DocumentDB クラスターで使用する IPv4-only VPC を作成する - Amazon DocumentDB
ステップ 1: プライベートサブネットおよびパブリックサブネットを持つ VPC を作成するステップ 2: パブリックアプリケーションの VPC セキュリティグループを作成するステップ 3: プライベートクラスターの VPC セキュリティグループを作成するステップ 4: サブネットグループを作成するVPC の削除

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

DocumentDB クラスターで使用する IPv4-only VPC を作成する

一般的なシナリオには、Amazon VPC サービスに基づく仮想プライベートクラウド (VPC) 内のクラスターが含まれます。例えば、この VPC は、同じ VPC で実行されているサービスまたはアプリケーションとデータを共有できます。このトピックでは、このシナリオの VPC を作成します。

クラスターは、アプリケーションからのみ使用可能で、パブリックインターネットからは使用できないようにする必要があります。したがって、パブリックサブネットとプライベートサブネットを持つ VPC を作成します。アプリケーションはパブリックサブネットでホストされることで、パブリックインターネットにアクセスできます。クラスターはプライベートサブネットでホストされます。アプリケーションは、同じ VPC 内でホストされているため、クラスターに接続できます。ただし、クラスターはパブリックインターネットからは使用できないため、セキュリティが向上します。

このトピックの手順では、別のアベイラビリティーゾーンに追加のパブリックサブネットとプライベートサブネットを設定します。これらのサブネットは手順では使用されません。DocumentDB サブネットグループには、2 つ以上のアベイラビリティーゾーンにサブネットが必要です。サブネットを追加すると、複数の DocumentDB インスタンスをより簡単に設定できます。

このトピックでは、Amazon DocumentDB クラスターの VPC の設定について説明します。Amazon VPC の詳細については、「Amazon VPC ユーザーガイド」を参照してください。

ヒント

DB クラスターの作成時に、Amazon EC2 インスタンスと DocumentDB クラスター間で自動的にネットワーク接続を設定できるようになります。ネットワーク構成は、このシナリオで説明したものと似ています。詳細については、「Amazon EC2 への自動接続」を参照してください。

ステップ 1: プライベートサブネットおよびパブリックサブネットを持つ VPC を作成する

以下の手順で、パブリックサブネットとプライベートサブネットを持つ VPC を作成します。

VPC とサブネットを作成するには

  1. https://console.aws.amazon.com/vpc で Amazon VPC コンソールを開きます。

  2. の右上隅で AWS マネジメントコンソール、VPC を作成するリージョンを選択します。この例では、米国西部 (オレゴン) リージョンを使用します。

  3. 左上隅の [VPC dashboard] (VPC ダッシュボード) を選択します。VPC の作成を開始するには、[Create VPC] (VPC の作成) を選択します。

  4. [VPC Settings] (VPC 設定) の [Resources to create] (作成するリソース) で、[VPC and more] (VPC など) を選択します。

  5. [VPC settings] (VPC 設定) で、これらの値を設定します。

    • [Name tag auto-generation] (ネームタグ自動生成) — example

    • [IPv4 CIDR block] (IPv4 CIDR ブロック) — 10.0.0.0/16

    • [IPv6 CIDR block] (IPv6 CIDR ブロック) — [No IPv6 CIDR block] (IPv6 CIDR ブロックなし)

    • [Tenancy] (テナンシー) — デフォルト

    • [Number of Availability Zones (AZs)] (アベイラビリティーゾーンの数 (AZ)) — 2

    • [Customize AZs] (AZ をカスタマイズする) — デフォルト値を維持します

    • パブリックサブネットの数2

    • [Number of private subnets] (プライベートサブネット数) — 2

    • [Customize subnets CIDR blocks] (サブネット CIDR ブロックをカスタマイズ) — デフォルト値を維持します

    • [NAT gateways ($)] (NAT ゲートウェイ ($)) — なし

    • [VPC endpoints] (VPC エンドポイント) — なし

    • [DNS options] (DNS オプション) — デフォルト値を維持します

  6. [Create VPC(VPC の作成)] を選択します。

ステップ 2: パブリックアプリケーションの VPC セキュリティグループを作成する

次に、パブリックアクセスのためのセキュリティグループを作成します。VPC 内のパブリック EC2 インスタンスに接続するには、インバウンドルールを VPC セキュリティグループに追加します。これにより、インターネットからのトラフィックを接続できるようになります。

VPC セキュリティグループを作成するには

  1. https://console.aws.amazon.com/vpc で Amazon VPC コンソールを開きます。

  2. [VPC ダッシュボード]、[セキュリティグループ]、[セキュリティグループの作成] の順に選択します。

  3. [セキュリティグループの作成] ページで、以下の値を設定します。

    • セキュリティグループ名 - example-securitygroup

    • [Description] (説明) — Application security group

    • VPC — 前に作成した VPC を選択します (例: vpc-example)。

  4. インバウンドルールをセキュリティグループに追加します。

    1. Secure Shell (SSH) を使用して VPC の EC2 インスタンスへの接続に使用する IP アドレスを決定します。パブリック IP アドレスを決定するには、別のブラウザウィンドウまたはタブで、https://checkip.amazonaws.com のサービスを使用できます。IP アドレスの例は 203.0.113.25/32 です。

      多くの場合、インターネットサービスプロバイダー (ISP) 経由、またはファイアウォールの内側から静的 IP アドレスなしで接続することがあります。この場合は、クライアントコンピュータが使用する IP アドレスの範囲を検索します。

      警告

      SSH アクセスに 0.0.0.0/0 を使用すると、すべての IP アドレスが SSH を使ってパブリックインスタンスにアクセスできるようになります。この方法は、テスト環境で短時間なら許容できますが、実稼働環境では安全ではありません。実稼働環境では、特定の IP アドレスまたは特定のアドレス範囲にのみ、SSH を使ったインスタンスへのアクセスを限定します。

    2. [インバウンドルール] セクションで、[ルールの追加] を選択します。

    3. 新しいインバウンドルールに次の値を設定して、Amazon EC2 インスタンスへの SSH アクセスを許可します。このようにした後、EC2 インスタンスに接続してアプリケーションとその他のユーティリティをインストールできます。また、EC2 インスタンスに接続して、アプリケーション用のコンテンツをアップロードします。

      • タイプSSH

      • ソース — ステップ a で指定した IP アドレスまたはアドレス範囲 (203.0.113.25/32 など)

    4. [ルールを追加] を選択してください。

    5. 新しいインバウンドルールに次の値を設定して、アプリケーションに HTTP へのアクセスを許可します。

      • タイプHTTP

      • ソース0.0.0.0/0

  5. セキュリティグループを作成するには、[Create security group] (セキュリティグループの作成) を選択します。

    セキュリティグループ ID を書き留めます。別の手順で後に必要になります。

ステップ 3: プライベートクラスターの VPC セキュリティグループを作成する

クラスターをプライベートのままにするには、プライベートアクセス用の第 2 のセキュリティグループを作成します。VPC 内のプライベートクラスターに接続するには、アプリケーションからのトラフィックのみを許可するインバウンドルールを VPC セキュリティグループに追加します。

VPC セキュリティグループを作成するには

  1. https://console.aws.amazon.com/vpc で Amazon VPC コンソールを開きます。

  2. [VPC ダッシュボード]、[セキュリティグループ]、[セキュリティグループの作成] の順に選択します。

  3. [セキュリティグループの作成] ページで、以下の値を設定します。

    • セキュリティグループ名 - example-securitygroup

    • [Description] (説明) — Instance security group

    • VPC — 前に作成した VPC を選択します (例: vpc-example)

  4. インバウンドルールをセキュリティグループに追加します。

    1. [インバウンドルール] セクションで、[ルールの追加] を選択します。

    2. 新しいインバウンドルールに次の値を設定して、Amazon EC2 インスタンスからポート 27017 への DocumentDB トラフィックを許可します。これを実行した後、アプリケーションからクラスターに接続できます。そうすることで、アプリケーションからのデータをデータベースに保存および取得できるようになります。

      • タイプCustom TCP

      • [Source] (ソース) - このトピックで以前に作成したアプリケーションセキュリティグループの ID (例: sg-9edd5cfb)。

    3. [ルールを追加] を選択してください。

    4. 新しいインバウンドルールに次の値を設定して、アプリケーションに HTTP へのアクセスを許可します。

      • タイプHTTP

      • ソース0.0.0.0/0

  5. セキュリティグループを作成するには、[Create security group] (セキュリティグループの作成) を選択します。

ステップ 4: サブネットグループを作成する

サブネットグループは VPC に作成するサブネットのコレクションで、クラスター用に指定します。サブネットグループでは、クラスターの作成時に特定の VPC を指定することができます。

サブネットグループを作成するには

  1. VPC 内のデータベースのプライベートサブネットを特定します。

    1. https://console.aws.amazon.com/vpc で Amazon VPC コンソールを開きます。

    2. [VPC Dashboard] (VPC ダッシュボード) を選択してから、[Subnets] (サブネット) を選択します。

    3. 次の例のような名前のステップ 1 で作成したサブネットのサブネット ID に注意してください。例: example-subnet-private1-us-west-2aexample-subnet-private2-us-west-2b。サブネットグループを作成するときに、サブネット ID が必要です。

  2. にサインインし AWS マネジメントコンソール、https://console.aws.amazon.com/docdb で Amazon DocumentDB コンソールを開きます。

    Amazon VPC コンソールではなく、Amazon DocumentDB コンソールに接続してください。

  3. ナビゲーションペインで [サブネットグループ] を選択します。

  4. [作成] を選択します。

  5. [サブネットグループを作成する] ページで、[サブネットグループの詳細] セクションで値を設定します。

    • 名前example-db-subnet-group

    • [Description] (説明) — Instance security group

  6. [サブネットの追加] セクションで、これらの値を設定します。

    • VPC — 前に作成した VPC を選択します (例: vpc-example)

    • アベイラビリティーゾーン — ステップ 1 で作成した両方のアベイラビリティーゾーンを選択します。例: us-west-2a および us-west-2b

    • サブネット — ステップ 1 で作成したプライベートサブネットを選択します。

  7. [作成] を選択します。

DocumentDB コンソールのサブネットグループリストに新しいサブネットグループが表示されます。サブネットグループを選択すると、詳細ペインに、詳細を表示することができます。これらの詳細には、グループに関連付けられているすべてのサブネットが含まれます。

注記

この VPC を作成して DocumentDB クラスターに関連付ける場合は、「Amazon DocumentDB クラスターの作成」の手順に従ってクラスターを作成します。

VPC の削除

不要になった場合は、VPC および VPC 内で使用されている他のリソースを削除できます。

注記

このトピックで作成した VPC にリソースを追加した場合は、VPC を削除する前にこれらを削除しなければならない場合があります。例えば、これらのリソースには Amazon EC2 インスタンスや DocumentDB クラスター が含まれる場合があります。詳細については、「Amazon VPC ユーザーガイド」の「VPC の削除」を参照してください。

VPC および関連リソースを削除するには

  1. サブネットグループを削除するには、次のようにします。

    1. にサインインし AWS マネジメントコンソール、https://console.aws.amazon.com/docdb で Amazon DocumentDB コンソールを開きます。

    2. ナビゲーションペインで [サブネットグループ] を選択します。

    3. 削除するサブネットグループを選択します (例: example-db-subnet-group)。

    4. [削除] を選択してから、確認ウィンドウの [削除] を選択します。

  2. 次のようにして、VPC ID をメモします。

    1. https://console.aws.amazon.com/vpc で Amazon VPC コンソールを開きます。

    2. [VPC ダッシュボード] を選択してから、[VPC] を選択します。

    3. リストで、作成した VPC を特定します (vpc-example など)。

    4. 作成した VPC の [VPC ID] をメモします。後続のステップで VPC ID が必要になります。

  3. セキュリティグループを削除するには、次のようにします。

    1. https://console.aws.amazon.com/vpc で Amazon VPC コンソールを開きます。

    2. [VPC ダッシュボード] を選択してから、[セキュリティグループ] を選択します。

    3. Amazon DocumentDB クラスターのセキュリティグループを選択します (example-securitygroup など)。

    4. [Actions] (アクション) で、[Delete security groups] (セキュリティグループの削除) を選択してから、確認ダイアログで [Delete] (削除) を選択します。

    5. [Security Groups] (セキュリティグループ) ページに戻り、Amazon EC2 インスタンスのセキュリティグループを選択します (example-securitygroup など)。

    6. [Actions] (アクション) で、[Delete security groups] (セキュリティグループの削除) を選択してから、確認ダイアログで [Delete] (削除) を選択します。

  4. VPC の削除

    1. https://console.aws.amazon.com/vpc で Amazon VPC コンソールを開きます。

    2. [VPC ダッシュボード] を選択してから、[VPC] を選択します。

    3. 削除する VPC を選択します (vpc-example など)。

    4. [アクション] で、[VPC の削除] を選択します。

      確認ページには、VPC に関連付けられたサブネットを含め、削除される VPC に関連付けられているその他のリソースが表示されます。

    5. 確認ダイアログで、「delete」を入力してから、[削除] を選択します。