Zenn

[AWS]今日学んだこと(CloudWatch・AWS構成図・ルートテーブル・セキュリティグループ)

2025/03/09に公開

繁忙期にやられ全然書けてなかった。
体はまだ疲れ気味&勉強も作業系が多いので、メンターさんに教えていただいたことをまとめていきます。

CloudWatch



今回、CloudWatchのアラートの作成にあたり、しきい値とバンドの設定がわからなかったのでそちらをメンターさんに確認しました!

バンド

バンドは、メトリクスデータの正常な動作パターンを学習したモデルの範囲を指します。

過去から学習した正常なデータのモデル。許容範囲。セーフな範囲。
この範囲外はアラートを出す。

しきい値(しきいち)

ある一定の値以上で影響が出て、それ以下では影響が出ない境界の値のこと

CloudWatchアラームが発火するための特定の値。特定の値以外ではアラートを出す。

統計・期間部分の考え方


  • 最大・最小:一瞬でもこの数値になったらアラートを出したい
  • 合計:この期間アクセスした合計数値が○○だとアラートを出す
  • サンプル:○○の数が○○回行ったらアラートを出す
  • IQM:四分位平均

IQMについて

IQM(Interquartile Mean, 四分位平均) とは、外れ値の影響を抑えるために、中央 50% のデータを基に算出される平均値
IQM の計算方法

  1. 収集されたデータポイントを小さい順に並べる
  2. 下位 25%(第1四分位, Q1)と上位 25%(第3四分位, Q3)のデータを除外
  3. 残りの 50% のデータの平均を計算

100と0以外をアラートさせるとして、90ばっかりアラートが来たら嫌だ…というときに使う。

AWS構成図


今回上記を作成するにあたってルートテーブルを2つ作成することになりました。

  • ルートテーブル1(パブリック):パブリックサブネットをくっつける
  • ルートテーブル2(プライベート):プライベートサブネットをくっつける

セキュリティグループも、ルートテーブルと同じようにパブリック・プライベートで2種類必要。


なぜルートテーブルとセキュリティグループは2種類必要なのか?

ルートテーブル

AWS VPC 内のサブネットがどのネットワークへ通信できるかを決定する設定。
VPC 内の「道路標識」どの宛先(IP)に対してどのゲートウェイを使うかを決める。

今回の構成では、

  • ルートテーブル1(パブリック):インターネットと通信できるサブネット用
  • ルートテーブル2(プライベート):インターネットと直接通信できないサブネット用
    このように、パブリックサブネットとプライベートサブネットでは通信ルートの要件が異なるため、それぞれ異なるルートテーブルを設定する必要がある。
ルートテーブル アタッチ先 ルート設定
パブリック用 パブリックサブネット インターネットゲートウェイ(IGW) を経由するルート
プライベート用 プライベートサブネット インターネットゲートウェイなし(外部と直接通信しない)

ターゲットとは
データを送信する先(例: IGW, NAT Gateway)

① パブリックサブネット用ルートテーブル

宛先(Destination) ターゲット(Target) 説明
0.0.0.0/0(全インターネット) IGW(Internet Gateway) 外部と通信するためのルート

② プライベートサブネット用ルートテーブル

宛先(Destination) ターゲット(Target) 説明
10.0.0.0/16(VPC内通信) ローカル(Local) VPC 内の他のリソースと通信可能

①のパブリックサブネットのEC2はインターネットと直接通信をする。
②のプライベートサブネットのRDSはインターネットに直接つなげない…という設計にする。


セキュリティグループ

AWS のファイアウォールのようなもので、どの通信を許可するかを決める。

今回の構成では、

  • セキュリティグループ1(パブリック):パブリックサブネットの EC2 に適用
  • セキュリティグループ2(プライベート):プライベートサブネットの RDS に適用

異なる役割のリソースには、異なるアクセスルールが必要。
⇒セキュリティグループも 2 種類作成する必要がある。

セキュリティグループ アタッチ先 許可する通信
パブリック用 SG パブリックサブネットの EC2 インターネット(SSH, HTTP/HTTPS) からのアクセスを許可
プライベート用 SG プライベートサブネットの RDS パブリックサブネットの EC2 からの通信のみ 許可

ルートテーブルが2種類あるのに、構成図には書かなくていいのか?

https://blog.serverworks.co.jp/aws-services-to-be-omitted#ルートテーブル
上記にもある通り、省略されることが多いとのこと。
パブリック・プライベートと分かれてる時点で慣れてる人なら2種類作成すると想像がつくのかも。

この記事面白いし、わかりやすかったです。
AWS関係学んだ範囲多い割には構成図を検索すると、学んだサービスが書かれてないことが多いなと思ったら、どうやら使用してるけど構成図では省略されてしまっているみたい。
勉強になりました。

Discussion

ログインするとコメントできます