#前提条件
OS
MacOS Monterey 12.0.1
CPU
Apple M1(arm64)
AWS EC2インスタンスタイプ
Amazon Linux 2 AMI (HVM) - Kernel 5.10, SSD Volume Type
#手順
###1 はじめに(今回構築するアーキテクチャとゴール)###
アーキテクチャ・・・なんて大袈裟に書きましたが、話を簡単にするため、
・VPC内の1つのAZに
・パブリックサブネット1つ
(その中にEC2インスタンス1つ)
・プライベートサブネット1つ
(その中にEC2インスタンス1つ)
という最もシンプルなVPCを構築します。
そこで、
①パブリックサブネット内インスタンスにMacターミナル等からssh接続
②そのインスタンスからプライベートサブネット内のインスタンスへssh接続
という2段階で、直接外からアクセスできないプライベートサブネット内のインスタンスへ接続することをゴールとします。
###2 VPCを作成###
ネットワーク範囲を10.0.0.0/16に設定
(詳しい手順は割愛します)
###3 パブリックサブネットを作成###
ネットワーク範囲を10.0.0.0/24に設定
※作成後、サブネットの詳細画面でもし「パブリック IPv4 アドレスを自動割り当て」が「いいえ」になっていた場合は、設定の編集から自動割り当てをオンにしてください。
###4 プライベートサブネットを作成###
ネットワーク範囲を10.0.1.0/24に設定
※「パブリック IPv4 アドレスを自動割り当て」は「いいえ」で大丈夫です。
###5 インターネットゲートウェイ(IGW)を作成###
設定は何もありません。作るだけ。
※手順2で作ったVPCへのアタッチを忘れずに!
###6 パブリックサブネットのルートテーブルにIGWへのルートがあることを確認###
もしなければ、パブリック用ルートテーブルを作成し、パブリックサブネットに関連づけます
※プライベートサブネットにはこのルートは不要です。10.0.0.0/16⇨local のみでOK
凡ミス防止のため、手間ですがルートテーブルを2種作成し、名前は「パブリック、プライベート」などと分け、それぞれのサブネットに関連づけてます。
ここまでで、VPC全体の構成は完了です。
※今回はネットワークACLはデフォのまま「全て許可」にしています。
###7 各サブネットに1つずつEC2インスタンスを作成###
VPC周りができたので、EC2インスタンスを2つ作成し、それぞれパブリック・プライベートサブネットに配置します。
今回は無料利用枠「Amazon Linux 2 AMI (HVM) - Kernel 5.10, SSD Volume Type 」を使用します。
①パブリック側に配置するインスタンスを作成
基本的にはデフォのまま作成していきます。
ただし、以下の点に注意してください。
※パブリックIPアドレスの自動割り当てがONになっていることを確認
※セキュリティグループについて、自分はよりセキュアな環境で実験したかったので、自分だけがssh接続できるようにするため、「タイプ=SSH、ソース=マイIP」としました。
※起動直前に「新規のキーペア作成・pemファイルのダウンロード」を行う!
※pemファイルについては、
1)安全な場所(.sshディレクトリ)へ移動
2)権限変更
3)pemファイルの中身を丸々テキストエディタなどへコピーしておく
ことを忘れずに!
1)、2)の手順は、↓の記事に紹介していますので、よかったら参考にされてください。
3)については、
% cat ファイル名.pem
-----BEGIN RSA PRIVATE KEY-----
(ファイルの中身)
-----END RSA PRIVATE KEY-----
で中身を表示し、そのままコピーしておきます(後で使います)
②プライベート側に配置するインスタンスを作成
①と同様に作成していきます。
※セキュリティグループは、①に加え、「タイプ=SSH、ソース=10.0.0.0/24」(パブリックサブネットのネットワーク範囲)を指定します。
(この後、パブリックサブネット内インスタンスからssh接続するためです)
※起動直前は「既存のキーペアを選択」で①のインスタンス起動時にダウンロードしたpemファイルを選択してください。
###8 パブリックサブネット内インスタンスへ接続###
いよいよインスタンスへssh接続していきます。
今回はMacのターミナルから接続します。
手順は、↓の記事にも載せてあるためここでは割愛します。
(何度もスイマセン、再掲します)
インスタンスに接続できたら、
yum update -y
しておきます。
###9 プライベートサブネット内インスタンスへ接続###
先ほど接続したパブリックサブネット側のインスタンス内で操作します。
sudo su
ルート権限にして、
# nano myprivatekey.pem
でpemファイルを作成します。
エディタが立ち上がったら、中身に先ほどコピーしたpemファイルの中身を丸ごと貼り付けて保存します。
# chmod 400 myprivatekey.pem
権限変更します。
# ssh -i myprivatekey.pem ec2-user@インスタンスのプライベートIPアドレス
プライベートサブネット側のインスタンスに接続したいので、@以降はプライベートIPアドレスを指定します(パブリックIPアドレスは割り当てられてないはずです)
以上です。