目次
1ネットワーク設計
2.EC2構築と各種インストール
3ドメイン周り設定
4.セキュリティ設定
5.参考文献
3.ドメイン周り設定
- AWSでDNS相当のR53にてドメインの登録をします。
- ACMで証明書の発行を行い、
登録したドメインとの紐づけをします。(CNAMEレコード登録) - ターゲットグループを作成し、設定画面でアプリサーバを収容します。
- ロードバランサーを作成し、ターゲットグループを収容します。
登録したドメインとの紐づけをします。(Aレコード登録)
3-1.Route53でドメイン登録
ドメインの設定をします。
AWSでDNSに相当する「Route53」のメニュー画面から「登録済みドメイン」を選択し、「ドメインの検索」の検索窓に任意の文字列を入力し、「検索」を押下します。
上記任意の文字列と一致するドメインが取得可能であれば、「完全一致」として最上位に候補が上がります。
一致するドメインが使用できなければ類似の文字列が候補に上がってきます。
候補一覧の中から希望するドメインを選び。「選択」を押下、小計を確認し「チェックアウトに進む」を押します。
遷移後の画面で支払い情報を入力・確認します。
購入処理にはしばらく時間がかかります。
3-2.Certificate Managerからパブリック証明書を発行
次に、「Certificate Manager」の設定画面から、「証明書をリクエスト」を選択し、「証明書タイプ」から、「パブリック証明書をリクエスト」を選択します。
遷移後の画面で「完全修飾ドメイン名」の欄に前述のRoute53で登録したドメイン名を入力します。
その他の入力内容はデフォルトのままで「リクエスト」を押下します。
「証明書一覧」の一覧画面の「ステータス」が"保留中の検証"のままです。
「証明書ID」のリンク先から、CNAME名とCNAME値をコピーします。
CNAME名を「レコード名」の欄に、CNAME値を「値」の欄にペーストします。
レコードタイプはCNAMEを選択します。
証明書一覧のステータスが「発行済み」に変わることを確認します。
3-3.ターゲットグループ作成
EC2の設定画面を下にスクロールし、「ロードバランサー」の項目から「ターゲットグループ」を選択します。「ターゲットグループの作成」を押下します。
遷移後の画面で以下を設定します。
・ターゲットタイプの選択-「インスタンス」
・ターゲットグループ名-任意の文字列
・プロトコルポート-「HTTPS」
・VPC-前項1で作成したVPC
・ヘルスチェックプロトコル-「HTTPS」
遷移後の画面で、前項2で作成したEC2にチェックを入れ、「保留中として以下を含める」を押します。
3-4.ロードバランサー作成
ロードバランサーを作成します。
以下、設定項目です。
・ロードバランサータイプは「Application Load Balancer」を選択します
・ロードバランサー名- 任意の文字列
・スキーム-「内部」
・VPC- 前項1で作成したVPC
・マッピング-
本システム領域のアベイラビリティーゾーン2つにチェック
「1a」のサブネットは前項1で作成したもの一択、
「1c」のサブネットはEC2のあるサブネットを選択します。
・セキュリティーグループは前項1で作成した「WEB-SG」を選択します。
・リスナーのプロトコルに「HTTPS」を選択し、デフォルトアクションに先ほど作成したターゲットグループを選択します。
・証明書の取得先はACMを選択し先ほど作成した証明書を選択します。
ロードバランサーの詳細画面で、DNS名をコピーします。
R53の「ホストゾーン」の画面で前述の通り登録したホストゾーンを選択し、Aレコードを登録します。
レコードタイプに「Aレコード」を選択し、「エイリアス」を有効化します。トラフィックのルーティング先に先ほどのロードバランサーを選択します。
ターゲットグループの詳細画面を確認すると、ターゲットに指定したEC2への疎通について、ヘルスチェックが「unhealthy」になっていることがありますが、ドキュメントルートのファイルに「index.html」を含めれば、「healthy」に変わるとのことです。
index.htmlは基本置いておくだけでよさそうなので、EC2のhttpd.confのDirectoryIndexからも指定を外します。
<IfModule dir_module>
DirectoryIndex index.php
</IfModule>
[ec2-user@ip-172-31-5-41 conf]$ sudo systemctl restart httpd.service
次節では、仕上げとしてセキュリティの実装を行います。