AWSでのネットワークはオンプレミスと異なる。
したがって、オンプレ環境からAWSへシステムを移行する場合、というか、頭の中の知識をAWS脳に変えなければいけない私としては、その差異にフォーカスして勉強する必要がある。
FWはGPとACLを使用する(GPとACLの違い)
グループポリシーはインスタンス単位で指定するファイアーウォールである。一方でACL(アクティブコントロールリスト)はサブネット単位のファイアーウォールである。私が知る通常の運用だとGPをコントロールする例が多いが、ACLでポートをフィルタリングしてEC2などのポートを全開放しておくという運用しないのだろうか?(要確認)という疑問が生まれました。
CIDRの決め方
CIDRの幅でネットワークの大きさと端末接続数が決まる。ネットワーク部を広く取ると端末接続数が増えるがネットワーク総数が減る。ネットワーク部を狭く取ると端末接続数は増えるがネットワーク総数が増える。
VPCの設定(基本)
アマゾンコンソールよりVPCを選択。リージョンを東京へ変更。ひとまず既存DCなどはないので、パブリックとプライベートがある構成を選択する。
Elastic IP 割り当て ID?
Elastic IP …おそらく静的なグローバルIPアドレスでマッピングしてNATにて使用をする。EC2を開放してもこれを残しておくと請求がくるので注意しないといけないと思われる。ElasticIPはEIPと略される。
※EC2に固定のグローバルIPを設定できないのはEC2インスタンスの実行リソースが分散されているため。そのため無料で使えるEIPをマッピングさせて使用する仕様となっている。
※サブドメインなどでDNSを切り替えるよりも、EIPを使ってインスタンスを付け替える方が、利便性が高いと言えるのかもしれない。
※すでにEIPに割り当てられたEC2のマッピングを解除すると、その時点でEC2のIPアドレスは開放されて再発行される。(一方でEIPは明示的に開放しないとアドレス固定らしいので、そのことだけを知識として抑えていれば事故にはならないような気はする)
※EIPの付け替え(リマップ)を繰り返しやりすぎる(100回以上)と微妙に課金されるらしい。(動的にコンピューティング的に付け替えない限りは100回を超えることはまずないと思われる)
※アクティブなEC2についていないEIPは課金される。これは、たぶん使っていまいが使っていようがEIPは料金が発生するよ!という意味だと思われる。EC2の料金に含まれると言ったほうが簡潔な気がするが。ただしEC2のインスタンスに2つのEIPを振り当てると2つ目以降は単体で課金されるが、たぶんEC2インスタンスに2つ以上のEIPを降る必要が生じることはまずないと思われる。ちなみにEIPを2つ以上マッピングする仕組みをENI(Elastic Network Interface)という。
※EIPがEnterprise Information Portalつまり企業内ポータルサイトと混同しないように注意したほうが良いらしい。企業内ポータルサイトって言えば事足りるでしょ…。
※Elastic Searchって、伸縮性のある検索という意味なんだなあ。
ここで詰まる
EIP(NATゲートウェイ)かEC2インスタンス(NATインターフェース)か選ばないとVPCを構成できない…ちょっと古い情報だとこの辺のことが書かれていない。
VPCあきらめEC2からインスタンスを作成し接続
EC2からインスタンスを作成。AmazonLinuxの標準的なIAMを選択した。秘密鍵をつかってTeratermよりアクセスした。ユーザ名はEC2-userを使用した。ポートはデフォルト(22)
sudo yum update
sudo yum -y install httpd
sudo service httpd start
ICMP(ping)が通るように設定
EC2のセキュリティポリシーを開いてカスタムICMPを選択して、プロトコルをすべてを選ぶ(こうすると、ポートがすべて開放(0-64557)送信元(ソース)は0.0.0.0/0を選択する。(グループポリシーにおける送信元とはこの場合はEC2インスタンスになるのだと思われる)
以上で、SSHアクセス、Ping疎通確認、WEBサーバ起動が確認できました。
コメント