メニュー
Amazon Relational Database Service
ユーザーガイド (API Version 2014-10-31)

チュートリアル: Amazon RDS DB インスタンスで使用する Amazon VPC の作成

Amazon VPC 内の Amazon RDS DB インスタンスは一般的なシナリオに含まれていて、同じ VPC で実行しているウェブサーバーとデータを共有します。このチュートリアルでは、このシナリオの VPC を作成します。

以下の図に、このシナリオを示しています。その他のシナリオについては、VPC の DB インスタンスにアクセスするシナリオ を参照してください。

 VPC と EC2 のセキュリティグループのシナリオ

Amazon RDS DB インスタンスはウェブサーバーのみで使用できればよくパブリックインターネットには必要ないため、VPC をパブリックサブネットおよびプライベートサブネットの両方で作成します。ウェブサーバーはパブリックサブネットでホストされることで、パブリックインターネットにアクセスできます。Amazon RDS DB インスタンスはプライベートサブネットでホストされます。ウェブサーバーは同じ VPC 内でホストされるため、Amazon RDS DB インスタンスに接続できます。しかし、Amazon RDS DB インスタンスはパブリックインターネットでは使用できないため、セキュリティがより強固です。

VPC をプライベートサブネットおよびパブリックサブネットで作成する

以下の手順で、パブリックサブネットとプライベートサブネットを持つ VPC を作成します。

VPC とサブネットを作成するには

  1. AWS マネジメントコンソールにサインインした後、Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. AWS マネジメントコンソールの右上隅で、VPC を作成するリージョンを選択します。この例では、米国西部 (オレゴン) リージョンを使用します。

  3. 左上隅の [VPC Dashboard] を選択します。VPC の作成を開始するには、[Start VPC Wizard] を選択します。

  4. [Step 1: Select a VPC Configuration] ページで [VPC with Public and Private Subnets] を選択し、[Select] を選択します。

  5. 以下に示す [Step 2: VPC with Public and Private Subnets] ページで、次の値を設定します。

    • IP CIDR ブロック: 10.0.0.0/16

    • VPC 名: tutorial-vpc

    • パブリックサブネット: 10.0.0.0/24

    • アベイラビリティーゾーン (パブリックサブネット): us-west-2a

    • パブリックサブネット名: Tutorial public

    • プライベートサブネット: 10.0.1.0/24

    • アベイラビリティーゾーン (プライベートサブネット): us-west-2a

    • プライベートサブネット名: Tutorial Private 1

      注記

      後で 2 つめのプライベートサブネット Tutorial Private 2 を追加します。

    • インスタンスタイプ: t2.micro

      重要

      コンソールに [Instance type] ボックスが表示されない場合は、[Use a NAT instance instead] をクリックします。このリンクは右側にあります。

    • キーペア名: No key pair

    • サブネット: None

    • DNS ホスト名を有効化: Yes

    • ハードウェアのテナンシー: Default

     パブリックサブネットとプライベートサブネットを持つ VPC のウィザード
  6. 完了したら、[Create VPC] を選択します。

追加のサブネットの作成

VPC で使用する RDS DB インスタンスの Amazon RDS DB サブネットグループを作成するには、利用可能な 2 つのプライベートサブネットまたは 2 つのパブリックサブネットが必要です。このチュートリアルの RDS DB インスタンスはプライベートであるため、VPC に 2 つめのプライベートサブネットを追加します。

追加のサブネットを作成するには

  1. AWS マネジメントコンソールにサインインした後、Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. 2 つめのプライベートサブネットを VPC に追加するには、[VPC Dashboard] を選択し、[Subnets] を選択してから、[Create Subnet] を選択します。

  3. 以下に示す [Create Subnet] ページで、次の値を設定します。

    • 名前タグ: Tutorial private 2

    • VPC: 前のステップで作成した VPC を選択します (例: vpc-f1b76594 (10.0.0.0/16) | tutorial-vpc)。

    • アベイラビリティーゾーン: us-west-2b

      注記

      第 1 プライベートサブネットに選んだものとは別のアベイラビリティーゾーンを選択します。

    • CIDR ブロック: 10.0.2.0/24

     VPC コンソールの Create Subnet パネル
  4. 完了したら、[Yes, Create] を選択します。

  5. 作成した第 2 のプライベートサブネットで第 1 のプライベートサブネットと同じルートテーブルを使用するには、[VPC Dashboard] を選択し、[Subnets] を選択してから、VPC 用に作成した第 1 のサブネット (Tutorial private 1) を選択します。

  6. 以下に示す [Route Table] タブを選択し、[Current Route Table] の値 (rtb-98b613fd など) をメモします。

     VPC コンソールの Route Table パネル
  7. サブネットのリストで、第 2 のプライベートサブネット Tutorial private 2 を選択し、以下に示す [Route Table] を選択します。

     VPC コンソールの Route Table パネル
  8. 現在のルートテーブルが第 1 のプライベートサブネットと同じルートテーブルではない場合は、[Edit] を選択します。[Change to] で、前のステップでメモしたルートテーブル (rtb-98b613fd など) を選択します。

  9. 選択を保存するには [Save] を選択します。

パブリックウェブサーバーの VPC セキュリティグループを作成する

次に、パブリックアクセスのためのセキュリティグループを作成します。VPC 内のパブリックインスタンスに接続するには、インターネットから接続するトラフィックを許可するインバウンドルールを VPC セキュリティグループに追加します。

VPC セキュリティグループを作成するには

  1. AWS マネジメントコンソールにサインインした後、Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. [VPC Dashboard] を選択し、[Security Groups] を選択してから、[Create Security Group] を選択します。

  3. 以下に示す [Create Security Group] ページで、次の値を設定します。

    • 名前タグ: tutorial-securitygroup

    • グループ名: tutorial-securitygroup

    • Description: Tutorial Security Group

    • VPC: 先に作成した VPC を選択します (例: vpc-f1b76594 (10.0.0.0/16) | tutorial-vpc)。

     VPC コンソールの Create Security Group パネル
  4. セキュリティグループを作成するには、[Yes, Create] を選択します。

セキュリティグループにインバウンドルールを追加するには

  1. VPC のインスタンスへの接続に使用する IP アドレスを決定します。パブリック IP アドレスを決定するには、http://checkip.amazonaws.com のサービスを使用できます。インターネットサービスプロバイダー (ISP) 経由で、またはファイアウォールの内側から静的 IP アドレスなしで接続する場合は、クライアントコンピューターで使用されている IP アドレスの範囲を見つける必要があります。

    警告

    0.0.0.0/0 を使用すると、すべての IP アドレスがパブリックインスタンスにアクセスできます。この方法は、テスト環境で短時間なら許容できますが、実稼働環境では安全ではありません。実稼働環境では、特定の IP アドレスまたは特定のアドレス範囲にのみ、インスタンスへのアクセスを限定します。

  2. AWS マネジメントコンソールにサインインした後、Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  3. [VPC Dashboard] を選択し、[Security Groups] を選択してから、前の手順で作成した tutorial-securitygroup セキュリティグループを選択します。

  4. [Inbound Rules] タブを選択してから、[Edit] を選択します。

  5. 新しいインバウンドルールに次の値を設定して、EC2 インスタンスへの Secure Shell (SSH) アクセスを許可します。こうすることで、EC2 インスタンスに接続してウェブサーバーや他のユーティリティをインストールし、コンテンツをウェブサーバーにアップロードできます。

    • タイプ: SSH (22)

    • Source: 前のステップで指定した IP アドレスまたはアドレス範囲 (203.0.113.25/32 など)。

  6. [Add another rule] を選択します。

  7. 次の図に示すように、新しいインバウンドルールに次の値を設定して、ウェブサーバーへの HTTP アクセスを許可します。

    • タイプ: HTTP (80)

    • 送信元: 0.0.0.0/0.

     VPC コンソールの Inbound Rules パネル
  8. 設定を保存するには [Save] を選択します。

プライベート Amazon RDS DB インスタンスの VPC セキュリティグループの作成

Amazon RDS DB インスタンスをプライベートのままにするには、プライベートアクセスのための第 2 のセキュリティグループを作成します。VPC 内の専用インスタンスに接続するには、ウェブサーバーからのみトラフィックを許可するインバウンドルールを VPC セキュリティグループに追加します。

VPC セキュリティグループを作成するには

  1. AWS マネジメントコンソールにサインインした後、Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. [VPC Dashboard] を選択し、[Security Groups] を選択してから、[Create Security Group] を選択します。

  3. 以下に示す [Create Security Group] ページで、次の値を設定します。

    • 名前タグ: tutorial-db-securitygroup

    • グループ名: tutorial-db-securitygroup

    • Description: Tutorial DB Instance Security Group

    • VPC: 先に作成した VPC を選択します (例: vpc-f1b76594 (10.0.0.0/16) | tutorial-vpc)。

     VPC コンソールの Create Security Group パネル
  4. セキュリティグループを作成するには、[Yes, Create] を選択します。

セキュリティグループにインバウンドルールを追加するには

  1. AWS マネジメントコンソールにサインインした後、Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. [VPC Dashboard] を選択し、[Security Groups] を選択してから、前の手順で作成した tutorial-db-securitygroup セキュリティグループを選択します。

  3. [Inbound Rules] タブを選択してから、[Edit] を選択します。

  4. 新しいインバウンドルールに次の値を設定して、EC2 インスタンスからポート 3306 への MySQL トラフィックを許可します。こうすることで、ウェブサーバーから DB インスタンスに接続して、ウェブアプリケーションからのデータをデータベースに保存して取得できます。

    • タイプ: MySQL/Aurora (3306)

    • Source: このチュートリアルで以前に作成した tutorial-securitygroup セキュリティグループの ID (例: sg-9edd5cfb)。

     VPC コンソールの Inbound Rules パネル
  5. 設定を保存するには [Save] を選択します。