<p>どうも<a href="https://twitter.com/oreo2991" target="_blank" rel="nofollow noopener noreferrer">oreo</a>です。</p>
<p>前回までの記事で、プライベートサブネット内にDB用サーバーを用意しました。今回の記事ではNATを導入して、プライベートサブネットからインターネットへの接続のみを許可できるようにします！</p>
<p><a href="https://zenn.dev/oreo2990/articles/bf3112bb6ccb48" target="_blank">【AWS①】ネットワークを構築してみる</a></p>
<p><a href="https://zenn.dev/oreo2990/articles/8a55bad283880d" target="_blank">【AWS②】サーバーを構築してみる</a></p>
<p><a href="https://zenn.dev/oreo2990/articles/5315112aa9d38e" target="_blank">【AWS③】EC2インスタンスにWebサーバーをインストールしてアクセスできるようにする</a></p>
<p><a href="https://zenn.dev/oreo2990/articles/145437fa43a001" target="_blank">【AWS④】 HTTPの動きについて理解を深める</a></p>
<p><a href="https://zenn.dev/oreo2990/articles/d9575f9b8a7a90" target="_blank">【AWS⑤】 プライベートサブネットにDB用サーバーを構築する</a></p>
<p>自分へのメモ的な記事になりますが、普段インフラを触らない人の参考になれば幸いです！</p>
<h1 id="1-nat(network-address-translation)%E3%81%A8%E3%81%AF">
<a class="header-anchor-link" href="#1-nat(network-address-translation)%E3%81%A8%E3%81%AF" aria-hidden="true"></a> 1 NAT(Network Address Translation)とは</h1>
<p>NATはIPアドレスを変換する装置で、2つのインターフェースを持ちます。</p>
<p>一般的には、片側のインターフェースには「パブリックIPアドレス」を設定し、インターネットに接続可能な構成にし、もう片側のインターフェースには「プライベートIPアドレス」を設定して、プライベートサブネットに接続するようにします。そうすることで、<strong>プライベートサブネットからインターネットの向きだけの通信を許可</strong>できます。</p>
<p>NATを使うと、プライベートサブネットにインターネットから接続される危険性を排除しつつ、プライベートサブネット内でインターネットからライブラリなどを取得することができます。</p>
<p>AWSでNATを構成するには、NATインスタンスとNATゲートウェイの二つの方法がありますが、今回はNATゲートウェイを使用します。NATインスタンスを作成したい場合は、下記の記事などをご覧ください！</p>
<p><span class="embed-block zenn-embedded zenn-embedded-card"><iframe id="zenn-embedded__57e0040dbeace" src="https://embed.zenn.studio/card#zenn-embedded__57e0040dbeace" data-content="https%3A%2F%2Fqiita.com%2FTK1989%2Fitems%2Fece84500ee87d2d96c4b" frameborder="0" scrolling="no" loading="lazy"></iframe></span><a href="https://qiita.com/TK1989/items/ece84500ee87d2d96c4b" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://qiita.com/TK1989/items/ece84500ee87d2d96c4b</a></p>
<h1 id="2-nat%E3%82%B2%E3%83%BC%E3%83%88%E3%82%A6%E3%82%A7%E3%82%A4%E3%82%92%E6%A7%8B%E7%AF%89%E3%81%99%E3%82%8B">
<a class="header-anchor-link" href="#2-nat%E3%82%B2%E3%83%BC%E3%83%88%E3%82%A6%E3%82%A7%E3%82%A4%E3%82%92%E6%A7%8B%E7%AF%89%E3%81%99%E3%82%8B" aria-hidden="true"></a> 2 NATゲートウェイを構築する</h1>
<aside class="msg message"><span class="msg-symbol">!</span><div class="msg-content">
<p>NATゲートウェイはAWSの12ヶ月無料利用枠の対象外になります。稼働していれば料金がかかるため、使う必要がなくなったら削除してください！！！！</p>
</div></aside>
<p>今回は、インターネットから接続可能なパブリックサブネットにNATゲートウェイを配置し、プライベートサブネットからインターネット宛のパケットがNATゲートウェイを経由するようにルートテーブルを設定します(下記概要)。</p>
<p><img src="https://storage.googleapis.com/zenn-user-upload/0b19a4fe721d-20220917.png" alt loading="lazy" class="md-img"></p>
<h2 id="2-1-nat%E3%82%B2%E3%83%BC%E3%83%88%E3%82%A6%E3%82%A7%E3%82%A4%E3%82%92%E6%A7%8B%E7%AF%89%E3%81%99%E3%82%8B">
<a class="header-anchor-link" href="#2-1-nat%E3%82%B2%E3%83%BC%E3%83%88%E3%82%A6%E3%82%A7%E3%82%A4%E3%82%92%E6%A7%8B%E7%AF%89%E3%81%99%E3%82%8B" aria-hidden="true"></a> 2-1 NATゲートウェイを構築する</h2>
<p>「VPC」&gt;「NATゲートウェイ」で「NATゲートウェイを作成する」を選択します。</p>
<p><img src="https://storage.googleapis.com/zenn-user-upload/3d1c6ae6b256-20220917.png" alt loading="lazy" class="md-img"></p>
<p>「サブネット」をパブリックサブネットとし、「Elastic IP(静的な固定パブリックIPアドレス)を割り当て」を行い、NATゲートウェイを作成します。</p>
<p><img src="https://storage.googleapis.com/zenn-user-upload/0966ad0f9d76-20220917.png" alt loading="lazy" class="md-img"></p>
<h2 id="2-2-%E3%83%AB%E3%83%BC%E3%83%88%E3%83%86%E3%83%BC%E3%83%96%E3%83%AB%E3%81%AE%E7%B7%A8%E9%9B%86">
<a class="header-anchor-link" href="#2-2-%E3%83%AB%E3%83%BC%E3%83%88%E3%83%86%E3%83%BC%E3%83%96%E3%83%AB%E3%81%AE%E7%B7%A8%E9%9B%86" aria-hidden="true"></a> 2-2 ルートテーブルの編集</h2>
<p>デフォルトゲートウェイ(転送先が何も設定されていない時のデフォルトの転送先)をNATゲートウェイにすることで、プライベートサブネットからインターネットに対して通信する際に、パケットがNATゲートウェイの経由するように設定します。</p>
<p>まず、2-1で作成したNATゲートウェイIDを確認します。</p>
<p><img src="https://storage.googleapis.com/zenn-user-upload/b03b9fbaa02a-20220917.png" alt loading="lazy" class="md-img"></p>
<p>「VPC」&gt; 「ルートテーブル」からプライベートサブネットに適応されているルートテーブルを選択し、「ルート」タブから「ルートを編集」を選択します。</p>
<p><img src="https://storage.googleapis.com/zenn-user-upload/3b3097ccf32f-20220917.png" alt loading="lazy" class="md-img"></p>
<p><img src="https://storage.googleapis.com/zenn-user-upload/48eb293d38c7-20220917.png" alt loading="lazy" class="md-img"></p>
<p>新たに「送信元」を0.0.0.0/0、ターゲットを先ほど確認したNATゲートウェイIDとして、「変更を保存」を選択します。</p>
<p><img src="https://storage.googleapis.com/zenn-user-upload/859cf92d897a-20220917.png" alt loading="lazy" class="md-img"></p>
<h1 id="3-nat%E3%82%B2%E3%83%BC%E3%83%88%E3%82%A6%E3%82%A7%E3%82%A4%E3%81%A7%E7%96%8E%E9%80%9A%E7%A2%BA%E8%AA%8D%E3%82%92%E3%81%99%E3%82%8B">
<a class="header-anchor-link" href="#3-nat%E3%82%B2%E3%83%BC%E3%83%88%E3%82%A6%E3%82%A7%E3%82%A4%E3%81%A7%E7%96%8E%E9%80%9A%E7%A2%BA%E8%AA%8D%E3%82%92%E3%81%99%E3%82%8B" aria-hidden="true"></a> 3 NATゲートウェイで疎通確認をする</h1>
<p>DBサーバーにログインし、インターネットに対して、<code>curl</code>コマンドを使ってHTTPやHTTPSで接続できるか疎通確認します。<code>curl</code>コマンドを使うとサーバーに対してリクエストを投げてレスポンスを受け取ることができます。</p>
<p>まず踏み台サーバー(webサーバー)を経由してDBサーバーにログインします。</p>
<div class="code-block-container"><pre class="language-bash"><code class="language-bash"><span class="token function">ssh</span> <span class="token parameter variable">-i</span> ~/.ssh/my-key.pem ec2-user@<span class="token punctuation">[</span>パブリックIPアドレス or パブリックDNS名<span class="token punctuation">]</span>
<span class="token function">ssh</span> <span class="token parameter variable">-i</span> my-key.pem ec2-user@10.0.2.10
</code></pre></div><p><code>curl</code>コマンドで、<a href="http://abehiroshi.la.coocan.jp/" target="_blank" rel="nofollow noopener noreferrer">阿部寛さんのホームページ</a>にリクエストを投げてみます。</p>
<div class="code-block-container"><pre class="language-bash"><code class="language-bash"><span class="token function">curl</span> abehiroshi.la.coocan.jp/
</code></pre></div><p>下記のように、HTMLがレスポンスとして返されればOKです。</p>
<p><img src="https://storage.googleapis.com/zenn-user-upload/03d3715fea9b-20220917.png" alt loading="lazy" class="md-img"></p>
<p><code>curl</code>コマンドを使えばいろんな検証ができます(下記に使い方が分かりやすく記載されてました)。</p>
<p><span class="embed-block zenn-embedded zenn-embedded-card"><iframe id="zenn-embedded__8cc0931ee039d" src="https://embed.zenn.studio/card#zenn-embedded__8cc0931ee039d" data-content="https%3A%2F%2Fqiita.com%2Fyasuhiroki%2Fitems%2Fa569d3371a66e365316f" frameborder="0" scrolling="no" loading="lazy"></iframe></span><a href="https://qiita.com/yasuhiroki/items/a569d3371a66e365316f" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://qiita.com/yasuhiroki/items/a569d3371a66e365316f</a></p>
<h1 id="4-%E6%9C%80%E5%BE%8C%E3%81%AB">
<a class="header-anchor-link" href="#4-%E6%9C%80%E5%BE%8C%E3%81%AB" aria-hidden="true"></a> 4 最後に</h1>
<p>今回の記事で、プライベートサブネットからネットワークへの方向の接続ができるようになりました。<code>curl</code>コマンドを使えるといろいろ検証できますね。今後、プライベートサブネット内のDB用サーバーにDBソフトウェアをインストールしたいとお思います！</p>
<h1 id="5-%E5%8F%82%E8%80%83">
<a class="header-anchor-link" href="#5-%E5%8F%82%E8%80%83" aria-hidden="true"></a> 5 参考</h1>
<p><span class="embed-block zenn-embedded zenn-embedded-card"><iframe id="zenn-embedded__f6300a5a21e1f" src="https://embed.zenn.studio/card#zenn-embedded__f6300a5a21e1f" data-content="https%3A%2F%2Fbookplus.nikkei.com%2Fatcl%2Fcatalog%2F17%2F261530%2F" frameborder="0" scrolling="no" loading="lazy"></iframe></span><a href="https://bookplus.nikkei.com/atcl/catalog/17/261530/" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://bookplus.nikkei.com/atcl/catalog/17/261530/</a></p>
<p><span class="embed-block zenn-embedded zenn-embedded-card"><iframe id="zenn-embedded__f7cdc91a7ada3" src="https://embed.zenn.studio/card#zenn-embedded__f7cdc91a7ada3" data-content="https%3A%2F%2Fwww.nttdata.com%2Fjp%2Fja%2Fabout-us%2Fpublication%2F2022%2F082301%2F" frameborder="0" scrolling="no" loading="lazy"></iframe></span><a href="https://www.nttdata.com/jp/ja/about-us/publication/2022/082301/" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://www.nttdata.com/jp/ja/about-us/publication/2022/082301/</a></p>


【AWS⑥】 NATを構築して、プライベートサブネットからインターネットへの接続のみを許可する

3 NATゲートウェイで疎通確認をする

Discussion