はじめに

本記事では、インフラ構成についてAWSで構築を行い、
VPNで特定のメンバーにのみ通信が可能なアプリケーションの作成を目指します。

AWS公式からVPNクライアントツールをダウンロードし、所定の手順により作成したプロファイルを読み込むことで特定のメンバーだけが通信可能となります。

VPNクライアントツールで接続し、再度URLを入力すると、アクセスが可能になります。

本システムのインフラ構成について

【図1】

各装置の機能・役割は以下の通りです。

【図2】

1. 【アプリサーバとデータベースサーバ】
   　　本システムの中核となるサーバーです。
   

2. 【ロードバランサー】
   本来の機能は負荷分散で冗長構成ありきのものですが、
   ドメイン設定と連携させることができ、本システムではURLによる名前解決を担います。

3.【VPNエンドポイント】
　特定のメンバーのみに通信を許可する仕組みです

目次

1.ネットワーク設計
2.EC2構築と各種インストール
3ドメイン周り設定
4.セキュリティ設定
5.参考文献

1.ネットワーク設計

1-1.VPC、サブネットグループの作成

まずは、VPC、サブネットグループの作成から始めていきます。

1. VPC作成

2.サブネット"VPN-EFI-1c"作成

3.サブネット"App-Public-1c"作成

1-2.インターネットゲートウェイ作成

ネットワークをVPN化するまえに、インターネットを介して各種インストールが必要なものがあるため、一時的にインターネットゲートウェイを作成する。

1.インターネットゲートウェイ作成

2.作成したインターネットゲートウェイをVPCにアタッチ

VPCの中にサブネットを作成しただけでは、例えて言うなら、ネットワーク内にVLANがただ点在しているのみで、通信は成立しません。
VPC内で異なるネットワーク同士を束ねるスイッチないしルータの役割を果たすのが、ルートテーブルという機能です。
このルートテーブルにサブネットを関連付け、インターネットゲートウェイへのルートを登録することで、VPC内のEC2へインターネットを介して各種インストールが可能になります。

3.ルートテーブル設定
①対象のVPCのルートテーブルにチェックし、「サブネットの関連付けを編集」を押下

すべてのサブネットを関連付けます。

②ルートテーブル一覧に戻り、「ルートを編集」を押下

インターネットゲートウェイを追加

1-3.セキュリティグループ作成

セキュリティグループは、一般的にはACL(アクセスコントロールリスト)の機能を担うとされています。
本システムでは、このセキュリティグループで最終的にはアプリサーバを交点として十字方向に通信を制御する設計になります。

縦方向は、システム運用管理者用の通信経路になります。

①上側(赤枠内)は、S3からの資材(主に編集を加えたコードを想定)をアプリサーバに供給する経路です。

②下側(黒枠内)は、SSHの通信をユーザ向け経路と分けるシステム(SessionManager)で、セキュリティーグループとは別にEC2にIAMロールを適宜設定（後述）し、システム運用者用に安全な経路を確保します。

横方向はユーザ向け通信とし、ロードバランサー、アプリサーバ、DBサーバの順をたどるよう通信を制御します。

ともあれ、上記セキュリティ設計の実装は後述の各種インストールが完了してからとなります。現段階では"ハコのみ"作成します。

1.セキュリティーグループ"WEB-SG","APP-SG","DB-SG"作成

2.現段階ではインバウンドルール、アウトバウンドルールすべて
　・タイプ-「すべてのトラフィック」
　・ソース,送信先-「0.0.0.0/0」
に設定しておきます。

1-4.RDS構築

ここから、サーバの作成と設置を行います。
最初にDBサーバから、作成していきます。

作成方法は「標準作成」、エンジンオプションは「MySQL」を選択、
テンプレートは「無料利用枠」を使用します。

マスターパスワードを設定し、セキュリティグループに「DB-SG」を指定、
アベイラビリティゾーンに「ap-northeast-1c」を指定します。
その他の設定値はデフォルト値から変更しません。

1-5.アラート発報の実装

RDSの容量が少なくなるとメールで通知が来るよう、設定をします。
①Amazon-SNS設定
Amazon-SNS設定画面にて、トピックの作成をします。

「スタンダード」を選択し、名前を入力します。

「トピックの作成」を押下し、遷移後の画面で「サブスクリプションの作成」を押下します。

「プロトコル」で「Eメール」を選択し、エンドポイントに通知を受け取るEメールアドレスを入力します。

サブスクリプション作成直後はステータスが「保留中の確認」になっています。登録したEメールに確認のメールが来ていますので、メール文面の「Confirm subscription 」を押下します。

リンク先の画面で「Subscription confirmed!」のメッセージが表示され、登録が完了します。

②アラームの作成
　Cloudwatchの設定画面からアラームの設定を行います。
　アラームの項目から「アラームの作成」を押下します。

　「メトリクスの選択」を押下します。

　「RDS」>「DBInstanceIdentifier」の順に選択します。


　対象RDSの「FreeStorageSpace」を選択し、チェックを入れます。

　次に、しきい値の設定をします。RDSの無料利用枠は20Gですが、空き容量が3G以下になったとき、アラームが通知されるよう設定します。
　設定値の入力単位は、メガバイトでもキロバイトでもなく、バイトになります。0の数に注意してください。

　「次へ」を押下し、設定したしきい値を下回ったときの挙動を設定します。

　「アラーム状態トリガー」が「アラーム状態」、「次のSNSトピックに通知を送信」が「既存のSNSトピックを選択」になっていることを確認してください。
　「通知の送信先」に先ほど作成したSNSトピックを選択します。

　最後に「アラーム名」を入力し、これまでの設定内容を確認して、作成完了です。

次節では、EC2の構築と各種インストールをしていきます。