プール
CIDRの「箱」です。この箱の中から切り出してVPCに配ります。
例えるなら
- プール = 「このビルのフロア全体の住所」(10.0.0.0/16)
- 払い出し = 「そこから各テナントに部屋番号を配る」(10.0.0.0/24、10.0.1.0/24...)
プールには割り当てルールを設定できます。
| ルール | 効果 |
|---|---|
| ネットマスク制約(min/max/default) | 「/24しか払い出さない」のようにサイズを固定 |
| タグ必須(allocation_resource_tags) | 「environment=pre-prod タグがないVPCには払い出さない」 |
プールの階層化
プールはこのように親子関係を作れます。
階層にする理由は以下が考えられます。
- 「誰に」「どれだけ」配ったかを追跡するため
- 用途ごとにルールを変えるため(本番は/16まで許可、開発は/24固定等)
- リージョンごとに空間を分けるため(東京VPCには東京プールからしか払い出せない)
ロケール
プールに設定する「このプールはどのリージョンで使えるか」の指定です。
- Global pool:ロケール=None(どのリージョンにも直接は使わない)
- Regional pool 東京:ロケール=ap-northeast-1(東京のVPCにしか払い出せない)
managed / unmanaged
IPAMに検出されたリソースの管理状態です。
| 状態 | 意味 | 例 |
|---|---|---|
| managed | IPAMプールから払い出されたCIDR | プール経由で作ったVPC |
| unmanaged | プール外で作られたが、IPAMに検出されたCIDR | 手動CIDRで作った既存VPC |
ポイントとしては、unmanaged でも「可視化」と「重複検出」は有効であるということです。「見えるけど統制はされていない」状態です。
IPAMの管理範囲
IPAMが管理する範囲をまとめました。
| 対象 | IPAMで管理できるか |
|---|---|
| VPCのCIDR | ✅ プールから払い出し・可視化・重複検出 |
| サブネットのCIDR | △ 可視化のみ(プール経由の払い出しは不可) |
| ENI / EC2の個別IP | △ IP履歴検索で辿れる。Resources一覧には出ない |
| パブリックIP(EIP等) | ✅ Public IP Insightsで可視化・未使用検出 |
| オンプレのIP(個別ホスト) | ❌ カスタムアロケーション(CIDR単位予約)は可能 |
料金
IPAMには2つのティアがあります。
| ティア | 対象 | 主な機能 | 課金 |
|---|---|---|---|
| Free | 単一リージョン・単一アカウント | BYOIP管理、Public IP Insights | 無料 |
| Advanced | 複数リージョン・複数アカウント | Free の全機能 + プライベートIPv4管理、プール共有(RAM)、IP履歴監査 | アクティブIPアドレスごとに時間課金($0.00027/IP/h) |
【ポイント】
- プライベートIPv4のプール管理(VPCへのCIDR払い出し)は Advanced Tier が必要
- Public IP Insights は Free Tier でも利用可能
「アクティブIP」= ENIに紐づいたリソース(EC2等)にアタッチされたIP/プレフィックスです。
最新の料金は公式料金ページをご確認ください。
まとめ
IPAMの基本を整理すると
- 何をするサービスか:VPCのCIDRを一元管理(台帳 + 払い出し + 監視)
- 何が嬉しいか:重複自動検出、プールで統制、マルチアカウント横断可視化
- 管理範囲:VPCのCIDR管理が主。サブネットは可視化のみ。
- 既存環境への影響:導入するだけで既存VPCが可視化される。
この記事は私が書きました
小泉 和貴
記事一覧全国を旅行することを目標に、仕事を頑張っています。
