LoginSignup
3
2

More than 5 years have passed since last update.

@tera78(ハットリ)

「Amazon Web Services 定番業務システム12パターン設計ガイド」を読みながら実際に構築する⑤ 〜RDS、S3、CloudFront〜

Last updated at Posted at 2018-04-23

概要

自分は普段Webやアプリのバックエンドエンジニアとして従事しており、ここ1年はずっとアプリのバックエンドとして、開発、保守を担当しています。
インフラは当然のようにAWSが使われていますが、構築と保守自体はアウトソーシングされているため、設定変更などは依頼ベースとなっています。
そんな事で知見はある程度貯まっていくのですが、自分で触らない以上最低限のレベルには到達出来ないという想いから本を買って実際に手を動かす事にしました。

まず、以下の本が評判良かったのでAmazonで即購入しました。
Amazon Web Services 定番業務システム12パターン設計ガイド

本に書いてある事はなるべく書かないで、それ以外にやった事や、本当にど素人だとつまづきそうなところ、自分もハマったところを中心に書いていこうと思います。

過去記事
① 〜VPC、サブネット、EC2、セキュリティーグループ〜
② 〜Route53〜
③ 〜ssh公開鍵認証〜
④ 〜AMI、ELB〜

RDSを使ったDBサーバーの冗長化(P32)

RDS(Relational Database System)をマスターとスレーブの2台構成にします。以下図2参照。
004_001.png

冗長性の重要性等は本を読んで頂くとして、RDS作成時の注意点として、恐らく普通に作成するとDBに接続出来ません。
RDSを作成したあとで良いのですが、RDSの詳細項目のセキュリティーグループ(以下参照)をクリックして

005_001.png

以下の図のように、 ソース にアクセス元のEC2に設定しているセキュリティーグループを設定してあげる必要があります。
005_002.png

設定後はEC2より以下のコマンド後にパスワードを入力すると接続出来るはずです。
mysql -h <エンドポイント名> -P 3306 -u <RDS作成時に作成したユーザ> -p

GUIのMySQLクライアントで繋ぐ場合は、sshオーバーする必要があります。Macの Sequel Pro を例にすると以下で接続出来るようになります。ちなみにWindowsは分からないですが、MacのMySQL Workbenchは不安定で接続出来なかったりするので、 Sequel Pro が機能も直感的でオススメです。Mac専用なのでWindows版はありませんが。。
005_004.png

冗長化自体は、RDS作成時に設定するだけで勝手に作成してくれます。DB詳細メニューの一番下に表示されていました。

005_005.png

静的コンテンツを低コストに配信する(P35)

・ ここの設定方法の詳細は本にはほぼ載ってなくて自分も少しはまりました。やり方は色々ありそうなのですが、自分が今保守している環境を参考にしたいと思います(一応プロが作った環境なので。。)
・ まずはS3バケットを作成します。バケット名を XXX.[ドメイン名] とします(例:contents.tera78.work)
・ 作成したバケットのルートに適当な画像をあげます(例:animal.jpg)。以下参照。

005_006.png

・ 次にCloudFrontを作成します。AWSコンソールTOPより、 CloudFront → CreateDistribution → (Web)GetStarted
005_007.png
Origin Domain Name は 作成したS3バケットを選択します。これは、CloudFrontのオリジン名です。
Restrict Bucket AccessYes を選択します。S3バケットへのアクセスを制限します。
Origin Access IdentityCreate a New Identity を選択します。S3アクセス制限用に、CloudFrontユーザのIDを払い出し、後でS3側に設定する事でCloudFront経由のみのアクセスを許可するために必要です。

005_008.png
Alternate Domain names(CNAMEs) は、S3のバケット名を入れます。今回しようとしている設定には不要ですが、CNAMEでアクセスする事も可能です。
・ 後は Create Distribution ボタン押下して、15分ほどお待ちください。

005_009.png

・ 15分お待ちくださいと言いつつ、S3のアクセス制限設定が必要なので、S3の上記バケットポリシーの画面に遷移し、以下のJSONテキストを入力してください。

{
    "Version": "2008-10-17",
    "Id": "PolicyForCloudFrontPrivateContent",
    "Statement": [
        {
            "Sid": "1",
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::cloudfront:user/CloudFront Origin Access Identity 【 Origin Access Identity 】"
            },
            "Action": "s3:GetObject",
            "Resource": "arn:aws:s3:::【 S3バケット名 】/*"
        }
    ]
}

・ 【 Origin Access Identity 】と【 S3バケット名 】は環境に合わせて変える必要があります。【 S3バケット名 】はいいとして【 Origin Access Identity 】ですが、CloudFrontコンソール画面の Origin Access IdentityID にある値を入れてください。
005_010.png
・ Jsonの Principalリソースへのアクセスを許可または拒否するユーザー、アカウント、サービス、または他のエンティティを指定 をする部分なので、 "*" として全公開でもアクセス可能なのですがこれだとCloudFrontを経由せず、直接S3にアクセスが可能になってしまいます。

・ 次に、Route53にAレコードを作成します。CloudFrontは、ドメインネームとして、 XXX.cloudfront.net というドメインが設定されるのですが、 XXX は意味の無い適当な文字列なので、意味のあるURLでアクセスするために必要です
005_013.png
Route53Create Record Set より、 Name は CloudFront経由でアクセスしたい名前(S3バケット名等が分かりやすくていいかと思います)、 TypeA - IPv4 addressAlias Target は、 CloudFrontのドメイン名 XXX.cloudfront.net を設定し、Save Record Set でAレコードの設定完了です。

・ CloudFrontの StatusDeployed になれば全ての準備完了です。

・ まずはS3のURL([バケット名].s3.amazonaws.com)に直接アクセスしてみますが、 AccessDenied エラーが出て、パスは合っていますが、アクセス権が無い事が分かります。

005_011.png

・ 次にCloudFront経由( [Route53で作成したAレコード名]/[画像ファイル名] )でアクセスします。見事に可愛い動物の画像が出ました。実際はhtmlの中などから画像やcssやjsなどをリンクする形になるかと思います。

005_012.png

今回はここまで。1-2[パターン2] コーポレートサイト は終了し、次回は 1-3[パターン3] 性能重視のイントラ Web に入ります。

3
2
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
3
2