VPC でのスタックの実行

仮想プライベートクラウド (VPC) でスタックを作成することにより、スタックのインスタンスへのユーザーアクセスを制御できます。たとえば、スタックのアプリケーションサーバーまたはデータベースにユーザーが直接アクセスできるようにしたくない場合、代わりに、すべてのパブリックトラフィックが Elastic Load Balancing を経由するようにします。

VPC でスタックを実行するための基本的な手順は次のとおりです。

1. Amazon VPC コンソールまたは API を使用して、適切に設定された VPC を作成します。AWS CloudFormationテンプレートを作成します。

2. スタックを作成する際に VPC ID を指定します。

3. 適切なサブネットでスタックのインスタンスを起動します。

AWS OpsWorks スタックでの VPC の動作について、以下に簡単に説明します。

重要

VPC エンドポイント機能を使用する場合、スタックの各インスタンスが Amazon Simple Storage Service (Amazon S3) から次のアクションを完了できる必要があることに注意してください。

• インスタンスエージェントをインストールする。

• Ruby などの資産をインストールする。

• Chef の実行ログをアップロードする。

• スタックコマンドを取得する。

これらのアクションを有効にするには、スタックのインスタンスが、スタックのリージョンと一致する、以下のバケットにアクセスできる必要があります。それ以外の場合、前述のオペレーションは失敗します。

Chef 12 Linux および Chef 12.2 Windows の場合、バケットは次のとおりです。

エージェントバケット	資産バケット	ログバケット	DNA バケット
opsworks-instance-agent-sa-east-1 opsworks-instance-agent-ap-south-1 opsworks-instance-agent-ap-northeast-1 opsworks-instance-agent-ap-northeast-2 opsworks-instance-agent-ap-southeast-1 opsworks-instance-agent-ap-southeast-2 opsworks-instance-agent-ca-central-1 opsworks-instance-agent-eu-central-1 opsworks-instance-agent-eu-west-1 opsworks-instance-agent-eu-west-2 opsworks-instance-agent-eu-west-3 opsworks-instance-agent-us-east-1 opsworks-instance-agent-us-east-2 opsworks-instance-agent-us-west-1 opsworks-instance-agent-us-west-2	opsworks-instance-assets-us-east-2 opsworks-instance-assets-us-east-1 opsworks-instance-assets-ap-south-1 opsworks-instance-assets-ap-northeast-1 opsworks-instance-assets-ap-northeast-2 opsworks-instance-assets-ap-southeast-1 opsworks-instance-assets-ap-southeast-2 opsworks-instance-assets-ca-central-1 opsworks-instance-assets-eu-central-1 opsworks-instance-assets-eu-west-1 opsworks-instance-assets-eu-west-2 opsworks-instance-assets-eu-west-3 opsworks-instance-assets-sa-east-1 opsworks-instance-assets-us-west-1 opsworks-instance-assets-us-west-2	opsworks-us-east-2-log opsworks-us-east-1-log opsworks-ap-south-1-log opsworks-ap-northeast-1-log opsworks-ap-northeast-2-log opsworks-ap-southeast-1-log opsworks-ap-southeast-2-log opsworks-ca-central-1-log opsworks-eu-central-1-log opsworks-eu-west-1-log opsworks-eu-west-2-log opsworks-eu-west-3-log opsworks-sa-east-1-log opsworks-us-west-1-log opsworks-us-west-2-log	opsworks-us-east-2-dna opsworks-us-east-1-dna opsworks-ap-south-1-dna opsworks-ap-northeast-1-dna opsworks-ap-northeast-2-dna opsworks-ap-southeast-1-dna opsworks-ap-southeast-2-dna opsworks-ca-central-1-dna opsworks-eu-central-1-dna opsworks-eu-west-1-dna opsworks-eu-west-2-dna opsworks-eu-west-3-dna opsworks-sa-east-1-dna opsworks-us-west-1-dna opsworks-us-west-2-dna

Linux 用 Chef 11.10 以前のバージョンの場合、バケットは次のとおりです。Chef 11.4 スタックは、米国東部 (バージニア北部) リージョン外のリージョンエンドポイントでサポートされていません。

エージェントバケット	資産バケット	ログバケット	DNA バケット
opsworks-instance-agent-us-east-2 opsworks-instance-agent-us-east-1 opsworks-instance-agent-ap-south-1 opsworks-instance-agent-ap-northeast-1 opsworks-instance-agent-ap-northeast-2 opsworks-instance-agent-ap-southeast-1 opsworks-instance-agent-ap-southeast-2 opsworks-instance-agent-ca-central-1 opsworks-instance-agent-eu-central-1 opsworks-instance-agent-eu-west-1 opsworks-instance-agent-eu-west-2 opsworks-instance-agent-eu-west-3 opsworks-instance-agent-us-east-1 opsworks-instance-agent-us-west-1 opsworks-instance-agent-us-west-2	opsworks-instance-assets-us-east-2 opsworks-instance-assets-us-east-1 opsworks-instance-assets-ap-south-1 opsworks-instance-assets-ap-northeast-1 opsworks-instance-assets-ap-northeast-2 opsworks-instance-assets-ap-southeast-1 opsworks-instance-assets-ap-southeast-2 opsworks-instance-assets-ca-central-1 opsworks-instance-assets-eu-central-1 opsworks-instance-assets-eu-west-1 opsworks-instance-assets-eu-west-2 opsworks-instance-assets-eu-west-3 opsworks-instance-assets-sa-east-1 opsworks-instance-assets-us-west-1 opsworks-instance-assets-us-west-2	prod_stage-log	prod_stage-dna

詳細については、「VPC エンドポイント」を参照してください。

注記

有効にした VPC エンドポイントに AWS OpsWorks スタックから接続するためには、AWS OpsWorks スタックエージェントによるパブリックエンドポイントへのアクセスが必要であるため、NAT またはパブリック IP のルーティングも設定する必要があります。

VPC の基本

VPC の詳細については、「Amazon Virtual Private Cloud ユーザーガイド」を参照してください。端的に言えば、VPC は 1 つ以上のサブネットで構成され、各サブネットには 1 つ以上のインスタンスが含まれています。また、各サブネットには、送信先 IP アドレスに基づいてアウトバウンドトラフィックを送信する、関連付けられたルーティングテーブルがあります。

• VPC にあるインスタンスはサブネットに関係なくデフォルトで相互に通信できます。ただし、ネットワークアクセスコントロールリスト (ACL) やセキュリティグループポリシーを変更したり静的 IP アドレスを使用すると、この通信を遮断してしまう可能性があります。

• サブネットのインスタンスがインターネットと通信できる場合、このサブネットはパブリックサブネットと呼ばれます。

• サブネットのインスタンスが VPC 内の他のインスタンスとのみ通信でき、インターネットとは直接通信できない場合、このサブネットはプライベートサブネットと呼ばれます。

AWS OpsWorks スタックでは、プライベートサブネットのインスタンスを含むスタック内のすべてのインスタンスが次のエンドポイントにアクセスできるように VPC を設定する必要があります。

• 「AWS OpsWorks」の「リージョンのサポート」セクションに記載されている AWS OpsWorks スタックの開始方法 スタックサービスエンドポイントのいずれか。

• AWS OpsWorks スタックエージェントによって使用される以下のインスタンスサービスエンドポイントのいずれか。エージェントは、マネージドカスタマーインスタンスで実行され、サービスとデータを交換します。

  • opsworks-instance-service.us-east-2.amazonaws.com

  • opsworks-instance-service.us-east-1.amazonaws.com

  • opsworks-instance-service.us-west-1.amazonaws.com

  • opsworks-instance-service.us-west-2.amazonaws.com

  • opsworks-instance-service.ap-south-1.amazonaws.com

  • opsworks-instance-service.ap-northeast-1.amazonaws.com

  • opsworks-instance-service.ap-northeast-2.amazonaws.com

  • opsworks-instance-service.ap-southeast-1.amazonaws.com

  • opsworks-instance-service.ap-southeast-2.amazonaws.com

  • opsworks-instance-service.ca-central-1.amazonaws.com

  • opsworks-instance-service.eu-central-1.amazonaws.com

  • opsworks-instance-service.eu-west-1.amazonaws.com

  • opsworks-instance-service.eu-west-2.amazonaws.com

  • opsworks-instance-service.eu-west-3.amazonaws.com

• Amazon S3

• オペレーティングシステムに応じたパッケージリポジトリ (Amazon Linux や Ubuntu Linux のリポジトリなど)。

• 使用するアプリケーションとカスタムクックブックのリポジトリ

この接続が可能になるように VPC を設定する方法はさまざまです。次に示すのは、AWS OpsWorks スタックアプリケーションサーバースタックに対応するように VPC を設定した場合の簡単な例です。

この VPC には複数のコンポーネントがあります。

Subnets

この VPC には 2 つのサブネットがあります。1 つはパブリック、もう 1 つはプライベートです。

• パブリックサブネットには、ロードバランサーとネットワークアドレス変換 (NAT) デバイスがあり、外部アドレスおよびプライベートサブネットのインスタンスと通信できます。

• プライベートサブネットにはアプリケーションサーバーがあり、パブリックサブネットの NAT およびロードバランサーと通信できますが、外部アドレスとは直接通信できません。

インターネットゲートウェイ

インターネットゲートウェイがある場合は、パブリック IP アドレスを使用するインスタンス (ロードバランサーなど) が VPC 外のアドレスと通信できます。

ロードバランサー

Elastic Load Balancing ロードバランサーは、ユーザーからの着信トラフィックを処理し、プライベートサブネットのアプリケーションサーバーに配信して、ユーザーにレスポンスを返します。

NAT

NAT デバイスは、アプリケーションサーバーが制限付きでインターネットにアクセスできるようにします。通常は、外部リポジトリからソフトウェア更新をダウンロードするなどの目的で使用されます。すべての AWS OpsWorks スタックインスタンスは、AWS OpsWorks スタックおよび適切な Linux リポジトリと通信できる必要があります。この問題に対処する方法の 1 つは、関連付けられた Elastic IP アドレスを使用する NAT デバイスをパブリックサブネット内に配置することです。そうすれば、プライベートサブネット内のインスタンスからのアウトバウンドトラフィックを NAT を介してルーティングすることができます。

注記

NAT インスタンスが 1 つあれば、プライベートサブネットのアウトバウンドトラフィックに単一障害点が生まれます。一方に障害が発生した場合に互いにその機能を引き継ぐ NAT インスタンスのペアを使用して VPC を設定することで、信頼性を向上させることができます。詳細については、「Amazon VPC NAT インスタンスの高可用性」を参照してください。NAT ゲートウェイを使用することもできます。詳細については、「」を参照してください。NAT()Amazon VPC ユーザーガイド。

最適な VPC 設定は、AWS OpsWorks スタックスタックによって異なります。特定の VPC 設定を使用する場合のいくつかの例を次に示します。その他の VPC のシナリオの例については、「Amazon VPC のシナリオ」を参照してください。

パブリックサブネットで 1 つのインスタンスを使用する

パブリックにアクセス可能にしてはならない Amazon RDS インスタンスなど、プライベートリソースが関連付けられていない単一インスタンススタックがある場合、パブリックサブネットを 1 つ持つ VPC を作成し、そのサブネットにそのインスタンスを配置できます。デフォルトの VPC を使用しない場合、このインスタンスの Layer では Elastic IP アドレスをこのインスタンスに割り当てる必要があります。詳細については、「OpsWorks Layer の基本」を参照してください。

プライベートリソースを使用する

パブリックにアクセス可能にしてはならないリソースがある場合は、パブリックサブネット 1 つとプライベートサブネット 1 つを持つ VPC を作成できます。たとえば、負荷分散環境では、すべての Amazon EC2 インスタンスをプライベートサブネットに、ロードバランサーをパブリックサブネットに配置できます。このようにすると、Amazon EC2 インスタンスにインターネットから直接アクセスすることはできませんが、すべての着信トラフィックはロードバランサー経由でルーティングされます。

プライベートサブネットでは、Amazon EC2 のダイレクトユーザーアクセスからインスタンスを分離しますが、AWS および Linux パッケージリポジトリにアウトバウンドリクエストを送信する必要があります。このようなリクエストを許可するために、たとえば、固有の Elastic IP アドレスを持つネットワークアドレス変換 (NAT) デバイスを使用し、NAT 経由でインスタンスのアウトバウンドトラフィックをルーティングすることができます。前の例に示すように、NAT はロードバランサーと同じパブリックサブネットに配置できます。

• Amazon RDS インスタンスなどのバックエンドデータベースを使用している場合は、それらのインスタンスをプライベートサブネットに配置できます。Amazon RDS インスタンスの場合、異なるアベイラビリティーゾーンのサブネットを少なくとも 2 つ指定する必要があります。

• プライベートサブネット内のインスタンスに直接アクセスする必要がある場合（SSH を使用してインスタンスにログインする場合など）は、インターネットからのリクエストをプロキシする拠点ホストをパブリックサブネットに配置できます。

独自のネットワークを AWS に拡張する

独自のネットワークをクラウドに拡張し、VPC からインターネットへの直接アクセスを可能にする必要がある場合は、VPN ゲートウェイを作成できます。詳細については、「」を参照してください。シナリオ 3: パブリックサブネットとプライベートサブネット、およびハードウェア VPN アクセスを持つ VPC。

AWS OpsWorks スタックスタックの VPC の作成

このセクションでは、サンプルの AWS OpsWorksAWS CloudFormation テンプレートを使用することで、 スタックスタックの VPC を作成する方法について説明します。このテンプレートは、OpsWorksVPCtemplates.zip ファイルでダウンロードできます。このトピックで説明するように VPC を手動で作成する方法の詳細については、シナリオ 2: パブリックサブネットとプライベートサブネットを持つ VPC。ルーティングテーブル、セキュリティグループなどを設定する方法の詳細については、サンプルテンプレートを参照してください。

注記

デフォルトでは、10.0.0.1/24 - us-east-1b など、CIDR 範囲とアベイラビリティーゾーンを連結したサブネット名が、AWS OpsWorks スタックで表示されます。名前をよりわかりやすくするには、各サブネットのタグをキーは、に設定されます。Nameおよび値をサブネット名に設定します。AWS OpsWorksスタックは、このサブネット名をデフォルト名に追加します。たとえば、次のプライベートサブネットには [Name] が Private に設定されたタグがあり、OpsWorks では 10.0.0.1/24 us-east - 1b - Private のように表示されます。

AWS CloudFormation コンソールを使用して、わずかのステップで VPC でテンプレートを起動できます。次の手順では、サンプルテンプレートを使用して、米国東部 (バージニア北部) リージョンに VPC を作成します。テンプレートを使用してその他のリージョンに VPC を作成する方法については、手順の後の注意を参照してください。

VPC を作成するには

1. AWS CloudFormation コンソールを開き、[米国東部 (バージニア北部)] リージョンを選択し、[スタックの作成] を選びます。

2. [Select Template] ページで、[Upload a template] を選択します。「」を参照してください。OpsWorksinVPC.templateでダウンロードしたOpsWorksVPCtemplates.zip ファイル。選択 続行。

   

   また、「AWS CloudFormation サンプルテンプレート」を開き、AWS OpsWorks スタック VPC のテンプレートを見つけ、[Launch Stack] を選択して、このスタックを起動することもできます。

3. [Specify Parameters (パラメータを指定)] ページで、デフォルトの値をそのまま使用して、[Continue (続行)] を選択します。

4. [Add Tags (タグの追加)] ページで、[Key] を Name に、[Value] を VPC の名前に設定してタグを作成します。このタグにより、AWS OpsWorks スタックスタックの作成時に VPC を識別しやすくなります。

5. [Continue (続行)] を選択し、[Close (閉じる)] を選択して、スタックを起動します。

注意: 次のいずれかの方法で、他のリージョンに VPC を作成できます。

• [Using Templates in Different Regions (異なるリージョンでのテンプレートの使用)] で適切なリージョンを選択し、AWS OpsWorks スタック VPC のテンプレートを見つけて、[Launch Stack] を選びます。

• テンプレートファイルをシステムにコピーし、AWS CloudFormation コンソールで適切なリージョンを選択し、[スタックの作成] ウィザードの [テンプレートを Amazon S3 へのアップロード] オプションを使用して、システムからテンプレートをアップロードします。

サンプルテンプレートには、AWS OpsWorks スタックの作成に必要な VPC、サブネット、およびロードバランサー ID を提供する出力が含まれています。それらを表示するには、出力の下部にある [AWS CloudFormationコンソールウィンドウを開きます。