0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 1 year has passed since last update.

VPCの構築

Posted at

目次

  • 用語
  • 注意点
  • 作業内容

用語

  • NATゲートウェイ プライベートサブネットからインターネットに通信を返すことが可能になる
  • IWゲートウェイ インターネットへの通信が可能になる
  • ルートテーブル サブネットにゲートウェイへの設定を追加することで、サブネットからゲートウェイへの通信が可能になる
  • セキュリティグループ インスタンスへのトラフィックのアクセス可否を設定する。インスタンス単位で適用し、特定のVPCに紐づいて作成される。許可のみ指定可能で、インバウンドのみ設定すればアウトバウンドも許可される。
  • ネットワークACL VPCとサブネットへのトラフィックのアクセス可否を設定する。VPC/サブネット単位で適用する。許可と拒否を指定し、インバウンド設定のみではアウトバウンドは許可されない。

注意点

  • NATゲートウェイのElastic IPアドレスは、使用されていないと課金されてしまうため、使わない場合は削除する。NATゲートウェイを削除後、Elastic IPアドレスのアドレスの解放をクリック。
  • NACLを利用してサブネット内のリソースと通信をする際は、エフェメラルポートの設定をして、一時的にクライアントに利用可能なポートを指定する必要がある。
  • Transit Gatewayは有料のため、使用したら削除する。
  • ロールを作成する際、信頼ポリシーと許可ポリシーの2つを設定する必要がある。

作業内容

VPC作成

  1. マネジメントコンソールのVPCウィザードを起動をクリック。
  2. 任意の名前を入力、IPv4 CIDRブロック10.0.0.0/16、AZを1つ、パブリックサブネットを1つ、プライベートサブネットを1つにする。
  3. パブリックサブネットのCIDRブロックを10.0.0.0/24、プライベートサブネットのCIDRブロックを10.0.1.0/24を入力する。
  4. DNSオプションで、DNSホスト名を有効化DNS解決を有効化にチェックを入れる。
  5. VPCを作成をクリック。

パブリックサブネットの作成

  1. サブネットをクリック
  2. VPC IDは先程作成したVPCを選択、サブネット名は任意、アベイラビリティーゾーンを東京/ap-northeast-1c、IPv4 CIDRブロック10.0.2.0/24を入力。
  3. サブネットを作成をクリック。
  4. 対象のサブネットをチェックする。
  5. ルートテーブルタブのルートテーブル名をクリックし、ルートテーブルにチェックを入れる。
  6. ルートタブのルートの編集をクリック。
  7. ルートの追加をクリック。
  8. 送信先0.0.0.0/0、ターゲットをインターネットゲートウェイにして、ルートの保存をクリック。

プライベートサブネットの作成

  1. サブネットをクリック
  2. VPC IDは先程作成したVPCを選択、サブネット名は任意、アベイラビリティーゾーンを東京/ap-northeast-1c、IPv4 CIDRブロック10.0.3.0/24を入力。
  3. サブネットを作成をクリック。
  4. NATゲートウェイをクリック。
  5. NATゲートウェイを作成をクリック。
  6. 任意の名前を入力、サブネットはパブリックサブネットを選択、接続タイプはパブリックElastic IPを割り当てをクリック
  7. NATゲートウェイを作成をクリック。
  8. サブネットをクリックし、先程作成したプライベートサブネットを選択。
  9. ルートテーブルタブのルートテーブルをクリック。
  10. アクション→ルートの編集をクリック。
  11. ルートの追加をクリック。
  12. 送信先0.0.0.0/0、ターゲットをNATゲートウェイにして、ルートの保存をクリック。

ネットワークACLの作成

  1. ネットワークACL→ネットワークACLを作成をクリック。
  2. 任意の名前を入力、VPCを先程作成したものを選択し、ネットワークACLを作成をクリック。
  3. ※デフォルトでは、インバウンドルールとアウトバウンドルールは全て拒否されているため、編集を行う。インバウンドルール→インバウンドルールを編集
  4. 新しいルールを追加→ルール番号、タイプ(SSHなど)、送信元IP、許可/拒否を選択
  5. 変更を保存
  6. アウトバウンドも同様に編集する
  7. サブネットの関連付け→サブネットの関連付けを編集
  8. 先程作成したサブネットを選択し、変更を保存をクリック
  9. ※クライアントPCに返信を返すためには、動的に割り当てるポート番号を設定する必要がある。アウトバウンドルールを編集→新しいルールを追加→ルール番号、タイプ(カスタムTCP)、ポート範囲(1024-65535)、送信先IP(0.0.0.0/0)、許可を選択
  10. 変更を保存をクリック

NATゲートウェイを作成

  1. NATゲートウェイ→NATゲートウェイを作成
  2. 任意の名前を入力、サブネットはパブリックサブネットを選択、接続タイプはパブリック、Elastic IPの割り当てをクリック
  3. NATゲートウェイを作成をクリック
  4. サブネット→プライベートサブネットを選択→ルートテーブルをクリック
  5. ルート→ルートの編集をクリック
  6. ルートの追加→ターゲット(NATゲートウェイ)、送信先(0.0.0.0/0)、ルートの保存をクリック

プライベートサブネットからS3へアクセスを試みた際、NATゲートウェイを削除していると、インターネットを通してリソースにアクセスしているため、S3にアクセスできなくなる。
そこで、VPCエンドポイントを使用することで、インターネットを介さずに、S3にアクセスできるようになる。

VPVエンドポイントを作成

  1. エンドポイント→エンドポイントを作成をクリック
  2. 任意の名前を入力、サービスでS3を選択(タイプはGateway)、VPCは作成したものを選択、ルートテーブルはプライベートサブネットを選択、ポリシーはフルアクセス、エンドポイントを作成をクリック
  3. teratermで、プライベートサブネットからaws s3 ls --region ap-northeast-1を実行することで、S3にアクセスできた

ピアリング接続を作成

  1. ピアリング接続→ピアリング接続を作成をクリック
  2. 任意の名前を入力、VPCは作成したものを選択、アカウントは自分のアカウント、リージョンはこのリージョン、VPC IDはデフォルトを選択、ピアリング接続を作成をクリック
  3. 作成したピアリング接続を選択、アクション→リクエストを承諾をクリック

Transit Gatewayを作成

  1. Transit Gateway→Transit Gatewayを作成をクリック
  2. 任意の名前を入力、Transit Gatewayを設定はデフォルト、Transit Gatewayを作成をクリック
  3. Transit Gateway接続→Transit Gatewayアタッチメント作成をクリック ###Transit GatewayアタッチメントはVPC毎に作成する必要がある
  4. 任意の名前を入力、Transit Gateway IDを先程作成したTransit Gatewayを選択、アタッチメントタイプをVPC、VPCアタッチメントはデフォルト、VPC IDはデフォルト、サブネットは全て選択、Transit Gatewayアタッチメント作成をクリック
  5. 2つ目のTransit Gatewayアタッチメントの作成で、上記のVPC IDを作成したVPCに変えて同様に作成
0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?