本記事の内容
- Lightsailインスタンスに対して、管理画面上での基本設定(静的IP、ファイアウォール)を行う。
※OSの基本設定は、次回の記事にまとめる。
前提条件
- Lightsailインスタンスを作成済み。
静的IPの設定
LightsailインスタンスのパブリックIP(グローバルIP)は通常、インスタンス停止時に開放され、次回起動時にはアドレスが変わる。
インスタンス再起動の度にPC上の接続設定を変更するのは手間なので、「静的IP」機能でパブリックIPを固定する。
静的IPの注意点
Lightsailの静的IPは無料で利用できる。
ただし、インスタンスに1時間以上割り当てられていない未使用の静的IPは、0.005ドル/時間課金される。これは、Lightsailの最安プラン(3.5ドル/月、0.0047ドル/時)よりも高い。
インスタンスの削除時は静的IPがデタッチ(割り当て解除)され、アカウントには残る。課金を防ぐためには、静的IPを1時間以内に削除するか、他のインスタンスにアタッチする。
静的IPの設定手順
Lightsail管理画面を開き、対象インスタンスを選択後、
[ネットワーキング]タブの[静的 IP の作成]を選択。
[作成]を選択。
静的IPが作成され、インスタンスにアタッチされる。
インスタンスの停止と開始を行い、パブリックIPが変化しないことを確認しておく。
※静的IPの設定により、パブリックIPが変わるので、SSHクライアントを設定済みの場合は、接続先IPアドレスを変更する。
ファイアウォールの設定
CentOSのインスタンスは、デフォルトではSSH(22番)とHTTP(80番)のポートに対して、どこからでも接続できるようになっている。
Lightsailのファイアウォールは接続元のIPアドレスを制限できるので、利用者のみに絞ることで安全性を高める。
※SSHはパブリックIP、OSユーザー名、SSHプライベートキーが無ければ接続できないので、デフォルトでも十分なセキュリティだが、本設定でより強固になる。
自身のグローバルIPの確認
下記サイトで確認。
cman.jp > サーバ監視TOP > サーバメンテ支援 > IPアドレス確認
ファイアウォールの設定手順
Lightsail管理画面を開き、対象インスタンスを選択。
[ネットワーキング]タブ内、[IPv4 Firewall]の[SSH]の行にある編集アイコンを選択。
[IP アドレスに制限する]にチェックし、[送信元 IP アドレス]に自身のグローバルIPを入力後、[保存]を選択。
[HTTP]の行も同様に設定する。
Webサービスを一般公開するのであればHTTPの制限は不要だが、開発や学習が目的であれば、利用者のみに制限した方が良い。
設定後、SSHクライアントから接続できることを確認しておく。
また、試しに異なるアドレスを設定すると接続エラーになり、本設定で接続元IPアドレスによる制限ができていることを確認できる。
送信元IP制限について補足
送信元IPの制限は、利用者以外の接続を困難にするだけで、確実に防ぐわけではない。
マンションタイプの回線のように、グローバルIPが全世帯共通の場合、同一マンションの人は接続可能となる。
また、送信元IPを偽装する「IPスプーフィング」という攻撃手法もあるため、他のセキュリティを併用する必要がある。
本設定のみで、機密情報を公開することは避ける。
まとめ
静的IPの設定でインスタンスのパブリックIPが固定され、扱いやすくなる。
ただし、インスタンス削除時の静的IPの削除漏れには注意したい。
また、ファイアウォールで接続元を制限することで、安全性が高まる。