NATゲートウェイを使ってインターネットに抜ける環境を作る

こんにちは。
株式会社クラスアクト インフラストラクチャ事業部の大塚です。
今回は、AWSのNATゲートウェイを使ってPrivateサブネットに存在するEC2からインターネットに接続する環境を用意してみたいと思います。

環境イメージ

イメージとしては以下です。
プライベートサブネットのEC2からインターネットに抜けるか検証する時には、パブリックサブネットにある踏み台を経由していきたいと思います。

構築

まずVPCやらサブネットやらを用意していきたいと思います。

kensyo-vpcという名前でVPCを作成していきます。

次にVPC内のパブリック/プライベートサブネットを作成していきます。

以下のように作成しました。

作成したsubnetに紐づけるRTを作成していきます。
詳細なルーティング情報はNATゲートウェイ周りの環境が整った後にまとめていれます。

パブリック用とプライべート用のRTを作成しました。

次にVPCに紐づけるIGWを作成します。


作成したIGWをVPCにアタッチします。

privateサブネットに立ち上げるEC2を起動します。

ここまでの状態を一旦イメージに起こします。

NATゲートウェイをpublicサブネットに用意します。
※お金がかかってくるので気を付けます。

EIPを確保していきます。

NATゲートウェイを作成していきます。

NATゲートウェイを配置したいサブネットと割り当てたいEIPを指定して作成していきます。

作成出来たことを確認します。

RTの設定を行っていきます。
まずはパブリック用。

こちらのRTはIGWをデフォルトゲートウェイに設定していきます。
こうすることで、NATゲートウェイがインターネットに抜けられるようになります。

併せてパブリックのサブネットを明示的に割り当てます。

次にprivate用。

こちらのRTはNATゲートウェイをデフォルトゲートウェイに設定していきます。
こうすることで、EC2がNATゲートウェイを経由してIGWにアクセスでき、インターネットに抜けられるようになります。

併せてプライベートのサブネットを明示的に割り当てます。

検証

プライベートサブネットのEC2にアクセスして、インターネットに抜けることが出来るかを確認します。
そのためにまず、パブリックサブネット上に踏み台サーバを用意して、そこからプライベートのサーバにアクセスします。

作成出来たことを確認します。

Teratermを使って踏み台にアクセスして、その踏み台からプライベートのEC2にアクセスします。

   ,     #_
   ~\_  ####_        Amazon Linux 2023
  ~~  \_#####\
  ~~     \###|
  ~~       \#/ ___   https://aws.amazon.com/linux/amazon-linux-2023
   ~~       V~' '->
    ~~~         /
      ~~._.   _/
         _/ _/
       _/m/'
[ec2-user@ip-192-168-100-12 ~]$ sudo su -
[root@ip-192-168-100-12 ~]# cd /tmp
[root@ip-192-168-100-12 tmp]# ls | grep -i *.pem
ohtsuka-key.pem
[root@ip-192-168-100-12 tmp]# ssh -i ohtsuka-key.pem ec2-user@192.168.100.107
The authenticity of host '192.168.100.107 (192.168.100.107)' can't be established.
ED25519 key fingerprint is SHA256:a5YHNTt3STV1rEohFSq4sz4N2xbqGnYDkiiybMmm1dU.
This key is not known by any other names
Are you sure you want to continue connecting (yes/no/[fingerprint])? yes
Warning: Permanently added '192.168.100.107' (ED25519) to the list of known hosts.
   ,     #_
   ~\_  ####_        Amazon Linux 2023
  ~~  \_#####\
  ~~     \###|
  ~~       \#/ ___   https://aws.amazon.com/linux/amazon-linux-2023
   ~~       V~' '->
    ~~~         /
      ~~._.   _/
         _/ _/
       _/m/'
[ec2-user@ip-192-168-100-107 ~]$

インターネットに抜けるかを確認します。
google.comに対してpingが飛んでいることからNATゲートウェイを経由してインターネットに抜けていることがわかります。
検証が出来たらEIPやNATゲートウェイを削除しましょう。

[ec2-user@ip-192-168-100-107 ~]$ ping google.com
PING google.com (142.250.207.46) 56(84) bytes of data.
64 bytes from nrt13s55-in-f14.1e100.net (142.250.207.46): icmp_seq=1 ttl=57 time=2.06 ms
64 bytes from nrt13s55-in-f14.1e100.net (142.250.207.46): icmp_seq=2 ttl=57 time=1.63 ms
64 bytes from nrt13s55-in-f14.1e100.net (142.250.207.46): icmp_seq=3 ttl=57 time=1.33 ms
64 bytes from nrt13s55-in-f14.1e100.net (142.250.207.46): icmp_seq=4 ttl=57 time=1.84 ms
64 bytes from nrt13s55-in-f14.1e100.net (142.250.207.46): icmp_seq=5 ttl=57 time=1.52 ms
^C
--- google.com ping statistics ---
5 packets transmitted, 5 received, 0% packet loss, time 4006ms
rtt min/avg/max/mdev = 1.334/1.678/2.062/0.252 ms