tsumiki-media logo

tsumiki-media

Command Palette

Search for a command to run...

AWS設定比較
約15分
上級+
8/10
2025年6月29日

AWS ANS-C01 対策 ネットワーク診断 VPC Flow Logs vs VPC Reachability Analyzer

VPC Flow LogsとReachability Analyzerの決定的な違いを理解し、接続問題の診断手法を使い分けるポイントを実践問題で確認。「設定診断」vs「トラフィック分析」の視点で最適な選択基準を解説します。

この記事のポイント

  • 1
    VPC Flow LogsとVPC Reachability Analyzerの根本的な使い分けの考え方を理解する
  • 2
    「設定診断」と「トラフィック分析」の視点で適切な診断ツールを選択できる
  • 3
    接続問題のシナリオ別に最適な診断アプローチを実践問題で確認する

目次

VPC Flow Logs と VPC Reachability Analyzer とは

VPC Flow Logsは、VPC内のネットワークインターフェイスで実際に発生したトラフィックを記録し、後から分析するサービスです。実際のパケット情報(送信元、宛先、プロトコル、ポート、許可/拒否など)を提供します。

VPC Reachability Analyzerは、実際のトラフィックを発生させずに、指定したソースからデスティネーションまでの接続可能性を事前に分析するサービスです。ルートテーブル、セキュリティグループ、NACLなどの設定を評価して接続性を判定します。

資格試験では、この2つの使用タイミングの違い(事前 vs 事後)を正確に理解することが重要です。

「設定診断」vs「トラフィック分析」の決定的な違い

2つのサービスの最も重要な違いは、分析対象問題解決アプローチです。この比較表で違いを確認してください。

VPC Flow Logs

分析対象
実際のトラフィック履歴
問題解決アプローチ
トラフィック分析
トラフィック要求
必要(記録対象)
典型的な使用場面
異常通信パターン調査・セキュリティ分析
診断速度
ログ蓄積待ち(時間要)
接続問題への対応
通信履歴から原因推定

VPC Reachability Analyzer

分析対象
現在のネットワーク設定
問題解決アプローチ
設定診断
トラフィック要求
不要
典型的な使用場面
接続問題の原因特定・設定検証
診断速度
即座に診断可能
接続問題への対応
設定ミスを直接特定

VPC Flow Logs「実際のトラフィック履歴」を分析するサービスです。過去に発生した通信パターンを調査し、異常なトラフィックの検出やセキュリティインシデントの証跡確保に使用します。「どのような通信が実際に行われたか」を知りたい場合に適しています。

VPC Reachability Analyzer「現在のネットワーク設定」を診断するサービスです。実際にトラフィックを送信せずに、設定上の接続可能性を判定できます。「アプリケーションAがサーバーBに接続できない」といった既に発生した接続問題でも、設定ミスを直接特定できるため迅速な問題解決が可能です。

比較表の「診断速度」「接続問題への対応」の違いが重要です。Flow Logsは通信履歴から原因を推定する間接的なアプローチですが、Reachability Analyzerは設定ミスを直接特定する直接的なアプローチです。

判断基準

「分析対象が設定かトラフィックか」が分岐点となります。接続問題の原因特定や設定検証にはReachability Analyzer(設定診断)、異常通信パターン調査やセキュリティ分析にはVPC Flow Logs(トラフィック分析)を選択し、包括的な診断には両者の組み合わせが効果的です。

実践問題で確認

ここまで学んだ判断基準を、実際の資格問題で確認しましょう。各問題は異なるシナリオでの適切なツール選択を評価します。

AWS認定高度なネットワーキング - 専門知識

練習問題

ある製造業企業が、AWS環境とオンプレミスネットワーク間の複雑な接続構成を実装しました。AWS環境には複数のVPCがあり、Transit Gatewayを使用して接続されています。オンプレミス環境はAWS Direct Connectを通じてAWS環境に接続されています。最近、特定のオンプレミスアプリケーションからAWS上のサービスへの接続に問題が発生していますが、他のアプリケーションは問題なく接続できています。 ネットワークエンジニアはオンプレミスとAWS環境間の接続性の問題を効率的に特定して診断するために、どのようなアプローチを取るべきですか?

AWS認定高度なネットワーキング - 専門知識

練習問題

ある製造業企業が、異なるAWSリージョンにデプロイされた複数のVPCを持つグローバルネットワークを運用しています。これらのVPCはトランジットゲートウェイとピアリング接続を使用して相互接続されています。最近、東京リージョンのVPCにあるEC2インスタンスからシンガポールリージョンのVPCにあるデータベースへの接続が断続的に失敗するという問題が発生しています。ネットワークエンジニアはこの接続問題の根本原因を特定し、解決する必要があります。この状況で最も効果的なトラブルシューティングアプローチはどれですか?

AWS認定高度なネットワーキング - 専門知識

練習問題

ある小売企業が、東京リージョンに3層アーキテクチャのeコマースアプリケーションをデプロイしました。このアプリケーションは3つの異なるサブネットに分散されています:パブリックサブネットにあるApplication Load Balancer (ALB)、プライベートサブネットにあるEC2インスタンス上のアプリケーションサーバー、および別のプライベートサブネットにあるAmazon RDSデータベース。最近、アプリケーションサーバーがデータベースへの接続を確立できないという問題が発生しています。ネットワークエンジニアは、アプリケーションサーバーのセキュリティグループとネットワークACLが適切に設定されていることを確認しましたが、問題は解決していません。この接続問題の根本原因を特定するための最も効果的なトラブルシューティングアプローチはどれですか?

まとめ

VPC Flow LogsとReachability Analyzerの選択は、「設定診断」か「トラフィック分析」かという根本的な違いを理解することが重要です。接続問題の原因特定や設定検証にはReachability Analyzer、異常通信パターン調査やセキュリティ分析にはFlow Logsを選択しましょう。

現在のネットワーク設定を分析し、接続問題の原因を直接特定。既に発生した接続問題でも設定ミスを即座に診断可能。セキュリティグループ、NACL、ルートテーブル等の設定を評価して問題箇所を特定します。

実際に発生したトラフィック履歴を記録・分析。異常な通信パターン検出、セキュリティインシデント調査、コンプライアンス監査での証跡確保に最適。過去のトラフィック履歴から間接的に問題を推定します。

分析対象(設定 vs トラフィック)に応じて適切なツールを選択することで、効率的なネットワーク診断と問題解決が可能になります。

理解度チェック

「設定診断」→Reachability Analyzer、「トラフィック分析」→Flow Logsという基本的な使い分けを説明できるか?

「接続問題の原因特定」「異常通信パターン調査」「セキュリティ分析」などの各シナリオで、どちらのツールが適切か判断できるか?

他の問題も解いてみませんか?

tsumikiでは、AWS認定試験の合格に必要な知識を体系的に学習できます。実践的な問題を通じて、AWSスキルを身につけましょう。

tsumikiで学習する