<p>本日行ったのはこちらのハンズオンです。</p>
<p><a href="https://pages.awscloud.com/JAPAN-event-OE-Hands-on-for-Beginners-Network1-2022-reg-event.html?trk=aws_introduction_page" target="_blank" rel="nofollow noopener noreferrer">Network編#1 AWS上にセキュアなプライベートネットワーク空間を作成する</a></p>
<p>このハンズオンは最終的にはこのような構成図のネットワークを構築しました。<br>
<img src="https://storage.googleapis.com/zenn-user-upload/6a4488ffe6a5-20221029.png" alt loading="lazy" class="md-img"></p>
<h3 id="amazon-vpc(virtual-private-cloud)%E3%81%A8%E3%81%AF">
<a class="header-anchor-link" href="#amazon-vpc(virtual-private-cloud)%E3%81%A8%E3%81%AF" aria-hidden="true"></a> Amazon VPC(Virtual Private Cloud)とは</h3>
<p>プライベートネットワーク空間を作れるサービス。<br>
さらにvpcのなかに「subnet」と呼ばれるより詳細なネットワーク区分を作れる。</p>
<p>このハンズオンでは大きく３パートに分かれている。</p>
<ol>
<li>ブラウザからパブリックサブネット内のec2にアクセスするまで</li>
<li>プライベートサブネット内のec2からインターネットにアクセスするまで</li>
<li>インターネットゲートウェイを経由せずにvpc外のサービスに接続するまで</li>
</ol>
<h3 id="%E3%83%96%E3%83%A9%E3%82%A6%E3%82%B6%E3%81%8B%E3%82%89%E3%83%91%E3%83%96%E3%83%AA%E3%83%83%E3%82%AF%E3%82%B5%E3%83%96%E3%83%8D%E3%83%83%E3%83%88%E5%86%85%E3%81%AEec2%E3%81%AB%E3%82%A2%E3%82%AF%E3%82%BB%E3%82%B9%E3%81%99%E3%82%8B%E3%81%BE%E3%81%A7">
<a class="header-anchor-link" href="#%E3%83%96%E3%83%A9%E3%82%A6%E3%82%B6%E3%81%8B%E3%82%89%E3%83%91%E3%83%96%E3%83%AA%E3%83%83%E3%82%AF%E3%82%B5%E3%83%96%E3%83%8D%E3%83%83%E3%83%88%E5%86%85%E3%81%AEec2%E3%81%AB%E3%82%A2%E3%82%AF%E3%82%BB%E3%82%B9%E3%81%99%E3%82%8B%E3%81%BE%E3%81%A7" aria-hidden="true"></a> ブラウザからパブリックサブネット内のec2にアクセスするまで</h3>
<p>構築手順は以下になる<br>
1. vpcを作成<br>
2. subnetを4つ作成<br>
3. internet gateway(igw)を作成<br>
4. route tableを作成<br>
5. IAM Roleを作成<br>
6. ec2(web)を作成</p>
<h4 id="vpc%E3%82%92%E4%BD%9C%E6%88%90">
<a class="header-anchor-link" href="#vpc%E3%82%92%E4%BD%9C%E6%88%90" aria-hidden="true"></a> vpcを作成</h4>
<p>Tokyoリージョンにプライベートip addressは10.0.0.0/16で作成する</p>
<h4 id="subnet%E3%82%924%E3%81%A4%E4%BD%9C%E6%88%90">
<a class="header-anchor-link" href="#subnet%E3%82%924%E3%81%A4%E4%BD%9C%E6%88%90" aria-hidden="true"></a> subnetを4つ作成</h4>
<p>Tokyoリージョン内にAZ(アベイラビリティーゾーン)は３種類ある。今回は1aと1cを使う。<br>
1つ目: 10.0.1.0/24   (1a)<br>
2つ目: 10.0.2.0/24   (1c)<br>
3つ目: 10.0.11.0/24  (1a)<br>
4つ目: 10.0.12.0/24  (1c)</p>
<h4 id="internet-gateway%E3%82%92%E4%BD%9C%E6%88%90">
<a class="header-anchor-link" href="#internet-gateway%E3%82%92%E4%BD%9C%E6%88%90" aria-hidden="true"></a> internet gatewayを作成</h4>
<p>internet gatewayはインターネットからvpc内の(その逆も)サービスへのアクセスの受け口にあたる。そのため作成したらvpcにアタッチする。<br>
※以下internet gatewayはigwとする</p>
<p>参考にさせていただいたブログ<br>
<a href="https://milestone-of-se.nesuke.com/sv-advanced/aws/internet-nat-gateway/" target="_blank" rel="nofollow noopener noreferrer">【図解/AWS】インターネットGWとNAT-GWの違い〜各メリット、パブリックサブネットとは〜</a></p>
<h4 id="route-table%E3%82%92%E4%BD%9C%E6%88%90">
<a class="header-anchor-link" href="#route-table%E3%82%92%E4%BD%9C%E6%88%90" aria-hidden="true"></a> route tableを作成</h4>
<p>実はvpcを作成したときに自動でルートテーブルが一つ作成されている。<br>
また、<strong>VPCの各subnetは必ず一つのルートテーブルが関連づけされている</strong>。<br>
自動で作成されたルートテーブルとは別にインターネットに接続させる用のルートテーブルを新規で作成する。<br>
ルートテーブルを作成した状態だと以下のようなルート情報となっている。</p>
<table>
<thead>
<tr>
<th>行き先</th>
<th>ターゲット</th>
</tr>
</thead>
<tbody>
<tr>
<td>10.0.0.0/16</td>
<td>local</td>
</tr>
</tbody>
</table>
<p>この状態ではインターネットにアクセスすることができない。<br>
ルートテーブルのルート情報にinternet gatewayをエントリさせる必要がある。</p>
<table>
<thead>
<tr>
<th>行き先</th>
<th>ターゲット</th>
</tr>
</thead>
<tbody>
<tr>
<td>10.0.0.0/16</td>
<td>local</td>
</tr>
<tr>
<td>0.0.0.0/0</td>
<td>igw</td>
</tr>
</tbody>
</table>
<p>igwがデフォルトゲートウェイ(0.0.0.0/0)を向くようになった。このルートテーブルを10.0.1.0/24と10.0.2.0/24のサブネットにアタッチする。この結果サブネットは以下のような状態になる。</p>
<table>
<thead>
<tr>
<th>subnet</th>
<th>route table</th>
</tr>
</thead>
<tbody>
<tr>
<td>10.0.1.0/24(1a)</td>
<td>new</td>
</tr>
<tr>
<td>10.0.2.0/24(1c)</td>
<td>new</td>
</tr>
<tr>
<td>10.0.11.0/24(1a)</td>
<td>default</td>
</tr>
<tr>
<td>10.0.12.0/24(1c)</td>
<td>default</td>
</tr>
</tbody>
</table>
<h4 id="iam-role%E3%82%92%E4%BD%9C%E6%88%90">
<a class="header-anchor-link" href="#iam-role%E3%82%92%E4%BD%9C%E6%88%90" aria-hidden="true"></a> IAM Roleを作成</h4>
<p>このハンズオンではec2からSSM(Systems Manager)というサービスを使います。<br>
IAM Roleを新規作成します。対象サービスはec2でAmazonSSMFullAccessというポリシーをRoleに紐付けます。</p>
<h4 id="ec2(web)%E3%82%92%E4%BD%9C%E6%88%90">
<a class="header-anchor-link" href="#ec2(web)%E3%82%92%E4%BD%9C%E6%88%90" aria-hidden="true"></a> ec2(web)を作成</h4>
<p>デフォルトの設定からの変更点は以下の点です。</p>
<ul>
<li>パブリックIPを有効化します。</li>
<li>サブネットは10.0.1.0/24(パブリックサブネット1a)に作ります。</li>
<li>セキュリティグループはインバウンドルールにhttpを追加します。</li>
<li>先ほど作成したIAM Roleをec2にアタッチします。</li>
<li>セッションマネージャーで接続するためkey pairは不要</li>
<li>ec2インスタンス起動時のスクリプトに以下を添付します。</li>
</ul>
<div class="code-block-container"><pre class="language-bash"><code class="language-bash"><span class="token shebang important">#!/bin/bash</span>

yum <span class="token parameter variable">-y</span> update
yum <span class="token parameter variable">-y</span> <span class="token function">install</span> httpd
systemctl <span class="token builtin class-name">enable</span> httpd.service
systemctl start httpd.service
</code></pre></div><p>この状態でec2を作成します。<br>
ec2が立ち上がったらセッションマネージャーを使ってec2に接続します。</p>
<h4 id="%E7%A2%BA%E8%AA%8D%EF%BC%91">
<a class="header-anchor-link" href="#%E7%A2%BA%E8%AA%8D%EF%BC%91" aria-hidden="true"></a> 確認１</h4>
<p>ブラウザベースのシェルが立ち上がったらコマンドが反応するか見ましょう。</p>
<h4 id="%E7%A2%BA%E8%AA%8D%EF%BC%92">
<a class="header-anchor-link" href="#%E7%A2%BA%E8%AA%8D%EF%BC%92" aria-hidden="true"></a> 確認２</h4>
<p>ブラウザにec2のパブリックIPを打ち込みApacheのwelcomeページが開くか確認しましょう。</p>
<p>これでec2からインターネットにアクセスすることができました。動作検証が出来ましたら前半のハンズオンは終了です。</p>
<h3 id="%E3%83%97%E3%83%A9%E3%82%A4%E3%83%99%E3%83%BC%E3%83%88%E3%82%B5%E3%83%96%E3%83%8D%E3%83%83%E3%83%88%E5%86%85%E3%81%AEec2%E3%81%8B%E3%82%89%E3%82%A4%E3%83%B3%E3%82%BF%E3%83%BC%E3%83%8D%E3%83%83%E3%83%88%E3%81%AB%E3%82%A2%E3%82%AF%E3%82%BB%E3%82%B9%E3%81%99%E3%82%8B%E3%81%BE%E3%81%A7">
<a class="header-anchor-link" href="#%E3%83%97%E3%83%A9%E3%82%A4%E3%83%99%E3%83%BC%E3%83%88%E3%82%B5%E3%83%96%E3%83%8D%E3%83%83%E3%83%88%E5%86%85%E3%81%AEec2%E3%81%8B%E3%82%89%E3%82%A4%E3%83%B3%E3%82%BF%E3%83%BC%E3%83%8D%E3%83%83%E3%83%88%E3%81%AB%E3%82%A2%E3%82%AF%E3%82%BB%E3%82%B9%E3%81%99%E3%82%8B%E3%81%BE%E3%81%A7" aria-hidden="true"></a> プライベートサブネット内のec2からインターネットにアクセスするまで</h3>
<p>現状のままプライベートサブネット内にec2を作ってもec2からインターネットにアクセスすることもされることもできません。この状態ですとyumコマンドが通りません。<br>
このセクションではプライベートサブネット内のec2インスタンスで以下の状態を作ります。</p>
<div class="code-block-container"><pre><code>ec2→インターネット: ○
インターネット→ec2: ×
</code></pre></div><p>構築手順は以下になる</p>
<ol>
<li>nat gatewayを作成</li>
<li>ec2(internal)を作成</li>
</ol>
<h4 id="nat-gateway%E3%82%92%E4%BD%9C%E6%88%90">
<a class="header-anchor-link" href="#nat-gateway%E3%82%92%E4%BD%9C%E6%88%90" aria-hidden="true"></a> nat gatewayを作成</h4>
<p>NAT(プライベート IPアドレスをグローバルIPアドレスに変換する)機能を有するサービスです。<br>
nat gatewayは10.0.2.0/24のパブリックサブネット内に作成し、プライベートサブネット内のec2のプライベートIPをパブリックIPアドレスに変換することで一方的にインターネットにアクセスします。<br>
作成したらプライベートサブネットのルートテーブルにルート情報を追加します。</p>
<table>
<thead>
<tr>
<th>行き先</th>
<th>ターゲット</th>
</tr>
</thead>
<tbody>
<tr>
<td>10.0.0.0/16</td>
<td>local</td>
</tr>
<tr>
<td>0.0.0.0/0</td>
<td>nat gateway</td>
</tr>
</tbody>
</table>
<h4 id="ec2(internal)%E3%82%92%E4%BD%9C%E6%88%90">
<a class="header-anchor-link" href="#ec2(internal)%E3%82%92%E4%BD%9C%E6%88%90" aria-hidden="true"></a> ec2(internal)を作成</h4>
<p>デフォルトの設定からの変更点は以下の点です。</p>
<ul>
<li>サブネットは10.0.12.0/24(プライベートサブネット1c)に作ります。</li>
<li>先ほど作成したIAM Roleをec2にアタッチします。</li>
<li>セッションマネージャーで接続するためkey pairは不要</li>
</ul>
<p>この状態でec2を作成します。<br>
ec2が立ち上がったらセッションマネージャーを使ってec2に接続します。</p>
<h4 id="%E7%A2%BA%E8%AA%8D%EF%BC%91-1">
<a class="header-anchor-link" href="#%E7%A2%BA%E8%AA%8D%EF%BC%91-1" aria-hidden="true"></a> 確認１</h4>
<p>ブラウザベースのシェルが立ち上がったらコマンドが反応するか見ましょう。</p>
<h3 id="%E3%82%A4%E3%83%B3%E3%82%BF%E3%83%BC%E3%83%8D%E3%83%83%E3%83%88%E3%82%B2%E3%83%BC%E3%83%88%E3%82%A6%E3%82%A7%E3%82%A4%E3%82%92%E7%B5%8C%E7%94%B1%E3%81%9B%E3%81%9A%E3%81%ABvpc%E5%A4%96%E3%81%AE%E3%82%B5%E3%83%BC%E3%83%93%E3%82%B9%E3%81%AB%E6%8E%A5%E7%B6%9A%E3%81%99%E3%82%8B%E3%81%BE%E3%81%A7">
<a class="header-anchor-link" href="#%E3%82%A4%E3%83%B3%E3%82%BF%E3%83%BC%E3%83%8D%E3%83%83%E3%83%88%E3%82%B2%E3%83%BC%E3%83%88%E3%82%A6%E3%82%A7%E3%82%A4%E3%82%92%E7%B5%8C%E7%94%B1%E3%81%9B%E3%81%9A%E3%81%ABvpc%E5%A4%96%E3%81%AE%E3%82%B5%E3%83%BC%E3%83%93%E3%82%B9%E3%81%AB%E6%8E%A5%E7%B6%9A%E3%81%99%E3%82%8B%E3%81%BE%E3%81%A7" aria-hidden="true"></a> インターネットゲートウェイを経由せずにvpc外のサービスに接続するまで</h3>
<p>これまでのハンズオンではVPC内のサービスからインターネットにアクセスするには必ずigwを経由する必要がありました。<br>
しかし世の中にはセキュリティの厳重な基幹系や金融系システムがあります。そこではインターネットとvpc間の接点にigwではなくお客様独自のデータセンターを経由するケースがあり、igwを作成できない要件が多くあります。<br>
このような状況でs3等のawsサービスとやり取りするにはどうすれば良いでしょうか。</p>
<h4 id="vpc-endpoints">
<a class="header-anchor-link" href="#vpc-endpoints" aria-hidden="true"></a> VPC Endpoints</h4>
<p>VPC Endpointsを使うとvpc内のサービスとvpcの外のサービスを直接通信が可能になります。<br>
その手段としてInterface型とgateway型の２つあります。</p>
<p>Interface型はs3やcloudwatch, ssmなど多くのサービスと接続ができます。</p>
<p>(gateway型)[<a href="https://docs.aws.amazon.com/ja_jp/vpc/latest/privatelink/vpce-gateway.html" target="_blank" rel="nofollow noopener noreferrer">https://docs.aws.amazon.com/ja_jp/vpc/latest/privatelink/vpce-gateway.html</a>]は現時点(2022/10/30)でS3やdynamodbサービスに限られています。追加料金は発生しません。</p>
<h4 id="interface%E5%9E%8B%E3%82%92%E4%BD%BF%E3%81%84%E3%80%81ec2%E3%81%A8ssm%E3%82%92%E6%8E%A5%E7%B6%9A%E3%81%99%E3%82%8B%E5%A4%A7%E3%81%BE%E3%81%8B%E3%81%AA%E6%B5%81%E3%82%8C">
<a class="header-anchor-link" href="#interface%E5%9E%8B%E3%82%92%E4%BD%BF%E3%81%84%E3%80%81ec2%E3%81%A8ssm%E3%82%92%E6%8E%A5%E7%B6%9A%E3%81%99%E3%82%8B%E5%A4%A7%E3%81%BE%E3%81%8B%E3%81%AA%E6%B5%81%E3%82%8C" aria-hidden="true"></a> interface型を使い、ec2とssmを接続する大まかな流れ</h4>
<ol>
<li>プライベートサブネットのルートテーブルのルート情報からnat gatewayを削除する</li>
<li>vpcのdns名を有効化する</li>
<li>セキュリティーグループを作る</li>
<li>interface型のvpc endpointsを３つ作る</li>
</ol>
<p>3のsecurity groupは<br>
インバウンドルールにhttpsを追加し、ソースをカスタムの10.0.0.0/16に設定する</p>
<p>4のvpc endpointsは以下の通り</p>
<table>
<thead>
<tr>
<th>サービス</th>
<th>subnet</th>
<th>security group</th>
</tr>
</thead>
<tbody>
<tr>
<td>ssm</td>
<td>10.0.2.0/24(public subnet 1c)</td>
<td>3のsecurity gorup</td>
</tr>
<tr>
<td>ssmmessages</td>
<td>10.0.2.0/24(public subnet 1c)</td>
<td>3のsecurity gorup</td>
</tr>
<tr>
<td>ec2messages</td>
<td>10.0.2.0/24(public subnet 1c)</td>
<td>3のsecurity gorup</td>
</tr>
</tbody>
</table>
<p>この状態でinternalのec2でセッションマネージャーを使って接続します。</p>
<h4 id="%E7%A2%BA%E8%AA%8D%EF%BC%91-2">
<a class="header-anchor-link" href="#%E7%A2%BA%E8%AA%8D%EF%BC%91-2" aria-hidden="true"></a> 確認１</h4>
<p>ブラウザベースのシェルが立ち上がったらコマンドが反応するか見ましょう。</p>
<h4 id="gateway%E5%9E%8B%E3%82%92%E4%BD%BF%E3%81%84%E3%80%81ec2%E3%81%8B%E3%82%89s3%E3%81%AE%E3%83%90%E3%82%B1%E3%83%83%E3%83%88%E4%B8%80%E8%A6%A7%E3%82%92%E8%A1%A8%E7%A4%BA%E3%81%99%E3%82%8B%E5%A4%A7%E3%81%BE%E3%81%8B%E3%81%AA%E6%B5%81%E3%82%8C">
<a class="header-anchor-link" href="#gateway%E5%9E%8B%E3%82%92%E4%BD%BF%E3%81%84%E3%80%81ec2%E3%81%8B%E3%82%89s3%E3%81%AE%E3%83%90%E3%82%B1%E3%83%83%E3%83%88%E4%B8%80%E8%A6%A7%E3%82%92%E8%A1%A8%E7%A4%BA%E3%81%99%E3%82%8B%E5%A4%A7%E3%81%BE%E3%81%8B%E3%81%AA%E6%B5%81%E3%82%8C" aria-hidden="true"></a> gateway型を使い、ec2からs3のバケット一覧を表示する大まかな流れ</h4>
<ol>
<li>s3バケットを作成する</li>
<li>IAM Roleにs3readonlyaccessポリシーをアタッチする</li>
<li>gateway型のvpc endpointsを1つ作る</li>
</ol>
<p>3のvpc endpointsは以下の通り</p>
<table>
<thead>
<tr>
<th>サービス</th>
<th>タイプ</th>
<th>route table</th>
</tr>
</thead>
<tbody>
<tr>
<td>s3</td>
<td>gateway型</td>
<td>両方</td>
</tr>
</tbody>
</table>
<p>パブリック, プライベートの両ルートテーブルのルート情報にs3の行が追加されました。</p>
<table>
<thead>
<tr>
<th>行き先</th>
<th>ターゲット</th>
</tr>
</thead>
<tbody>
<tr>
<td>10.0.0.0/16</td>
<td>local</td>
</tr>
<tr>
<td>s3</td>
<td>vpce-xxxx</td>
</tr>
</tbody>
</table>
<p>この状態でinternalのec2でセッションマネージャーを使って接続します。</p>
<h4 id="%E7%A2%BA%E8%AA%8D%EF%BC%91-3">
<a class="header-anchor-link" href="#%E7%A2%BA%E8%AA%8D%EF%BC%91-3" aria-hidden="true"></a> 確認１</h4>
<p>ブラウザベースのシェルが立ち上がったら<code>aws s3 ls --region ap-northeast-1</code>コマンドを打ちます。</p>
<p>s3のバケット一覧が表示されたらこのハンズオン終了です。</p>
<p>料金</p>
<ul>
<li>nat gateway(Elastic IP Addressも)</li>
<li>internet型のvpcエンドポイント</li>
</ul>
<p>この二つのサービスは無料利用枠アカウントでも課金対象なのでハンズオンが終わったら早めに削除しておくことをお勧めします。</p>


AWS VPCの概要を理解

ブラウザからパブリックサブネット内のec2にアクセスするまで

プライベートサブネット内のec2からインターネットにアクセスするまで

インターネットゲートウェイを経由せずにvpc外のサービスに接続するまで

Discussion