この記事は?
最近AWSについて色々と勉強しているんですが、RDSインスタンスを作成する際に『EC2コンピューティングリソースに接続』という選択肢が増えていることに気づきました。
調べてみると今年の8月に追加された機能とのこと。(AWSニュースリリース)
この機能を使うと具体的に何をしてくれるのかが気になったので調べてみました。
そもそもAmazon RDSとは
AWS上に建てられるリレーショナルデータベースです。
詳細な説明は省きますが、ブラウザでポチポチ操作するだけでDBサーバ建てられるので便利です。
インスタンス作成時の2つの選択肢について
- EC2 コンピューティングリソースに接続しない
- EC2 コンピューティングリソースに接続
この2つの選択肢はRDS/EC2間の接続の設定を手動で行うか否か、ということを現しています。従来であれば、配置するサブネットの準備やセキュリティグループなどなど様々な設定を自分で行う必要がありました。しかし、今回追加された『EC2 コンピューティングリソースに接続』を選択することで、AWSのベストプラクティスに沿って自動で構成してくれる、とのことです。
前提条件
以下のような環境にプライベートなRDSインスタンスを作成します。(ルートテーブルなど細かいものは表記割愛)
インスタンス作成
ブラウザでポチポチとしてインスタンスを作成します。
『EC2 コンピューティングリソースに接続』を選んで、任意のEC2インスタンスを選択すればOKです。(画像はap-northeast-1aに建てたEC2インスタンスを選択)
サブネットグループは自動作成されるので選択不可。
作成されたものを確認
サブネット
RDSインスタンス作成後は以下のような構成になっていました。
単純に同一AZ内にプライベートサブネットが1つ作成されてRDSインスタンスが起動するのかなと思っていたんですが、3AZでプライベートサブネットが作成され、それらでDBサブネットグループが構成されています。
マルチAZを想定してるのかな?と思って色々と調べてみたところ以下のような記載が。利用していないAZにもサブネットが作成されるのは仕様のようです。引用(翻訳済)
そもそも自分の勉強不足だったんですが、RDSの仕様として以下がありました。引用
VPC では、少なくとも 2 つのサブネットを指定する必要があります。これらのサブネットは、DB インスタンスをデプロイする AWS リージョン 内の 2 つの異なるアベイラビリティーゾーンに存在している必要があります。サブネットは、VPC の IP アドレス範囲の指定可能なセグメントで、セキュリティや運用上のニーズに基づいて DB インスタンスをグループ化することができます。
各 DB サブネットグループには、特定の AWS リージョン 内の少なくとも 2 つのアベイラビリティーゾーンにサブネットが必要です。DB サブネットグループから、Amazon RDS は DB インスタンスに関連付けるサブネットとそのサブネット内の IP アドレスを選択します。DB は、そのサブネットを含むアベイラビリティーゾーンを使用します。
これはSingle/MultiAZに関わらずのもので、今回のような単一AZでRDSを利用する場合も例外ではありません。
ですので、意図していないAZにもサブネットが作成されていたのだと推察しています。
セキュリティグループ
サブネットの他に、以下の名前でセキュリティグループが作成されていました。
(※xには連番が入ります)
- 名前: rds-ec2-x
- インバウンドルール
- タイプ: MYSQL/Auroa
- ソース: ec2-rds-x
- 名前: ec2-rds-x
- アウトバウンドルール
- タイプ: MYSQL/Auroa
- 送信先: rds-ec2-x
この2つのうち後者のSGがEC2インスタンスに設定されていました。EC2→RDSへアクセスするためのものです。
プライベートサブネットが存在する場合は?
公式資料によると、要件を満たすサブネットグループが存在している場合、既存のものを使用するとのことでした。が、何度か試してみてもなかなか紐付けは行われず。。。プライベートサブネットとサブネットグループが新たに作成されてしまいます。
ここでふと思い立って、サブネット/サブネットグループのNameを、自動作成されるものの規則にあわせてみました。
規則は以下。(xは連番)
- サブネット
- RDS-Pvt-subnet-x
- サブネットグループ
- rds-ec2-db-subnet-group-x
これらに則ることで、RDSインスタンス起動ウィザードで既存のサブネットグループが選択されることを確認できました。公式情報を探してみても答えが得られなかったので断定は出来ませんが、名前でサブネットの利用可否を判断している可能性はありそうです。
所感
最初の目的と少し外れてしまいましたが『EC2コンピューティングリソースに接続』を選択した際にどんな設定が行われるかを確認できました。サブネット周りを事前に準備していない場合、ワンクリックで接続設定が行えるため便利な機能だと思いました。その反面、既存のサブネットをある程度流用したいとなった場合にはあまり向いていないのかなというのが所感です。
その他
今年の10月には、EC2からRDSへの接続をおこなってくれる機能も登場したようです。(AWSニュースリリース)
こちらもそのうち試してみたいと思います!