Amazon Virtual Private Cloud - 入門ガイド

Amazon Virtual Private Cloud
入門ガイド
Amazon Virtual Private Cloud 入門ガイド
Amazon Virtual Private Cloud 入門ガイド
Amazon Virtual Private Cloud: 入門ガイド
Copyright © 2017 Amazon Web Services, Inc. and/or its affiliates. All rights reserved.
Amazon's trademarks and trade dress may not be used in connection with any product or service that is not Amazon's, in any
manner that is likely to cause confusion among customers, or in any manner that disparages or discredits Amazon. All other
trademarks not owned by Amazon are the property of their respective owners, who may or may not be affiliated with, connected to,
or sponsored by Amazon.
Amazon Virtual Private Cloud 入門ガイド
Table of Contents
概要 ............................................................................................................................................ 1
Amazon VPC の使用を開始する .............................................................................................. 2
ステップ 1: VPC を作成する .......................................................................................... 3
ステップ 2: セキュリティグループを作成する ................................................................... 6
ステップ 3: インスタンスを VPC 内で起動する ................................................................. 8
ステップ 4: Elastic IP アドレスをインスタンスに割り当てる .............................................. 10
ステップ 5: クリーンアップ .......................................................................................... 12
iv
Amazon Virtual Private Cloud 入門ガイド
概要
Virtual Private Cloud (VPC) は、お客様がデータセンターで運用している従来のネットワークによく似
た仮想ネットワークです。アマゾンウェブサービス (AWS) のスケーラブルなインフラストラクチャ
を使用しており、その利点を活用することができます。この演習のタスクを完了すると、VPC で実行
される Amazon EC2 インスタンスが作成されます。このインスタンスには、SSH (Linux のインスタ
ンス) またはリモートデスクトップ (Windows のインスタンス) を使用して、インターネットからアク
セスすることができます。
Amazon VPC の概要については、「Amazon VPC とは」を参照してください (「Amazon VPC ユー
ザーガイド」)。
次の図は、このガイドの実習が完了したときに作成されるアーキテクチャーを表しています。セキュ
リティグループをセットアップしてインスタンスに関連付けると、特定のポートからのトラフィック
のみが許可され、お客様が指定したルールにしたがい、インスタンスとの通信はロックダウンされま
す。Elastic IP アドレス (EIP) を使用すると、通常はプライベートの VPC インスタンスが、インター
ネットゲートウェイ経由でインターネットからアクセスできるようになります (例えば、ウェブサー
バーのように稼働できます)。
1
Amazon Virtual Private Cloud 入門ガイド
Amazon VPC の使用を開始する
Amazon VPC の使用を開始する
この演習では、IPv4 CIDR ブロックを持つ VPC、IPv4 CIDR ブロックを持つサブネットを作成し、パ
ブリックインスタンスをサブネットに起動します。インスタンスはインターネットとは通信できるよ
うになり、SSH (Linux インスタンスの場合) またはリモートデスクトップ (Windows インスタンスの
場合) を使用して、ローカルコンピュータからインスタンスにアクセスできるようになります。実際の
環境では、このシナリオを使用して、たとえばブログをホストするなどのパブリック側のウェブサー
バーを作成できます。
Note
この演習では、独自のデフォルト以外の VPC を迅速にセットアップするためのヘルプを目的
としています。すでにデフォルト VPC を持っていて、そこにインスタンスを作成する場合
(新しい VPC を作成または構成しない場合)、「EC2 インスタンスをデフォルトの VPC 内に
起動する」を参照してください。IPv6 をサポートするデフォルト以外の VPC の設定を開始す
る方法は、「Getting Started with IPv6 for Amazon VPC」を参照してください。
この演習を完了するには、次のタスクを実行してください。
2
Amazon Virtual Private Cloud 入門ガイド
ステップ 1: VPC を作成する
• 1 つのパブリックサブネットを持つデフォルト以外の VPC を作成する。サブネットを使うと、イ
ンスタンスをセキュリティや運用上の必要に応じてグループ化することができます。パブリックサ
ブネットとは、インターネットゲートウェイを通してインターネットにアクセスするサブネットで
す。
• 特定のポートのみからトラフィックを許可するセキュリティグループをインスタンスに作成しま
す。
• サブネット内に Amazon EC2 インスタンスを起動します。
• Elastic IP アドレスをインスタンスに関連付ける. これでインスタンスがインターネットにアクセス
できるようになります。
初めて Amazon VPC を使用する際には、Amazon Web Services (AWS) にサインアップする必要が
あります。サインアップすると、Amazon VPC を含む AWS のすべてのサービスに対して AWS ア
カウントが自動的にサインアップされます。AWS アカウントをまだ作成していない場合は、[http://
aws.amazon.com] にアクセスし、[Create a Free Account] を選択します。
Note
この演習では、アカウントが EC2-VPC プラットフォームのみをサポートするものと仮定しま
す。アカウントが以前の EC2-Classic プラットフォームをサポートしている場合でも、この
演習の手順に従うことができます。ただし、そのアカウントにはデフォルト以外の VPC と比
較するためのデフォルトの VPC はありません。詳細については、Supported Platforms を参
照してください。
目次
• ステップ 1: VPC を作成する (p. 3)
• ステップ 2: セキュリティグループを作成する (p. 6)
• ステップ 3: インスタンスを VPC 内で起動する (p. 8)
• ステップ 4: Elastic IP アドレスをインスタンスに割り当てる (p. 10)
• ステップ 5: クリーンアップ (p. 12)
ステップ 1: VPC を作成する
このステップでは、Amazon VPC コンソールの Amazon VPC ウィザードを使用して、VPC を作成し
ます。ウィザードは次の手順を自動的に行います。
• /16 の IPv4 CIDR ブロック (65,536 個のプライベート IP アドレスのネットワーク) を持つ VPC を作
成します。VPC の CIDR 表記とサイズについての詳細は、「Your VPC」を参照してください。
• インターネットゲートウェイをこの VPC にアタッチします。詳細については、「インターネット
ゲートウェイ」を参照してください。
• サイズ /24 の IPv4 サブネット (256 個のプライベート IP アドレスを含む範囲) を VPC に作成しま
す。
• カスタムルートテーブルを作成し、サブネットに関連付けると、サブネットとインターネットゲー
トウェイ間でトラフィックが転送されます。ルートテーブルに関する詳細については、「ルート
テーブル」を参照してください。
次の図は、この手順を完了後の VPC のアーキテクチャーを示しています。
3
Amazon Virtual Private Cloud 入門ガイド
ステップ 1: VPC を作成する
Note
この演習では、VPC ウィザードの最初のシナリオを扱います。そのほかのシナリオについて
は、「Scenarios for Amazon VPC」を参照してください。
Amazon VPC ウィザードを使用して VPC を作成するには
1.
https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。
2.
ナビゲーションバーの右上から、VPC を作成するリージョンをメモしておきます。別のリージョ
ンから VPC 内にインスタンスを起動できないので、この演習が終了するまでは同じリージョンで
作業を続けるようにしてください。リージョンの詳細については、「リージョンとアベイラビリ
ティーゾーン」を参照してください。
3.
ナビゲーションペインで、[VPC dashboard] を選択します。次に、[VPC ウィザードの起動] を選
択します。
4
Amazon Virtual Private Cloud 入門ガイド
ステップ 1: VPC を作成する
Note
ナビゲーションペインで [Your VPCs] を選択しないでください。このページから VPC
ウィザードにアクセスすることはできません。
4.
最初のオプション [VPC with a Single Public Subnet] を選択し、続いて [Select] を選択します。
5.
設定ページで [VPC name] フィールドに VPC の名前を入力します (たとえば、my-vpc)。続い
て、[Subnet name] フィールドにサブネットの名前を入力します。これは、VPC およびサブネッ
トを作成後に Amazon VPC においてそれらを識別するのに役立ちます。この演習では、その他の
設定をページに残したまま、[Create VPC] を選択することができます。
(オプション) 必要に応じて、設定を次のように変更してから、[Create VPC] を選択します。
• [IPv4 CIDR block] には、VPC に使用する IPv4 アドレス範囲が表示され (10.0.0.0/16)、また
[Public subnet's IPv4 CIDR] フィールドには、サブネットに使用する IPv4 アドレス範囲が表示
されます (10.0.0.0/24)。デフォルト CIDR の範囲を使用しない場合は、独自の値を指定でき
ます。詳細については、「VPC とサブネットのサイズ設定」を参照してください。
• [Availability Zone] リストから、サブネットを作成するアベイラビリティーゾーンの選択ができ
ます。アベイラビリティーゾーンを AWS で自動的に選択するには、[No Preference] を選択し
ます。詳細については、「リージョンとアベイラビリティーゾーン」を参照してください。
• [Service endpoints] セクションでは、Amazon S3 への VPC エンドポイントを同一リージョン
内に作成するサブネットを選択できます。詳細については、「VPC エンドポイント」を参照し
てください。
• [Enable DNS hostnames] オプションで [Yes] を選択すると、VPC で起動されるインスタンス
が DNS ホスト名を受信するようになります。詳細については、「Using DNS with Your VPC」
を参照してください。
• [Hardware tenancy] オプションでは、VPC で起動されるインスタンスが共有または専用のハー
ドウェアで実行されるかを選択することができます。専有テナンシーの選択には追加コストが
発生します。ハードウェアテナンシーの詳細については、「ハードウェア専有インスタンス」
を参照してください。
6.
ステータスウィンドウに、作業の進行状況が表示されます。作業が完了したら、[OK] を選択して
ステータスウィンドウを閉じます。
7.
[Your VPCs] ページは、今作成したデフォルト VPC とその他の VPC が表示されます。デフォル
ト以外の VPC を作成した場合には、[Default VPC] 列に [No] と表示されます。
5
Amazon Virtual Private Cloud 入門ガイド
ステップ 2: セキュリティグループを作成する
VPC に関する情報の表示
VPC を作成したら、そのサブネット、インターネットゲートウェイ、およびルートテーブルに関する
情報を表示できます。作成した VPC には 2 個のルートテーブルがあります — すべての VPCs にある
メインルートテーブル、そしてウィザードから作成したカスタムルートテーブルです。このカスタム
ルートテーブルにはサブネットが関連付けられます。したがって、サブネットへのトラフィックの流
れ方は、このテーブル内のルートから決定されます。VPC に新規のサブネットを追加する場合、その
サブネットはデフォルトでメインルートテーブルを使用します。
VPC に関する情報を表示するには
1.
https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。
2.
画面左枠のナビゲーションペインで、[Your VPCs] を選択します。作成した VPC の名前と ID を
書き留めておきます ([Name] および [VPC ID] 列を参照します)。この情報で VPC に関連付けられ
るコンポーネントを識別することができます。
3.
ナビゲーションペインで、[Subnets] を選択します。コンソールには、VPC を作成した時に作成
されたサブネットが表示されます。[Name] 列からその名前でサブネットを識別したり、前記の手
順で VPC 情報を入手して、[VPC] 列から確認できます。
4.
ナビゲーションペインで、[Internet Gateways] を選択します。VPC にアタッチしているインター
ネットゲートウェイは、[VPC] 列から確認でき、ここから VPC の ID と名前 (適用できれば) が表
示されます。
5.
ナビゲーションペインで、[Route Tables] を選択します。VPC に関連付けられる 2 つのルート
テーブルがあります。カスタムルートテーブル ([Main] 列に [No] と表示されているもの) を選択
し、[Routes] タブを選択すると、ルート情報が詳細ペインに表示されます。
• テーブルの 1 行目がローカルルートで、これによってインスタンスは VPC 内で通信できるよ
うになります。このルートは、どのルートテーブルにもデフォルトで存在するものであり、削
除することはできません。
• 2 行目は Amazon VPC ウィザードがテーブルに追加したルートです。これにより、VPC の外
の IPv4 アドレス (0.0.0.0/0) に向けられたトラフィックが、サブネットからインターネット
ゲートウェイに流れるようになります。
6.
メインルートテーブルを選択します。メインルートテーブルはローカルルートだけで、それ以外
のルートがありません。
ステップ 2: セキュリティグループを作成する
セキュリティグループは、仮想ファイアウォールとして機能し、関連付けられたインスタンスへのト
ラフィックを管理します。セキュリティグループを使用するには、インスタンスの出力トラフィック
を制御するインバウンドルール、およびインスタンスから送信されるトラフィックを制御するアウト
バンドルールを追加します。インスタンスにセキュリティグループを関連付けるには、インスタンス
の起動時にセキュリティグループを指定します。セキュリティーグループのルールを追加したり削除
したりすると、そのグループに関連するインスタンスすべてに、同じ変更が自動的に適用されます。
VPC には、デフォルトのセキュリティグループが用意されています。起動時に他のセキュリティグ
ループに関連付けられていないインスタンスは、デフォルトのセキュリティグループに関連付けられ
ます。この演習では、新しいセキュリティグループを作成し、WebServerSG、続いて VPC でインス
タンスを起動するときにこのセキュリティグループを指定します。
トピック
• WebServerSG セキュリティグループのルール (p. 7)
• WebserverSG セキュリティグループを作成する (p. 7)
6
Amazon Virtual Private Cloud 入門ガイド
ステップ 2: セキュリティグループを作成する
WebServerSG セキュリティグループのルール
以下の表では、WebServerSG セキュリティグループのインバウンドとアウトバウンドのルールにつ
いて説明します。インバウンドルールを各自で追加してください。アウトバウンドルールとは、あら
ゆる場所へのアウトバウンド通信を許可するデフォルトのルールです— ユーザーがこのルールを追加
する必要はありません。
インバウンド
送信元 IP
プロトコル
ポート範囲
コメント
0.0.0.0/0
TCP
80
任意の IPv4 アドレスからのインバウ
ンド HTTP アクセスを許可します。
0.0.0.0/0
TCP
443
任意の IPv4 アドレスからのインバウ
ンド HTTPS アクセスを許可します。
ホームネットワー
クのパブリック
IPv4 アドレスの
範囲
TCP
22
ホームネットワークから Linux/UNIX
インスタンスへのインバウンド SSH
アクセスを許可します。
ホームネットワー
クのパブリック
IPv4 アドレスの
範囲
TCP
3389
ホームネットワークから Windows イ
ンスタンスへのインバウンド RDP ア
クセスを許可します。
送信先 IP
プロトコル
ポート範囲
コメント
0.0.0.0/0
すべて
すべて
デフォルトのアウトバウンドルール
は、すべてのアウトバウンド IPv4 通
信を許可します。
アウトバウンド
WebserverSG セキュリティグループを作成する
Amazon VPC コンソールを使いセキュリティグループを作成することができます。
WebServerSG セキュリティグループを作成し、ルールを追加するには
1.
https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。
2.
ナビゲーションペインで、[Security Groups] を選択します。
3.
[Create Security Group] を選択します。
4.
[Group name] フィールドで、セキュリティグループ名として WebServerSG を入力し、説明を入
力します。オプションで [Name tag] フィールドを使用して、キー Name および指定する値で、セ
キュリティグループのタグを作成できます。
5.
[VPC] メニューで VPC の ID を選択し、[Yes, Create] を選択します。
6.
作成した WebServerSG セキュリティグループを選択します (グループ名は [Group Name] 列で確
認できます)。
7.
[Inbound Rules] タブで [Edit] を選択し、次に示すようにインバウンドトラフィックのルールを追
加が完了したら、続いて [Save] を選択します。
a.
[Type] リストから [HTTP] を選択し、[Source] フィールドに「0.0.0.0/0」と入力します。
b.
[Add another rule] を選択し、[Type] リストから [HTTPS] を選択し、[Source] フィールドに
「0.0.0.0/0」と入力します。
7
Amazon Virtual Private Cloud 入門ガイド
ステップ 3: インスタンスを VPC 内で起動する
c.
[Add another rule] を選択します。Linux インスタンスを起動した場合、[Type] リストから
[SSH] を選択し、Windows インスタンスを起動した場合には、[Type] リストから [RDP] を選
択します。[Source] フィールドに、ネットワークのパブリック IP アドレスの範囲を入力しま
す。このアドレス範囲が不明の場合は、この実習では 0.0.0.0/0 を使用してください。
Caution
0.0.0.0/0 を使うと、すべての IP アドレスから SSH や RDP 経由でインスタンス
にアクセスすることが許可されます。これは、短期間の実習では許容されますが、
本稼働環境では安全ではありません。実稼働環境では、特定の IP アドレスまたは特
定のアドレス範囲にのみ、インスタンスへのアクセスを限定します。
ステップ 3: インスタンスを VPC 内で起動する
EC2 インスタンスを VPC 内で起動するときは、どのサブネットでインスタンスを起動するかを指定
する必要があります。この場合、作成した VPC のパブリックサブネットにインスタンスを起動しま
す。Amazon EC2 コンソールで Amazon EC2 起動ウィザードを使用して、インスタンスを起動しま
す。
次の図は、この手順を完了後の VPC のアーキテクチャーを示しています。
8
Amazon Virtual Private Cloud 入門ガイド
ステップ 3: インスタンスを VPC 内で起動する
EC2 インスタンスを VPC 内で起動するには
1.
https://console.aws.amazon.com/ec2/) にある Amazon EC2 コンソールを開きます。
2.
ナビゲーションバーの右上で、VPC とセキュリティグループを作成したリージョンが選択されて
いることを確認します。
3.
ダッシュボードから、[Launch Instance] を選択します。
4.
ウィザードの最初のページで、使用する AMI を選択します。この演習では、Amazon Linux AMI
または Windows AMI を選択することをお勧めします。
5.
[Choose an Instance Type] ページで、起動するインスタンスのハードウェア設定とサイズを選択
できます。デフォルトでは、お客様が選択した AMI に基づいて使用可能な最初のインスタンス
タイプがウィザードで選択されます。デフォルトの選択のまま残して [Next: Configure Instance
Details を選択できます。
6.
[Configure Instance Details] ページで、[Network] リストから作成した VPC を選択し、[Subnet]
リストからサブネットを選択します。デフォルト設定の残りを終了して、ウィザードに [Tag
Instance] ページが表示されるまでページを移動します。
7.
[Tag Instance] のページで、Name タグを利用してインスタンスをタグできます。たとえ
ばName=MyWebServer。これはインスタンスが起動した後、Amazon EC2 コンソールでインスタ
ンスを識別するのに役立ちます。完了したら、[Next: Configure Security Group] を選択します。
9
Amazon Virtual Private Cloud 入門ガイド
ステップ 4: Elastic IP アドレ
スをインスタンスに割り当てる
8.
[Configure Security Group] ページで、ウィザードは自動的に launch-wizard-x セキュリティグ
ループを定義して、インスタンスに接続できるようにします。代わりに、[Select an existing
security group] オプションを選択し、以前から作成してある [WebServerSG] グループを選び、続
いて [Review and Launch] を選択します。
9.
[Review Instance Launch] ページでインスタンスの詳細を確認して、続いて [Launch] を選択しま
す。
10. [Select an existing key pair or create a new key pair] ダイアログボックスで、既存のキーペアを
選択するか、新しいキーペアを作成できます。新しいキーペアを作成する場合、ファイルをダウ
ンロードして、安全な場所に保存してください。起動後にインスタンスに接続するには、プライ
ベートキーの内容が必要になります。
インスタンスを起動するには、確認のチェックボックスをオンにし、続いて [Launch Instances]
を選択します。
11. 確認ページで、[View Instances] を選択して、[Instances] ページのインスタンスを表示します。
インターフェースを選択し、[Description] タブで詳細を表示します。[Private IPs] フィールドは、
サブネットの IP アドレスの範囲からのインスタンスに割り当てられたプライベート IP アドレス
が表示されます。
Amazon EC2 起動ウィザードで使用できるオプションの詳細については、Linux インスタンス用
Amazon EC2 ユーザーガイドで「、Launching an Instance を参照してください。
ステップ 4: Elastic IP アドレスをインスタンスに割
り当てる
これまでのステップでは、パブリックサブネット内にインスタンスを起動しました— インターネット
ゲートウェイへのルートが存在するサブネット。ただし、サブネットのインスタンスは、パブリック
IPv4 アドレスでインターネットと通信できることも必要です。デフォルトでは、デフォルト以外の
VPC のインスタンスはパブリック IPv4 アドレスを割り当てられません。このステップでは、Elastic
IP アドレスをアカウントに割り当て、それをインスタンスに関連付けます。Elastic IP アドレスの詳
細については、「Elastic IP アドレス」を参照してください。
次の図は、この手順を完了後の VPC のアーキテクチャーを示しています。
10
Amazon Virtual Private Cloud 入門ガイド
ステップ 4: Elastic IP アドレ
スをインスタンスに割り当てる
Elastic IP アドレスを割り当てるには
1.
https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。
2.
ナビゲーションペインで [Elastic IPs] を選択します。
3.
[Allocate New Address を選択し、続いて [Yes, Allocate] を選択します。
Note
アカウントが EC2-Classic をサポートしている場合には、まず [EC2-VPC] を [Network
platform] リストから選択します。
4.
リストで Elastic IP アドレスを選び、[Actions] を選択してから [Associate Address] を選択しま
す。
5.
ダイアログボックスの [Associate with] リストから [Instance] を選択し、続いて [Instance] リスト
からユーザーのインスタンスを選択します。以上が完了したら、[Yes, Associate] を選択します。
インスタンスが、インターネットからアクセス可能になりました。SSH またはホームネットワークか
らリモートデスクトップを使って、Elastic IP アドレスからインスタンスに接続できます。Linux イン
スタンスに接続する方法の詳細については、「Linux インスタンス用 Amazon EC2 ユーザーガイド」
の「Connecting to Your Linux Instance」を参照してください。Windows インスタンスに接続する方法
11
Amazon Virtual Private Cloud 入門ガイド
ステップ 5: クリーンアップ
については、「Windows インスタンスの Amazon EC2 ユーザーガイド」の Connect to Your Windows
Instance Using RDP を参照してください。
これで実習は終了します。このまま VPC でインスタンスを使用し続けることができます。もしこのイ
ンスタンスが不要な場合には、アドレスへの料金発生を防ぐためにインスタンスを終了して Elastic IP
アドレスを解除してください。VPC を削除することもできます— この演習で作成された VPC および
VPC のコンポーネントには料金が発生しないことを注記します (サブネットやルートテーブルなど)。
ステップ 5: クリーンアップ
VPC を削除する前に、VPC で実行中のすべてのインスタンスを停止する必要があります。VPC
コンソールを使用して VPC を削除すると、サブネット、セキュリティグループ、ネットワーク
ACLs、DHCP オプションセット、ルートテーブル、インターネットゲートウェイなどこの VPC に関
連付けられたリソースも削除されます。
インスタンスを終了し、Elastic IP アドレスを解除して VPC を削除するには
1.
https://console.aws.amazon.com/ec2/) にある Amazon EC2 コンソールを開きます。
2.
ナビゲーションペインで、[インスタンス] を選択します。
3.
インスタンスを選び、[Actions] を選択し、[Instance State] を選択した後、[Terminate] を選択し
ます。
4.
5.
6.
ダイアログボックスで [Release attached Elastic IPs] セクションを展開し、Elastic IP アドレスの
横にあるチェックボックスを選択します。[Yes, Terminate] を選択します。
https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。
画面左枠のナビゲーションペインで、[VPC] を選択します。
7.
8.
VPC を選び、[Actions] を選択後、[Delete VPC] を選択します。
確認を求めるメッセージが表示されたら、[Yes, Delete] を選択します。
12

Download Report