チュートリアル: DB インスタンス用の Amazon VPC を作成する - Amazon Relational Database Service
プライベートサブネットおよびパブリックサブネットを持つ VPC を作成する追加のサブネットの作成 パブリックウェブサーバーの VPC セキュリティグループを作成する プライベート DB インスタンスの VPC セキュリティグループを作成するDB サブネットグループを作成するVPC の削除

チュートリアル: DB インスタンス用の Amazon VPC を作成する

Amazon VPC 内の DB インスタンスは一般的なシナリオに含まれていて、同じ VPC で実行しているウェブサーバーとデータを共有します。このチュートリアルでは、このシナリオの VPC を作成します。

以下の図に、このシナリオを示しています。その他のシナリオについては、VPC の DB インスタンスにアクセスするシナリオ を参照してください。

単一の VPC のシナリオ

DB インスタンスはウェブサーバーでのみ必要で、パブリックインターネットには必要ないため、VPC をパブリックサブネットおよびプライベートサブネットの両方で作成します。ウェブサーバーはパブリックサブネットでホストされることで、パブリックインターネットにアクセスできます。DB インスタンスはプライベートサブネットでホストされます。ウェブサーバーは同じ VPC 内でホストされるため、DB インスタンスに接続できます。しかし、DB インスタンスはパブリックインターネットでは使用できないため、セキュリティがより強固です。

このチュートリアルでは、Amazon RDS DB インスタンス 用に VPC を設定する方法について説明します。Amazon VPC の詳細については、Amazon VPC 入門ガイドおよびAmazon VPC ユーザーガイドを参照してください。

注記

この VPC シナリオ用のウェブサーバーを作成する方法を示すチュートリアルについては、「チュートリアル: ウェブサーバーと Amazon RDS DB インスタンスを作成する」を参照してください。

プライベートサブネットおよびパブリックサブネットを持つ VPC を作成する

以下の手順で、パブリックサブネットとプライベートサブネットを持つ VPC を作成します。

VPC とサブネットを作成するには

  1. ネットワークアドレス変換 (NAT) ゲートウェイに関連付ける Elastic IP アドレスがない場合は、こちらで割り当ててください。このチュートリアルでは、NAT ゲートウェイが必要です。使用可能な Elastic IP アドレスがある場合は、次の手順に進みます。

    1. Amazon EC2 コンソール (https://console.aws.amazon.com/ec2/) を開きます。

    2. AWS Management Console の右上隅で、Elastic IP アドレスを割り当てるリージョンを選択します。Elastic IP アドレスのリージョンは、VPC を作成するリージョンと同じである必要があります。この例では、米国西部 (オレゴン) リージョンを使用します。

    3. ナビゲーションペインで [Elastic IP] を選択します。

    4. [Allocate Elastic IP address] を選択します。

    5. コンソールに [Network Border Group] フィールドが表示されている場合は、デフォルト値のままにします。

    6. [Public IPv4 address pool] で、[Amazon's pool of IPv4 addresses] を選択します。

    7. [Allocate] を選択します。

      新しい Elastic IP アドレスの割り当て ID を書き留めます。この情報は VPC の作成時に必要になります。

    Elastic IP アドレスの詳細については、Amazon EC2 ユーザーガイドElastic IP アドレスを参照してください。NAT ゲートウェイの詳細については、Amazon VPC ユーザーガイドNAT gateways を参照してください。

  2. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  3. AWS Management Console の右上隅で、VPC を作成するリージョンを選択します。この例では、米国西部 (オレゴン) リージョンを使用します。

  4. 左上隅の [VPC Dashboard] を選択します。VPC の作成を開始するには、[Start VPC Wizard (VPC ウィザードの起動)] を選択します。

  5. [Step 1: Select a VPC Configuration] ページで [VPC with Public and Private Subnets] を選択し、[Select] を選択します。

  6. [Step 2: VPC with Public and Private Subnets] ページで、次の値を設定します。

    • IPv4 CIDR ブロック:]10.0.0.0/16

    • [IPv6 CIDR ブロック:] IPv6 CIDR ブロックなし

    • VPC 名: tutorial-vpc

    • パブリックサブネットの IPv4 CIDR:]10.0.0.0/24

    • アベイラビリティーゾーン: us-west-2a

    • パブリックサブネット名: Tutorial public

    • プライベートサブネットの IPv4 CIDR:]10.0.1.0/24

    • アベイラビリティーゾーン: us-west-2b

    • プライベートサブネット名: Tutorial private 1

    • Elastic IP の割り当て ID: NAT ゲートウェイに関連付ける Elastic IP アドレス。

    • [サービスエンドポイント:] このフィールドはスキップします。

    • DNS ホスト名を有効化: Yes

    • ハードウェアのテナンシー: Default

  7. [Create VPC] を選択します。

追加のサブネットの作成

VPC で使用する DB インスタンスの DB サブネットグループを作成するには、利用可能な 2 つのプライベートサブネットまたは 2 つのパブリックサブネットが必要です。このチュートリアルの DB インスタンスはプライベートであるため、VPC に 2 つめのプライベートサブネットを追加します。

追加のサブネットを作成するには

  1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. 2 つめのプライベートサブネットを VPC に追加するには、[VPC ダッシュボード]、[サブネット]、[サブネットの作成] の順に選択します。

  3. [サブネットの作成] ページで、以下の値を設定します。

    • VPC ID: 前のステップで作成した VPC を選択します (例: vpc-identifier (tutorial-vpc))。

    • サブネット名: Tutorial private 2

    • アベイラビリティーゾーン: us-west-2c

      注記

      第 1 のプライベートサブネットに選んだものとは別のアベイラビリティーゾーンを選択します。

    • IPv4 CIDR ブロック:]10.0.2.0/24

  4. [Create subnet (サブネットの作成)] を選択します。

  5. 作成した 2 番目のプライベートサブネットが最初のプライベートサブネットと同じルートテーブルを使用するようにするには、以下の手順を実行します。

    1. [VPC ダッシュボード]、[サブネット] の順に選択し、VPC に作成した最初のプライベートサブネット Tutorial private 1 を選択します。

    2. 以下のサブネットリストで、[Route table (ルートテーブル)] タブを選択し、[Route table (ルートテーブル)] の値をメモします (例 — rtb-98b613fd など)。

    3. サブネットリストから第 1 のプライベートサブネットの選択を外します。

    4. サブネットのリストで、第 2 のプライベートサブネット Tutorial private 2 を選択し、[Route table (ルートテーブル)] を選択します。

    5. 現在のルートテーブルが第 1 のプライベートサブネットと同じルートテーブルではない場合は、[Edit route table association (ルートテーブルの関連付けの編集)] を選択します。[Route table ID (ルートテーブル ID)] で、前にメモしたルートテーブル (例 — rtb-98b613fd など) を選択します。次に、選択を保存するには [保存] を選択します。

パブリックウェブサーバーの VPC セキュリティグループを作成する

次に、パブリックアクセスのためのセキュリティグループを作成します。VPC 内のパブリックインスタンスに接続するには、インターネットから接続するトラフィックを許可するインバウンドルールを VPC セキュリティグループに追加します。

VPC セキュリティグループを作成するには

  1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. [VPC ダッシュボード]、[セキュリティグループ]、[セキュリティグループの作成] の順に選択します。

  3. [セキュリティグループの作成] ページで、以下の値を設定します。

    • セキュリティグループ名: tutorial-securitygroup

    • 説明: Tutorial Security Group

    • VPC: 先に作成した VPC を選択します (例: vpc-identifier (tutorial-vpc))。

  4. インバウンドルールをセキュリティグループに追加します。

    1. VPC のインスタンスへの接続に使用する IP アドレスを決定します。パブリック IP アドレスを決定するには、別のブラウザウィンドウまたはタブで、https://checkip.amazonaws.com のサービスを使用できます。IP アドレスの例は 203.0.113.25/32 です。

      インターネットサービスプロバイダー (ISP) 経由で、またはファイアウォールの内側から静的 IP アドレスなしで接続する場合は、クライアントコンピューターで使用されている IP アドレスの範囲を見つける必要があります。

      警告

      0.0.0.0/0 を使用すると、すべての IP アドレスがパブリックインスタンスにアクセスできます。この方法は、テスト環境で短時間なら許容できますが、実稼働環境では安全ではありません。実稼働環境では、特定の IP アドレスまたは特定のアドレス範囲にのみ、インスタンスへのアクセスを限定します。

    2. [インバウンドルール] セクションで、[ルールの追加] を選択します。

    3. 新しいインバウンドルールに次の値を設定して、EC2 インスタンスへの Secure Shell (SSH) アクセスを許可します。こうすることで、EC2 インスタンスに接続してウェブサーバーや他のユーティリティをインストールし、コンテンツをウェブサーバーにアップロードできます。

      • タイプ: SSH

      • ソース: ステップ a で指定した IP アドレスまたはアドレス範囲 (203.0.113.25/32 など)

    4. [Add rule] を選択します。

    5. 新しいインバウンドルールに次の値を設定して、ウェブサーバーに HTTP へのアクセスを許可します。

      • タイプ: HTTP

      • ソース: 0.0.0.0/0

  5. セキュリティグループを作成するには、[セキュリティグループの作成] を選択します。

    セキュリティグループ ID を書き留めます。このチュートリアルで後に必要になります。

プライベート DB インスタンスの VPC セキュリティグループを作成する

DB インスタンスをプライベートのままにするには、プライベートアクセス用の第 2 のセキュリティグループを作成します。VPC 内の専用インスタンスに接続するには、ウェブサーバーからのみトラフィックを許可するインバウンドルールを VPC セキュリティグループに追加します。

VPC セキュリティグループを作成するには

  1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

  2. [VPC ダッシュボード]、[セキュリティグループ]、[セキュリティグループの作成] の順に選択します。

  3. [セキュリティグループの作成] ページで、以下の値を設定します。

    • セキュリティグループ名: tutorial-db-securitygroup

    • 説明: Tutorial DB Instance Security Group

    • VPC: 先に作成した VPC を選択します (例: vpc-identifier (tutorial-vpc))。

  4. インバウンドルールをセキュリティグループに追加します。

    1. [インバウンドルール] セクションで、[ルールの追加] を選択します。

    2. 新しいインバウンドルールに次の値を設定して、EC2 インスタンスからポート 3306 への MySQL トラフィックを許可します。こうすることで、ウェブサーバーから DB インスタンスに接続して、ウェブアプリケーションからのデータをデータベースに保存して取得できます。

      • タイプ: MySQL/Aurora

      • Source: このチュートリアルで以前に作成した tutorial-securitygroup セキュリティグループの ID (例: sg-9edd5cfb)。

  5. セキュリティグループを作成するには、[セキュリティグループの作成] を選択します。

DB サブネットグループを作成する

DB サブネットグループは VPC に作成するサブネットのコレクションで、DB インスタンス用に指定します。DB サブネットグループでは、DB インスタンスの作成時に特定の VPC を指定することができます。

DB サブネットグループを作成する方法

  1. Amazon RDS コンソール (https://console.aws.amazon.com/rds/) を開きます。

    注記

    Amazon VPC コンソールではなく、Amazon RDS コンソールに必ず接続してください。

  2. [Navigation] ペインで、[Subnet groups] を選択します。

  3. [Create DB Subnet Group] を選択します。

  4. [DB サブネットグループを作成する] ページで、[サブネットグループの詳細] に値を設定します。

    • 名前: tutorial-db-subnet-group

    • 説明: Tutorial DB Subnet Group

    • VPC: tutorial-vpc (vpc-identifier)

  5. [サブネットの追加] セクションで、[アベイラビリティーゾーン] と [サブネット] を選択します。

    このチュートリアルでは、[アベイラビリティーゾーン] に us-west-2bus-west-2c を選択します。次に、[Subnets (サブネット)] で、IPv4 CIDR ブロック 10.0.1.0/24 および 10.0.2.0/24 のサブネットを選択します。

    注記

    ローカルゾーンを有効にしている場合は、[DB サブネットグループの作成] ページでアベイラビリティーゾーングループを選択できます。この場合、[アベイラビリティーゾーングループ]、[アベイラビリティーゾーン]、[サブネット] の順に選択します。

  6. [Create] を選択します。

    RDS コンソールの DB サブネットグループリストに新しい DB サブネットグループが表示されます。DB サブネットグループをクリックすると、ウィンドウ下部の詳細ペインに、そのグループに関連付けられたすべてのサブネットなどの詳細を表示することができます。

注記

この VPC を作成して チュートリアル: ウェブサーバーと Amazon RDS DB インスタンスを作成する を完了した場合は、DB インスタンスを作成する の手順に従って DB インスタンスを作成します 。

VPC の削除

このチュートリアルの VPC およびその他のリソースを作成後、不要になった場合は、削除できます。

注記

このチュートリアルで作成した Amazon VPC にリソース (Amazon EC2 インスタンスや Amazon RDS DB インスタンスなど) を追加した場合は、VPC を削除する前にこれらのリソースを削除する必要がある場合があります。詳細については、Amazon VPC ユーザーガイドの「VPC の削除」を参照してください。

VPC と関連リソースを削除する方法

  1. DB サブネットグループを削除する。

    1. Amazon RDS コンソール (https://console.aws.amazon.com/rds/) を開きます。

    2. [Navigation] ペインで、[Subnet groups] を選択します。

    3. 削除する DB サブネットグループを選択します。(例: tutorial-db-subnet-group)

    4. [Delete] (削除) を選択してから、確認ウィンドウの [Delete] (削除) を選択します。

  2. VPC ID を書き留める。

    1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

    2. [VPC Dashboard] (VPC ダッシュボード) を選択してから、[VPC] を選択します。

    3. リストで、作成した VPC を特定します。(例: tutorial-vpc)

    4. 作成した VPC の VPC ID を書き留めます。後続のステップで VPC ID が必要になります。

  3. セキュリティグループを削除する。

    1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

    2. [VPC Dashboard] (VPC ダッシュボード) を選択してから、[Security Groups] (セキュリティグループ) を選択します。

    3. Amazon RDS DB インスタンスのセキュリティグループを選択します。(例: tutorial-db-securitygroup)

    4. [Actions] (アクション) で、[Delete security groups] (セキュリティグループの削除) を選択してから、確認ページで [Delete] (削除) をクリックします。

    5. [Security Groups] (セキュリティグループ) ページで、Amazon EC2 インスタンスのセキュリティグループを選択します。(例: tutorial-securitygroup)

    6. [Actions] (アクション) で、[Delete security groups] (セキュリティグループの削除) を選択してから、確認ページで [Delete] (削除) をクリックします。

  4. NAT ゲートウェイを削除する。

    1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

    2. [VPC Dashboard] (VPC ダッシュボード) を選択してから、[NAT Gateways] (NAT ゲートウェイゲートウェイ) を選択します。

    3. 作成した VPC の NAT ゲートウェイを選択します。VPC ID を使用して、適切な NAT ゲートウェイを識別します。

    4. [Actions] (アクション) で、[Delete NAT gateway] (NAT ゲートウェイの削除) を選択します。

    5. 確認ページで、「delete」を入力してから、[Delete] (削除) を選択します。

  5. VPC を削除する。

    1. Amazon VPC コンソール (https://console.aws.amazon.com/vpc/) を開きます。

    2. [VPC Dashboard] (VPC ダッシュボード) を選択してから、[VPC] を選択します。

    3. 削除する VPC を選択します。(例: tutorial-vpc)

    4. [Actions] (アクション) で、[Delete VPC] (VPC の削除) を選択します。

      確認ページには、VPC に関連付けられたサブネットを含め、削除される VPC に関連付けられているその他のリソースが表示されます。

    5. 確認ページで、「delete」を入力してから、[Delete] (削除) を選択します。

  6. Elastic IP アドレスを解放する。

    1. Amazon EC2 コンソール (https://console.aws.amazon.com/ec2/) を開きます。

    2. [EC2 Dashboard] (EC2 ダッシュボード) を選択してから、[Elastic IPs] を選択します。

    3. 解放する Elastic IP アドレスを選択します。

    4. [Actions] (アクション) で、[Release Elastic IP addresses] (Elastic IP アドレスの解放) を選択します。

    5. 確認ページで、[Release] (解放) を選択します。