AWS VPCウィザード機能ですばやく踏み台サーバとプライベートサブネットを構築する

この記事の目的

AWSを使用して構築したプライベートネットワーク(プライベートサブネット)に踏み台サーバを経由することでアクセスし、ネットワーク内部のEC2インスタンスにアクセスする手順について確認します。

今回は、AWSが用意している「VPCウィザード」機能を使用することで、すばやく簡単にVPC(Virtual Private Cloud)と、踏み台サーバとなるNATインスタンスを作成します。

VPCはインターネットからアクセス可能なパブリックサブネットと内部ネットワークであるプライベートサブネットからなります。VPCウィザードを使用するとこれらの2つのサブネットが自動的に作成されます。

加えて、プライベートサブネット内にEC2インタンスを作成し、インターネットからは踏み台サーバを経由してアクセスするよう手順を確認します。

本記事は、アマゾン・データ・サービス・ジャパン株式会社から提供されている以下のガイドをもとに書いています(同ガイドの作成日は2012/07/19)。
詳細はこちらをご覧下さい。

　 NATインスタンスの作成方法
　https://www.slideshare.net/AmazonWebServicesJapan/nat-20120719

環境構成図とNATインスタンス

今回実現する想定の環境構成図です(出典：アマゾン・データ・サービス・ジャパン株式会社)。

図の通り、インターネットに直接接続していない(インターネットから直接アクセスできない)プライベートサブネット《Private Subnet》(一般的にはプライベートネットワークと呼びます)へ接続するために、NAT(NATインスタンス)を介して接続します。このNATインスタンスのことを踏み台サーバ(Bastion)と呼びます。

構築を実行する

上記の環境構成図を参考に、以下順を追ってさっそく構築してみます。

前提条件

・本手順はAWSのルートユーザで実行しています。
・必要に応じてIAMを作成し、環境構築とインスタンスへアクセスするユーザを分けるなど、実際の業務に沿った対応をされることをお勧めします。

①キーペアを用意する

まず、予めキーペアを用意する必要があります。
このキーペアは、踏み台サーバ及びプライベートサブネットのEC2インスタンスにアクセス(ログイン)する際に使用する鍵となるものです。

(1)画面上部の「サービス」メニューから「EC2」を選択します。

(2)左枠メニュー「ネットワーク&セキュリティ」から「キーペア」を選択し、下図の右上のボタン「キーペアの作成」をクリックします。

(3)キーペアの名前を入力し、ファイル形式をpemとします。
右下の「キーペアを作成」ボタンをクリックします。

(4)作成するキーペアのpemファイルをダウンロードします。ダウンロードダイアログが立ち上がるので、任意の場所にファイルを格納します。
※キーペアはここでしかダウンロードできないので忘れないように注意して下さい。

②VPCを作る

VPCを作成します。さらに、VPCの中にPublic SubnetとPrivate Subnetを作成します。以下のような構成となります。

(1)画面上部の「サービス」メニューから「VPN」を選択します。

(2)「VPCウィザードの起動」を選択します。

(3)ウィザードメニューが4つあるので、「パブリックとプライベートサブネットを持つVPC」を選択します。

(4)下図の範囲について設定を行います。
　・VPC名を設定します。ここでは「業務用VPC」としました。
　・それ以外の設定はデフォルトのままです。

(5)下図の項目で、「代わりにNATインスタンスを使用」を選択します。

(6)下図のように設定項目が変わります。「キーペア名」項目で、事前に作成したキーペアを選択します。

(7)「VPCの作成」ボタンをクリックします。

(8)作成が完了すると下図のように完了画面が表示されます。「OK」をクリックして下さい。

(9)下図の通り、「業務用VPC」の名で作成されたことがわかります(下段のVPC、冗談はデフォルトVPC)。

(10)以上でVPCの作成が完了です。下図のような環境が作成されます。

③NATインスタンスの名前を設定する

(1)自動生成されたNATインスタンスに名前を付けます。
画面上部の「サービス」メニューから「EC2」を選択します。

(2)左枠メニューから「インスタンス」を選択して下さい。以下のようなインスタンスの一覧が表示されます。

(3)表示されているインスタンスはNATインスタンスです。名前が空欄となっているので、名前を設定します。「Name」列の空欄にカーソルを当て、表示される鉛筆マークをクリックして下さい。

(4)以下ではインスタンス名に「踏み台」と設定しました。

④踏み台サーバにセキュリティグループを設定する

踏み台サーバ(NATインスタンス)にセキュリティグループを設定します。
ここで設定するルールとして、踏み台サーバにはSSHのみでアクセスできることとします。

(1)インスタンス一覧画面で踏み台サーバを選択し、下図のようにセキュリティグループ項目にある「default」をクリックして下さい。

(2)セキュリティグループの内容が表示されますので、右下の「インバウンドルールを編集」をクリックして下さい。

(3)下図のようなインバウンドルールの編集画面が開きますので、インバウンドルールのタイプ列からプルダウンメニュー「SSH」を選択して下さい。SSHの情報が自動的に設定されます。

(4)続いて、ソース列のプルダウンメニューから適切な項目を選択します
ここでは「任意の場所」としましたが、実行環境によって相応しいものを選択して下さい。

(5)さらに右の項目「説明 - オプション」は任意に設定して下さい。

(6)「ルールを保存」ボタンをクリックすると設定が完了します。

⑤送信元/送信先チェックの無効化

踏み台サーバ(NATインスタンス)で送信元/送信先の変更チェックの設定を行います。

(1)インスタンス一覧画面で踏み台サーバ(NATインスタンス)を選択し以下の設定を行います。
　「アクション」→「ネットワーキング」→「送信元/送信先の変更チェック」

(2)設定を無効にします。下図では無効となっているため、このままとします。

⑥プライベートサブネットにEC2インスタンスを作成する

踏み台サーバを経由して接続するターゲットのEC2インスタンスを作成します。
ここでは、EC2インスタンスにMATE Desktop環境を使用できるAmazon Linuxマシンイメージを選択しました。こちらは無料枠の対象となっています。

作成するものは、下図の黄色で示したEC2インスタンスです。

(1)画面上部の「サービス」メニューから「EC2」を選択します。

(2)左のメニュー項目「インスタンス」を選択し、右に表示される画面上部の「インスタンスの作成」をクリックします。

(3)作成するマシンイメージを選択します。

(4)インスタンスタイプを選択し、「次のステップ」をクリックします。

(5)詳細設定画面で以下の通り設定します。
ネットワーク
　作成した業務用VPCを選択します。
サブネット
　プライベートサブネットを選択します。
自動割り当てパブリックIP
　パブリックIPは不要なので無効を選択します。

「次のステップ」をクリックします。

(6)ストレージの追加ではデフォルのままとします。
追加が必要な場合は、追加を行って下さい。

「次のステップ」をクリックします。

(7)タグの追加画面では、デフォルのままとします。
設定が必要な場合は、設定を行って下さい。
「次のステップ」をクリックします。

(8)下図の通り、セキュリティグループの設定を行います。
・セキュリティグループの割り当てには「新しいセキュリティグループを作成する」を選択します。
・下部の一覧部分に必要な設定を追加します。今回は2つ設定しました。

　　(8-1) SSH接続を許可するための設定です。ソースとしてNATインスタンスのプライベートIPアドレスを指定します。
　　(8-2) VNC接続を許可するための設定です。同様に、ソースとしてNATインスタンスのプライベートIPアドレスを指定します。

設定後、「確認と作成」をクリックします。

(9)最後の確認画面で内容を確認し、良ければ「起動」をクリックします。

(10)作成したキーペアを選択しチェックボックスにチェックを入れます。
その後「インスタンスの作成」をクリックします。

(11)以上でインスタンスの作成は終了です。

(12)必要であれば、作成したインスタンスに名前を付けて下さい。
今回は「プライベートインスタンス」と付けました。

動作確認

実際に使用できるかどうかの動作確認を行います。

①踏み台サーバにアクセスする

(1)TeraTermなどのSSHクライアントソフトで踏み台サーバにアクセスできることを確認します。以下が主な設定項目です。

　(1-1) 接続先ホスト名：踏み台サーバ(NATインスタンス)のパブリックDNSまたはElastic IPを指定します。
　(1-2) ユーザ名：ec2-userを指定します(デフォルトユーザ)。
　(1-3) 認証鍵ファイル：キーペア作成時に取得したpemファイルを指定します。

(2)無事接続できました。
内部IPアドレスが10.0.0.164なので、踏み台サーバであることがわかります。

②プライベートインスタンスに接続する

プライベートインスタンス(プライベートサブネット内に作成したEC2インスタンス)にログインします。

(1)ログイン方法としては、TeraTermのポート転送機能を使用します。
以下のように転送設定を行います。

ローカルPCへの22番ポートがEC2インスタンスの22番ポートに転送されるように設定します。

(2)以下の内容でTeraTermを設定します。

　(2-1) 接続先ホスト名：localhostを指定します。
　(2-2) ユーザ名：ec2-userを指定します(デフォルトユーザ)。
　(2-3) 認証鍵ファイル：キーペア作成時に取得したpemファイルを指定します。

(3)無事接続できました。
内部IPアドレスが10.0.1.165なので、プライベートサブネットのEC2インスタンスであることがわかります。

以上で、インターネットから踏み台サーバを経由してプライベートインスタンスに接続する手順が完了となります。

補足事項

今回はElastic IP(固定IP)を設定しませんでしたが、必要な場合は設定を行って下さい。
NATインスタンスを実行させると料金が発生します。不要な時間帯はインスタンスを停止するなどの運用を行って下さい。

出典

■NATインスタンスの作成方法(アマゾン・データ・サービス・ジャパン株式会社)
https://www.slideshare.net/AmazonWebServicesJapan/nat-20120719

関連情報

■AWS LambdaをAWS CLIで呼び出し、S3にファイルを格納する
https://qiita.com/ttlabo/items/edc1f08b51df1af25504

■AWS S3の始め方 ～ バケットにファイルを格納する
https://qiita.com/ttlabo/items/ea802f98418d229681fb

ご意見など

ご意見、間違い訂正などございましたらお寄せ下さい。