AWS構築時の作業内容のメモ。
AWSアカウント開設
無料で利用できる日本円での請求代行に加え、AWS利用料5%割引が使える「クラスメソッドメンバーズ」を利用してアカウント開設を行いました。
理由として、スモールスタートしたかったので、最低料金や請求代行費用が掛からない企業を探していた為です。
アカウント開設は専用フォームに必要事項を入力するだけ。私の場合は1営業日後にはアカウント開設が終わっておりました。
アカウント開設後の初期設定
本来であれば、サブネットの構築などやることがあるのですが、ほぼ終わっておりました。。
今回構築する内容
社内利用のEC2サーバを1台構成するのみです。
社内用ですので、本番運用時は直接インターネットには接続しないようにし、時刻調整やWindowsUpdateなどの場合のみインターネット接続するようにします。
本当はサブネットを3つに分けるつもりはなかったのですが、初期設定で3つ作成して頂いていたのでそのまま使用することにし、下記の構成とすることにしました。(黄色枠部分のVPCを追加)
実際の構築:EC2
EC2は下記の操作でインスタンスを作成します。
[EC2 - インスタンス - インスタンスの作成]
Windowsの日本語OSを使用する際は下記の指定で探すことができます。
まずは試験ですので、スペックは無料の利用範囲で構成します。
今回は「Windows_Server-2019-Japanese-Full-Base-2020.01.15」を使用しました。
EC2サーバの操作はリモートデスクトップで行います。
補足:リモートデスクトップの接続方法
ダウンロードしたリモートデスクトップファイルを開いて、復号化して取得したパスワードを入力すればリモートデスクトップが接続可能となります。
接続できない場合は、セキュリティグループでリモートデスクトップ通信(TCP 3389)が許可されているか確認しましょう。
ハマったこと:EC2のプライベートIP
EC2を起動するとDHCPでプライベートIPが割り振られています。
社内サーバですので、IPを固定したいのですが、ここで落とし穴が。
リモートデスクトップでサーバに接続してIPを確認するとDHCPとなっています。
しかし、ここでIPアドレスを固定IPに変更するとリモートデスクトップが接続できなくなります。
これは、インスタンスに割り当てられるプライベートIPとパブリックIPが紐付いている為で、プライベートIPだけ変更してしまうとリモート接続できなくなります。
インスタンスのIP確認方法
DirectConnectで社内ネットワークと接続されていれば問題ないかと思いますが、DirectConnectがまだ施設されていない場合はインターネット経由でアクセスできなくなってしまいます。当社も、最初はDirectConnectが施設されていなかったのでEC2を削除して作成し直しました。
長くなりましたが、EC2の作成が終わり、下記まで完成しました。
実際の構築:NATゲートウェイ
NATゲートウェイは内部からのインターネット接続のみを許可する仕組みです。
前述のように、本番運用時は直接インターネットには接続しないようにし、時刻調整やWindowsUpdateなどの場合のみインターネット接続できるよう、NATゲートウェイを作成します。
VPCの管理画面を開き、下記の作業を行います。
NATゲートウェイの構築まで終わりました
実際の構築:インターネットゲートウェイ
インターネットに双方向接続する為の仕組みで、VPCはここを経由してインターネットに接続します。
作成は非常に簡単で、インターネットゲートウェイの作成ボタンを押すだけです。
VPC - インターネットゲートウェイ の画面を開き、「インターネットゲートウェイの作成」ボタンを押し、名前を付けて「作成」ボタンを押すだけです。
すると下記のようにインターネットゲートウェイが作成されます。
インターネットゲートウェイの構築も完了しました。
実際の構築:ルートテーブルの作成
ルートテーブルが未作成の場合は、ルートテーブルを作成します。
今回は下記の名称で作成しました。
・「Route-Protected」:EC2からNATゲートウェイまで
・「Route-Public」:NATゲートウェイからインターネットゲートウェイまで
以上2つのルートテーブルを作成します。
Route-Protectedの作成
VPC - ルートテーブル で「ルートテーブルの作成」をクリックし、名前を「Route-Protected」として、VPCを選択して「作成」ボタンを押します。
作成したルートテーブルを選択して「ルート」タブを開き「ルートの編集」をクリックします。
ルートの編集画面が開くので、「ルートの追加」をクリックして、
送信先は0.0.0.0/0
ターゲットはNAT GATEWAYを選択すると、先程作成したNATゲートウェイが表示されますのでクリックし、「ルートの保存」を押します。
下記の画面のようになっていればOKです。
これで下記のルートが完成しました。
同様の手順でRoute-Publicも作成します。
Route-Publicの作成
VPC - ルートテーブル で「ルートテーブルの作成」をクリックし、名前を「Route-Public」として、VPCを選択して「作成」ボタンを押します。
※上記と同じ処理なので画像は省略します。
作成したルートテーブルを選択して「ルート」タブを開き「ルートの編集」をクリックします。
ルートの編集画面が開くので、「ルートの追加」をクリックして、
送信先は0.0.0.0/0
ターゲットはINTERNET GATEWAYを選択すると、先程作成したインターネットゲートウェイが表示されますのでクリックし、「ルートの保存」を押します。
※こちらも同じ手順なので画像は省略しますが、インターネットゲートウェイを選ぶよう注意してください。
こちらが完成するとこのルートが完成します。
実際の構築:サブネットにルートテーブルを割り当てる
いよいよ、EC2からNATゲートウェイ、インターネットゲートウェイへと繋ぎます。
作業自体は簡単で、下記の通りサブネットにルートテーブルを割り当てるだけです。
VPC - サブネット でProtectedサブネットを選択し、ルートテーブルタブを開きます。「ルートテーブルの関連付けの編集」をクリックし、先程作成したRoute-Protectedを選択します。
関連付けが終わると下記のように表示されます。
続いて、同様にVPC - サブネット でPublicサブネットを選択し、ルートテーブルタブを開きます。「ルートテーブルの関連付けの編集」をクリックし、先程作成したRoute-Publicを選択します。
関連付けが終わると下記のように表示されます。
完成
これで今回の構成が完成となります。
長くなりましたが、最後までお読み頂きありがとうございました。