メニュー
Amazon Elastic Compute Cloud
Linux インスタンス用ユーザーガイド

ClassicLink

ClassicLink は、EC2-Classic インスタンスを同じリージョンにあるアカウント内の VPC にリンクできるようにします。これによって、VPC のセキュリティグループを EC2-Classic インスタンスに関連付けることができ、プライベート IPv4 アドレスを使用して EC2-Classic インスタンスと VPC 内のインスタンスが通信できるようになります。ClassicLink により、パブリック IPv4 アドレスや Elastic IP アドレスを使用しなくても、これらのプラットフォーム内のインスタンス間で通信できます。プライベート IPv4 アドレスとパブリック IPv4 アドレスの詳細については、「VPC の IP アドレス指定」を参照してください。

ClassicLink は、EC2-Classic プラットフォームをサポートするアカウントを持つすべてのユーザーが利用でき、任意のインスタンスタイプの EC2-Classic インスタンスで使用できます。アカウントでサポートされるプラットフォームを調べるには、「サポートされているプラットフォーム」を参照してください。VPC を使用するメリットの詳細については、「Amazon EC2 と Amazon Virtual Private Cloud」を参照してください。VPC へのリソースの移行の詳細については、「EC2-Classic の Linux インスタンスから VPC の Linux インスタンスへの移行」を参照してください。

ClassicLink は追加料金なしで使用できます。データ転送とインスタンス時間の使用量に対する標準料金が適用されます。

注記

IPv6 の通信用に EC2-Classic インスタンスを有効にすることはできません。IPv6 CIDR ブロックを VPC に関連付けて、IPv6 アドレスを VPC 内のリソースに割り当てることはできますが、ClassicLinked インスタンスと VPC 内のリソースの間で通信できるのは、IPv4 経由に限られます。

ClassicLink を使用して EC2-Classic インスタンスを VPC にリンクする場合、2 つの作業が含まれます。まず、ClassicLink 用に VPC を有効にする必要があります。デフォルトでは、アカウントのすべての VPC は、その分離を維持するために ClassicLink 用に有効になっていません。ClassicLink 用に VPC を有効にすると、アカウント内の同じリージョンにある任意の実行中の EC2-Classic インスタンスをその VPC にリンクすることができます。インスタンスをリンクするには、VPC からセキュリティグループを選択して、EC2-Classic インスタンスに関連付ける作業も必要です。インスタンスをリンクすると、VPC セキュリティグループで許可されている場合は、プライベート IP アドレスを使用して VPC 内のインスタンスと通信できます。EC2-Classic インスタンスは、VPC にリンクされたときに、プライベート IP アドレスを失いません。

注記

インスタンスを VPC にリンクすることを、インスタンスをアタッチするということもあります。

リンクされた EC2-Classic インスタンスは VPC 内のインスタンスと通信できますが、VPC の一部とはなりません。たとえば、DescribeInstances API リクエストでインスタンスを表示して VPC でフィルタリングする場合や、Amazon EC2 コンソールの [Instances] 画面を使用して VPC でフィルタリングする場合、その結果には VPC にリンクされた EC2-Classic インスタンスは含まれません。リンクされた EC2-Classic インスタンスの表示の詳細については、「ClassicLink が有効な VPC とリンクされた EC2-Classic インスタンスの表示」を参照してください。

デフォルトでは、リンクされた EC2-Classic インスタンスから VPC のインスタンスに対応するためにパブリック DNS ホスト名を使用する場合、ホスト名はインスタンスのパブリック IP アドレスに解決されます。VPC のインスタンスからリンクされた EC2-Classic インスタンスに対応するためにパブリック DNS ホスト名を使用する場合も同じになります。パブリック DNS ホスト名をプライベート IP アドレスに解決するには、VPC の ClassicLink DNS サポートを有効にできます。詳細については、「ClassicLink DNS サポートの有効化」を参照してください。

インスタンスと VPC の間の ClassicLink 接続が不要になった場合、VPC から EC2-Classic インスタンスのリンクを解除できます。これにより、EC2-Classic インスタンスから VPC セキュリティグループの関連付けが解除されます。リンクされた EC2-Classic インスタンスは、停止されたときに自動的に VPC からリンク解除されます。VPC からすべてのリンクされた EC2-Classic インスタンスのリンクを解除した後、VPC の ClassicLink を無効にすることができます。

リンクされた EC2-Classic インスタンスは、VPC 内の Amazon Redshift、Amazon ElastiCache、Elastic Load Balancing、および Amazon RDS の各 AWS サービスにアクセスできます。ただし、VPC 内のインスタンスは、ClassicLink を使用して、EC2-Classic プラットフォームでプロビジョニングされる AWS サービスにアクセスすることはできません。

VPC 内で Elastic Load Balancing を使用する場合、インスタンスが、VPC のサブネットがあるアベイラビリティーゾーンにあることを前提として、リンクされた EC2-Classic インスタンスをロードバランサーに登録できます。リンクされた EC2-Classic インスタンスを削除する場合、ロードバランサーはインスタンスの登録を解除します。VPC でのロードバランサーの使用の詳細については、Elastic Load Balancing ユーザーガイド の「Amazon VPC の Elastic Load Balancing」を参照してください。

Auto Scaling を使用する場合、起動時に指定した ClassicLink が有効な VPC に自動的にリンクされるインスタンスを含む Auto Scaling グループを作成できます。詳細については、Auto Scaling ユーザーガイド の「EC2-Classic インスタンスの VPC へのリンク」を参照してください。

VPC で Amazon RDS インスタンスまたは Amazon Redshift クラスターを使用し、パブリックにアクセス可能 (インターネットからアクセス可能) である場合、リンクされた EC2-Classic インスタンスからこれらのリソースに対応するために使用するエンドポイントは、デフォルトでパブリック IP アドレスに解決されます。これらのリソースがパブリックにアクセス可能でない場合、エンドポイントはプライベート IP アドレスに解決されます。ClassicLink を使用してプライベート IP 経由でパブリックにアクセス可能な RDS インスタンスまたは Redshift クラスターに対応するには、プライベート IP アドレスまたはプライベート DNS ホスト名を使用するか、ClassicLinkVPC の DNS サポートを有効にする必要があります。

プライベート DNS ホスト名またはプライベート IP アドレスを使用して RDS インスタンスに対応する場合、リンクされた EC2-Classic インスタンスは、マルチ AZ 配置に使用できるフェイルオーバーのサポートを使用することはできません。

Amazon EC2 コンソールを使用して、Amazon Redshift、Amazon ElastiCache、または Amazon RDS リソースのプライベート IP アドレスを検索できます。

VPC 内の AWS リソースのプライベート IP アドレスを見つけるには

  1. https://console.aws.amazon.com/ec2/) にある Amazon EC2 コンソールを開きます。

  2. ナビゲーションペインで、[Network Interfaces] を選択します。

  3. [Description] 列のネットワークインターフェイスの説明を確認します。 Amazon Redshift、Amazon ElastiCache、Amazon RDS で使用されるネットワークインターフェイスには、説明に含まれるサービスの名前が付けられます。たとえば、Amazon RDS インスタンスにアタッチされるネットワークインターフェイスの説明は、RDSNetworkInterface のようになります。

  4. 必要なネットワークインターフェイスを選択します。

  5. 詳細ペインで、[Primary private IPv4 IP] フィールドからプライベート IP アドレスを取得します。

デフォルトでは、IAM ユーザーには ClassicLink を使用するためのアクセス許可がありません。ClassicLink 用の VPC の有効化と無効化、ClassicLink が有効な VPC へのインターフェイスのリンクとリンク解除、および ClassicLink が有効な VPC とリンクされた EC2-Classic インスタンスの表示の権限をユーザーに付与する IAM ポリシーを作成できます。Amazon EC2 に対する IAM ポリシーの詳細については、「Amazon EC2 の IAM ポリシー」を参照してください。

ClassicLink を操作するためのポリシーの詳細については、次の例 (6. ClassicLink を使用する) を参照してください。

EC2-Classic インスタンスを VPC にリンクしても、EC2-Classic セキュリティグループには影響しません。これらのセキュリティグループは、引き続きインスタンスに出入りするすべてのトラフィックを管理します。ただし、VPC 内のインスタンスに出入りするトラフィックは例外で、EC2-Classic インスタンスに関連付けられた VPC セキュリティグループによって管理されます。同じ VPC にリンクされた複数の EC2-Classic インスタンスは、同じ VPC セキュリティグループに関連付けられているかどうかに関係なく、VPC を介して相互に通信できません。EC2-Classic インスタンス間の通信は、それらのインスタンスに関連付けられた EC2-Classic セキュリティグループによって制御されます。セキュリティグループ設定の例については、例: 3 層ウェブアプリケーションの ClassicLink セキュリティグループ設定を参照してください。

VPC にインスタンスをリンクすると、インスタンスに関連付けられる VPC セキュリティグループを変更することはできなくなります。インスタンスに別のセキュリティグループを関連付けるには、最初にインスタンスのリンクを解除し、次にもう一度 VPC にリンクして、必要なセキュリティグループを選択する必要があります。

ClassicLink 用に VPC を有効にすると、VPC のすべてのルートテーブルに、送信先が 10.0.0.0/8 で、ターゲットが local である静的ルートが追加されます。これによって、VPC 内のインスタンスと、VPC にリンクされている EC2-Classic インスタンスとの間で通信が可能になります。ClassicLink が有効な VPC にカスタムルートテーブルを追加する場合、送信先が 10.0.0.0/8 で、ターゲットが local である静的ルートが自動的に追加されます。VPC の ClassicLink を無効にすると、このルートは VPC のすべてのルートテーブルから自動的に削除されます。

10.0.0.0/16 および 10.1.0.0/16 IP アドレス範囲にある VPC で ClassicLink を有効にすることができるのは、VPC の作成時に自動的に追加されたローカルルートを除き、10.0.0.0/8 IP アドレス範囲のルートテーブルに既存の静的ルートがない場合のみです。同様に、ClassicLink 用に VPC を有効にしている場合、10.0.0.0/8 IP アドレス範囲内のルートテーブルに、より詳細なルートを追加できない場合があります。

重要

VPC CIDR ブロックがパブリックにルーティング可能な IP アドレス範囲である場合は、EC2-Classic インスタンスを VPC にリンクする前にセキュリティへの影響を考慮してください。たとえば、リンクされた EC2-Classic インスタンスが、VPC の IP アドレス範囲内にあるソース IP アドレスからサービス拒否 (DoS) リクエストによるフラッド攻撃を受けた場合、応答トラフィックは VPC に送信されます。RFC 1918 に規定されているように、プライベート IP アドレスの範囲を使用して VPC を作成することを強くお勧めします。

ルートテーブルと VPC でのルーティングに関する詳細については、Amazon VPC ユーザーガイド の「ルートテーブル」を参照してください。

2 つの VPC 間に VPC ピア接続があり、ClassicLink を介して 1 つまたは両方の VPC にリンクされた 1 つ以上の EC2-Classic インスタンスが存在する場合は、VPC ピア接続を拡大して、EC2-Classic インスタンスと VPC ピア接続の他方の側の VPC のインスタンス間の通信を有効にすることができます。これにより、EC2-Classic インスタンスと VPC のインスタンスは、プライベート IP アドレスを使用して通信することができます。これを行うには、ローカル VPC がピア VPC でリンクされた EC2-Classic インスタンスと通信できるようにするか、リンクされたローカル EC2-Classic インスタンスがピア VPC のインスタンスと通信できるようにします。

ローカル VPC が、ピア VPC 内のリンクされた EC2-Classic インスタンスと通信できるようにする場合、宛先が 10.0.0.0/8、ターゲットが local として、静的ルートが自動的にルートテーブルに追加されます。

詳細および例については、Amazon VPC Peering Guide の「ClassicLink を使用した設定」を参照してください。

ClassicLink 機能を使用するには、次の制限事項に注意する必要があります。

  • EC2-Classic インスタンスは、一度に 1 つの VPC にのみリンクすることができます。

  • リンクされた EC2-Classic インスタンスを停止した場合、インスタンスは VPC から自動的にリンクが解除され、VPC セキュリティグループはインスタンスとの関連付けが失われます。インスタンスを再起動した後、インスタンスを VPC に再びリンクできます。

  • EC2-Classic インスタンスを、別のリージョンにある VPC や別の AWS アカウントの VPC にリンクすることはできません。

  • 専用ハードウェアテナンシー用に設定された VPC は、ClassicLink 用に有効にすることはできません。専用テナンシー VPC を ClassicLink に対して有効にするようにリクエストするには、AWS サポートまでお問い合わせください。

    重要

    EC2-Classic インスタンスは共有ハードウェアで実行されます。規制またはセキュリティ要件のために VPC のテナンシーを dedicated に設定した場合、EC2-Classic インスタンスを VPC にリンクすると、その要件に準拠しない可能性があります。共有テナンシーのリソースが、プライベート IP アドレスを使用して、隔離されたリソースに直接アドレス指定できるようになるためです。ClassicLink 用に専用 VPC を有効にする場合は、詳細な動機を添えて AWS サポートにリクエストしてください。

  • EC2-Classic のプライベート IP アドレス範囲の 10/8 と競合するルートを持つ VPC は ClassicLink 用に有効にすることはできません。これには、ルートテーブルに既にローカルルートがあり、IP アドレス範囲が 10.0.0.0/16 および 10.1.0.0/16 である VPC は含まれません。詳細については、「ClassicLink のルーティング」を参照してください。

  • VPC の Elastic IP アドレスをリンクされた EC2-Classic インスタンスに関連付けることはできません。

  • 実行中のスポットインスタンスを VPC にリンクできます。 スポットインスタンスリクエストで、リクエストが受理されたときにインスタンスを VPC にリンクする必要があることを示すには、Amazon EC2 コンソールで起動ウィザードを使用する必要があります。

  • ClassicLink は VPC からの推移関係をサポートしていません。リンクされた EC2-Classic インスタンスは、VPN 接続、VPC エンドポイント、または VPC に関連付けられたインターネットゲートウェイにアクセスできません。同様に、VPN 接続、またはインターネットゲートウェイのもう一方の側のリソースは、リンクされた EC2-Classic インスタンスにアクセスできません。

  • ClassicLink を使用して、VPC インスタンスを別の VPC または EC2-Classic リソースにリンクすることはできません。VPC 間のプライベート接続を確立するには、VPC ピア接続を使用できます。詳細については、「Amazon VPC Peering Guide」を参照してください。

  • 172.16.0.0/16 の範囲内の VPC に EC2-Classic インスタンスをリンクする場合で、VPC 内に 172.16.0.23/32 IP アドレスで稼働する DNS サーバーがある場合、リンクした EC2-Classic インスタンスは VPC DNS サーバーにアクセスできません。この問題を回避するためには、DNS サーバーを VPC 内の違う IP アドレスで稼働させてください。

Amazon EC2 コンソールと Amazon VPC コンソールを使用して、ClassicLink 機能を使用できます。ClassicLink 用の VPC の有効化と無効化、および VPC と EC2-Classic インスタンスのリンクとリンク解除を行うことができます。

注記

ClassicLink 機能は、EC2-Classic をサポートするアカウントとリージョンのコンソールにのみ表示されます。

EC2-Classic インスタンスを VPC にリンクするには、まず ClassicLink 用の VPC を有効にする必要があります。VPC のルーティングが EC2-Classic のプライベート IP アドレス範囲と競合する場合、ClassicLink 用の VPC を有効にすることはできません。詳細については、「ClassicLink のルーティング」を参照してください。

ClassicLink 用に VPC を有効にするには

  1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。

  2. 画面左枠のナビゲーションペインで、[VPC] を選択します。

  3. VPC を選択し、[Actions]、[Enable ClassicLink] の順に選択します。

  4. 確認ダイアログボックスで、[Yes, Enable] を選択します。

ClassicLink 用の VPC を有効にした後、EC2-Classic インスタンスを VPC にリンクすることができます。

注記

実行中の EC2-Classic インスタンスのみを VPC にリンクできます。stopped 状態にあるインスタンスをリンクすることはできません。

インスタンスを VPC にリンクするには

  1. https://console.aws.amazon.com/ec2/) にある Amazon EC2 コンソールを開きます。

  2. ナビゲーションペインで、[Instances] を選択します。

  3. 実行中の EC2-Classic インスタンスを選択し、[Actions]、[ClassicLink]、[Link to VPC] の順に選択します。 複数のインスタンスを選択して、同じ VPC にリンクすることができます。

  4. 表示されたダイアログボックスで、リストから VPC を選択します。ClassicLink 用に有効になった VPC のみが表示されます。

  5. インスタンスに関連付ける VPC セキュリティグループを 1 つ以上選択します。終了したら [Link to VPC] を選択します。

Amazon VPC コンソールの VPC ウィザードを使用することによって、新しい VPC を作成し、すぐに ClassicLink 用に有効にすることができます。

ClassicLink が有効になった VPC を作成するには

  1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。

  2. Amazon VPC ダッシュボードで、[Start VPC Wizard] を選択します。

  3. VPC 設定オプションの 1 つを選択し、[Select] を選択します。

  4. ウィザードの次のページで、[Enable ClassicLink] の [Yes] を選択します。ウィザードの残りの手順を完了して、VPC を作成します。VPC ウィザードの使用の詳細については、Amazon VPC ユーザーガイド の「Amazon VPC のシナリオ」を参照してください。

Amazon EC2 コンソールの起動ウィザードを使用して、EC2-Classic インスタンスを起動し、すぐに ClassicLink が有効な VPC にリンクすることができます。

起動時にインスタンスを VPC にリンクするには

  1. https://console.aws.amazon.com/ec2/) にある Amazon EC2 コンソールを開きます。

  2. Amazon EC2 ダッシュボードから、[Launch Instance] を選択します。

  3. AMI を選択し、インスタンスタイプを選択します。[Configure Instance Details] ページで、[Network] リストから [Launch into EC2-Classic] を選択していることを確認します。

    注記

    T2 インスタンスタイプなど、一部のインスタンスタイプは VPC でのみ起動できます。EC2-Classic で起動できるインスタンスタイプを選択していることを確認します。

  4. [Link to VPC (ClassicLink)] セクションで、[Link to VPC] から VPC を選択します。ClassicLink が有効な VPC のみが表示されます。インスタンスに関連付ける VPC のセキュリティグループを選択します。ページの他の設定オプションを完了した後、ウィザードの残りの手順を完了して、インスタンスを起動します。起動ウィザードの使用の詳細については、「AMI からのインスタンスの起動」を参照してください。

Amazon VPC コンソールで ClassicLink が有効な VPC をすべて表示し、Amazon EC2 コンソールでリンクされた EC2-Classic インスタンスをすべて表示できます。

ClassicLink が有効な VPC を表示するには

  1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。

  2. 画面左枠のナビゲーションペインで、[VPC] を選択します。

  3. VPC を選択し、[Summary] タブで、[ClassicLink] フィールドを探します。値 [Enabled] は、VPC が ClassicLink に対して有効であることを示します。

  4. または、[ClassicLink] 列を探し、各 VPC に表示される値 ([Enabled] または [Disabled]) を確認します。この列が表示されない場合は、[Edit Table Columns」(歯車型のアイコン) をクリックし、[ClassicLink] 属性を選択してから、[Close] を選択します。

リンクされた EC2-Classic インスタンスを表示するには

  1. https://console.aws.amazon.com/ec2/) にある Amazon EC2 コンソールを開きます。

  2. ナビゲーションペインで、[Instances] を選択します。

  3. EC2-Classic インスタンスを選択し、[Description] タブで、[ClassicLink] フィールドを探します。インスタンスが VPC にリンクされている場合、このフィールドにはインスタンスのリンク先 VPC の ID が表示されます。インスタンスが VPC にリンクされていない場合、フィールドには [Unlinked] と表示されます。

  4. または、インスタンスをフィルタリングして、特定の VPC やセキュリティグループのリンクされた EC2-Classic インスタンスのみを表示できます。検索バーで「ClassicLink」と入力し、関連する ClassicLink リソース属性を選択して、セキュリティグループ ID または VPC ID を選択します。

VPC の ClassicLink DNS サポートを有効にして、リンクされた EC2-Classic インスタンスと VPC のインスタンス間で対応された DNS ホスト名がプライベート IP アドレスに解決され、パブリック IP アドレスに解決されないようにします。この機能を有効にするには、DNS ホスト名および DNS の解決について VPC が有効になっている必要があります。

注記

VPC に対して ClassicLink DNS サポートを有効にした場合、リンクされた EC2-Classic インスタンスは、VPC に関連付けられた任意のプライベートホストゾーンにアクセスできます。詳細については、Amazon Route 53 開発者ガイド の「プライベートホストゾーンの使用」を参照してください。

ClassicLink DNS サポートを有効にするには

  1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。

  2. 画面左枠のナビゲーションペインで、[VPC] を選択します。

  3. VPC を選択し、[Actions]、[Edit ClassicLink DNS Support] の順に選択します。

  4. [Yes] を選択して ClassicLink DNS サポートを有効にし、[Save] を選択します。

VPC の ClassicLink DNS サポートを無効にして、リンクされた EC2-Classic インスタンスと VPC のインスタンス間で対応された DNS ホスト名がパブリック IP アドレスに解決され、プライベート IP アドレスに解決されないようにします。

ClassicLink DNS サポートを無効にするには

  1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。

  2. 画面左枠のナビゲーションペインで、[VPC] を選択します。

  3. VPC を選択し、[Actions]、[Edit ClassicLink DNS Support] の順に選択します。

  4. [No] を選択して ClassicLink DNS サポートを無効にし、[Save] を選択します。

EC2-Classic インスタンスと VPC の間の ClassicLink 接続が不要になった場合、VPC からインスタンスのリンクを解除できます。インスタンスのリンクを解除すると、インスタンスから VPC セキュリティグループの関連付けが解除されます。

注記

停止したインスタンスは、VPC から自動的にリンクが解除されます。

VPC からインスタンスのリンクを解除するには

  1. https://console.aws.amazon.com/ec2/) にある Amazon EC2 コンソールを開きます。

  2. ナビゲーションペインで [Instances] を選択し、インスタンスを選択します。

  3. [Actions] リストで、[ClassicLink] を選択し、[Unlink Instance] を選択します。複数のインスタンスを選択して、同じ VPC からリンクを解除することができます。

  4. 確認ダイアログボックスで [Yes] を選択します。

EC2-Classic インスタンスと VPC の間の接続が不要になった場合は、VPC の ClassicLink を無効にすることができます。最初に、VPC にリンクされたすべての EC2-Classic インスタンスのリンクを解除します。

VPC の ClassicLink を無効にするには

  1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。

  2. 画面左枠のナビゲーションペインで、[VPC] を選択します。

  3. VPC を選択し、[Actions]、[Disable ClassicLink] の順に選択します。

  4. 確認ダイアログボックスで、[Yes, Disable] を選択します。

このページで説明しているタスクは、コマンドラインまたはクエリ API を使用して実行できます。コマンドラインインターフェイスの詳細および利用できる API アクションの一覧については、「Amazon EC2 へのアクセス」を参照してください。

ClassicLink 用の VPC の有効化

VPC への EC2-Classic インスタンスのリンク (アタッチ)

VPC からの EC2-Classic インスタンスのリンク解除 (デタッチ)

VPC の ClassicLink の無効化

VPC の ClassicLink ステータスの表示

リンクされた EC2-Classic インスタンスの表示

ClassicLink の VPC ピア接続の有効化

ClassicLink DNS サポートに対する VPC の有効化

ClassicLink DNS サポートに対する VPC の無効化

VPC の ClassicLink DNS サポートの説明

この例では、次の 3 つのインスタンスを持つアプリケーションを使用します。public-facing ウェブサーバー、アプリケーションサーバー、データベースサーバー。ウェブサーバーは、インターネットからの HTTPS トラフィックを受け入れ、TCP ポート 6001 を介してアプリケーションサーバーと通信します。次に、アプリケーションサーバーが TCP ポート 6004 を介してデータベースサーバーと通信します。アプリケーション全体をアカウントの VPC に移行しています。アプリケーションサーバーとデータベースサーバーは、すでに VPC に移行しました。ウェブサーバーはまだ EC2-Classic にあり、ClassicLink を介して VPC にリンクされています。

これらのインスタンス間でのみトラフィックが流れるようにセキュリティグループを設定する必要があります。次の 4 つのセキュリティグループがあります。ウェブサーバー用に 2 つ (sg-1a1a1a1asg-2b2b2b2b)、アプリケーションサーバー用に 1 つ (sg-3c3c3c3c)、およびデータベースサーバー用に 1 つ (sg-4d4d4d4d)。

次の図は、インスタンスのアーキテクチャーとそれらのセキュリティグループ設定を示しています。

 ClassicLink を使用したセキュリティグループ設定。

ウェブサーバーのセキュリティグループ (sg-1a1a1a1a および sg-2b2b2b2b)

EC2-Classic に 1 つのセキュリティグループ、VPC にその他のセキュリティグループがあります。ClassicLink を介してインスタンスを VPC にリンクしたときに、VPC のセキュリティグループがウェブサーバーインスタンスに関連付けられています。VPC セキュリティグループを使用すると、ウェブサーバーからアプリケーションサーバーへのアウトバウンドトラフィックを制御することができます。

EC2-Classic セキュリティグループ (sg-1a1a1a1a) のセキュリティグループルールを以下に示します。

インバウンド
送信元 タイプ ポート範囲 コメント

0.0.0.0/0

HTTPS

443

インターネットトラフィックがウェブサーバーに到達できるようにします。

VPC セキュリティグループ (sg-2b2b2b2b) のセキュリティグループルールを以下に示します。

アウトバウンド
送信先 タイプ ポート範囲 コメント

sg-3c3c3c3c

TCP

6001

ウェブサーバーから VPC のアプリケーションサーバーへの (または sg-3c3c3c3c に関連付けられている他のインスタンスへの) アウトバウンドトラフィックを許可します。

アプリケーションサーバーのセキュリティグループ (sg-3c3c3c3c)

アプリケーションサーバーに関連付けられている VPC セキュリティグループのセキュリティグループルールを以下に示します。

インバウンド
送信元 タイプ ポート範囲 コメント

sg-2b2b2b2b

TCP

6001

ウェブサーバー (または sg-2b2b2b2b に関連付けられている他のインスタンス) から、指定したタイプのトラフィックがアプリケーションサーバーに到達できるようにします。

アウトバウンド
送信先 タイプ ポート範囲 コメント
sg-4d4d4d4d TCP 6004 アプリケーションサーバーからデータベースサーバー (または sg-4d4d4d4d に関連付けられている他のインスタンス) へのアウトバウンドトラフィックを許可します。

データベースサーバーのセキュリティグループ (sg-4d4d4d4d)

データベースサーバーに関連付けられている VPC セキュリティグループのセキュリティグループルールを以下に示します。

インバウンド
送信元 タイプ ポート範囲 コメント

sg-3c3c3c3c

TCP

6004

アプリケーションサーバー (または sg-3c3c3c3c に関連付けられている他のインスタンス) から、指定したタイプのトラフィックがデータベースサーバーに到達できるようにします。