Amazon Virtual Private Cloud
ユーザーガイド

シナリオ 3: パブリックサブネット、プライベートサブネット、および AWS Site-to-Site VPN アクセスを持つ VPC

このシナリオの設定には、パブリックサブネットとプライベートサブネットを持つ Virtual Private Cloud (VPC)、および IPsec VPN トンネルを介した独自のネットワークとの通信を有効にする仮想プライベートゲートウェイが含まれます。このシナリオは、ネットワークをクラウドに拡張し、さらに、VPC からインターネットに直接アクセスする必要がある場合にお勧めします。このシナリオを使用すると、スケーラブルなウェブフロントエンドを持つ多階層のアプリケーションをパブリックサブネットで実行し、IPsec AWS Site-to-Site VPN 接続で自ネットワークに接続されているプライベートサブネット内にデータを保存できます。

このシナリオは、オプションで IPv6 にも設定することができます。VPC ウィザードを使用して、IPv6 CIDR ブロックを関連付けた VPC およびサブネットを作成できます。サブネット内に起動されたインスタンスは、IPv6 アドレスを取得できます。現時点では、Site-to-Site VPN での IPv6 通信はサポートされていません。ただし、VPC 内のインスタンスは IPv6 で互いに通信でき、パブリックサブネット内のインスタンスは IPv6 でインターネット経由で通信できます。IPv4 アドレスと IPv6 アドレスの詳細については、「VPC の IP アドレス指定」を参照してください。

概要

次の図は、このシナリオの設定に重要なコンポーネントを示しています。


				シナリオ 3 の図: パブリックサブネットとプライベートサブネット、および VPN アクセスを持つ VPC

重要

このシナリオに関して、Site-to-Site VPN 接続のユーザー側で Amazon VPC カスタマーゲートウェイを設定するためにネットワーク管理者に必要な操作が Amazon VPC ネットワーク管理者ガイドで説明されています。

このシナリオの設定には、以下の項目が含まれています。

  • IPv4 CIDR ブロックサイズが /16 (例: 10.0.0.0/16) の Virtual Private Cloud (VPC)。65,536 個のプライベート IPv4 アドレスを提供します。

  • IPv4 CIDR ブロックサイズが /24 (例: 10.0.0.0/24) のパブリックサブネット。256 個のプライベート IPv4 アドレスを提供します。パブリックサブネットは、インターネットゲートウェイへのルートが含まれているルートテーブルに関連付けられているサブネットです。

  • IPv4 CIDR ブロックサイズが /24 (例: 10.0.1.0/24) の VPN 専用サブネット。256 個のプライベート IPv4 アドレスを提供します。

  • インターネットゲートウェイ。VPC をインターネットおよび他の AWS サービスに接続します。

  • VPC と自ネットワークの間の Site-to-Site VPN 接続。この Site-to-Site VPN 接続は、Site-to-Site VPN 接続の Amazon 側にある仮想プライベートゲートウェイと、Site-to-Site VPN 接続のお客様側にあるカスタマーゲートウェイで構成されています。

  • プライベート IPv4 アドレスがサブネットの範囲内 (例: 10.0.0.5 と 10.0.1.5) であるインスタンス。インスタンスが VPC 内で相互に、かつ他のインスタンスと通信できるようにします。

  • Elastic IP アドレス (例: 198.51.100.1) を持つパブリックサブネットのインスタンス。Elastic IP アドレスは、インターネットからインスタンスにアクセスできるようにするパブリック IPv4 アドレスです。インスタンスには、起動時に Elastic IP アドレスではなくパブリック IPv4 アドレスを割り当てることができます。VPN のみのサブネットのインスタンスは、インターネットからの受信トラフィックを受け取る必要がないバックエンドサーバーです。ただし、ネットワークからのトラフィックを送受信できます。

  • パブリックサブネットに関連付けられているカスタムルートテーブル。このルートテーブルには、サブネットのインスタンスが VPC 内の他のインスタンスと通信できるようにするエントリと、サブネットのインスタンスがインターネットと直接通信できるようにするエントリが含まれます。

  • VPN のみのサブネットに関連付けられているメインルートテーブル。ルートテーブルには、サブネットのインスタンスが VPC 内の他のインスタンスと通信できるようにするエントリと、サブネットのインスタンスがネットワークと直接通信できるようにするエントリが含まれます。

サブネットの詳細については、「VPC とサブネット」および「VPC の IP アドレス指定」を参照してください。インターネットゲートウェイの詳細については、「インターネットゲートウェイ」を参照してください。AWS Site-to-Site VPN 接続の詳細については、AWS Site-to-Site VPN ユーザーガイドの「AWS Site-to-Site VPN とは」を参照してください。カスタマーゲートウェイの設定の詳細については、「Amazon VPC ネットワーク管理者ガイド」を参照してください。

IPv6 の概要

オプションでこのシナリオの IPv6 を有効にできます。上記のコンポーネントに加えて、この設定には、次に示す情報が含まれます。

  • VPC に関連付けられたサイズ /56 の IPv6 CIDR ブロック (例: 2001:db8:1234:1a00::/56)。AWS の CIDR は自動的に割り当てられます。独自にアドレス範囲を選択することはできません。

  • パブリックサブネットに関連付けられたサイズ /64 の IPv6 CIDR ブロック (例: 2001:db8:1234:1a00::/64)。VPC に割り当てられた範囲からサブネットの範囲を選択できます。IPv6 CIDR のサイズを選択することはできません。

  • VPN 専用サブネットに関連付けられたサイズ /64 の IPv6 CIDR ブロック (例: 2001:db8:1234:1a01::/64)。VPC に割り当てられた範囲からサブネットの範囲を選択できます。IPv6 CIDR のサイズを選択することはできません。

  • サブネットの範囲からのインスタンスに割り当てられていた IPv6 アドレス (例: 2001:db8:1234:1a00::1a)。

  • カスタムエントリテーブル内のルートテーブルエントリ。パブリックサブネットのインスタンスが IPv6 を使用して相互通信したり、インターネット経由で直接通信したりできるようにします。

  • メインルートテーブルのルートテーブル エントリ。VPN のみのサブネットのインスタンスが、IPv6 を使用して相互に通信できるようにします。


					パブリックサブネットと VPN 専用サブネットを持つ IPv6 対応 VPC

ルーティング

VPC には暗示的なルーターがあります (このシナリオの設定図を参照)。このシナリオでは、VPC ウィザードによって、VPN のみのサブネットで使用されるメインルートテーブルを更新し、カスタムルートテーブルを作成してパブリックサブネットに関連付けます。

VPN のみのサブネットのインスタンスはインターネットに直接接続することはできません。インターネット宛てのトラフィックはすべて、まず仮想プライベートゲートウェイを経由してネットワークに向かいます。そこでは、ファイアウォールと企業のセキュリティポリシーが適用されます。インスタンスが AWS 宛てのトラフィック(Amazon S3 または Amazon EC2 API へのリクエストなど)を送信する場合、リクエストは仮想プライベートゲートウェイを介してネットワークに向かい、AWS に到達する前にインターネットに達する必要があります。現時点では、Site-to-Site VPN 接続での IPv6 通信はサポートされていません。

ヒント

ネットワークからのトラフィックで、パブリックサブネットのインスタンスの Elastic IP アドレスに向かうものはすべて、仮想プライベートゲートウェイではなく、インターネットを経由します。代わりに、ネットワークからのトラフィックでパブリックサブネットに向かうものが仮想プライベートゲートウェイを経由できるように、ルートとセキュリティグループのルールを設定することができます。

Site-to-Site VPN 接続は、静的にルーティングされる Site-to-Site VPN 接続または動的にルーティングされる Site-to-Site VPN 接続 (BGP を使用) のいずれかとして設定されます。静的なルーティングを選択すると、Site-to-Site VPN 接続を作成するときに、ネットワークの IP プレフィックスを手動で入力するように求められます。動的なルーティングを選択すると、IP プレフィックスは、BGP を使用して VPC の仮想プライベートゲートウェイに自動的にアドバタイズされます。

以下の表は、このシナリオのルートテーブルを示しています。

メインルートテーブル

最初のエントリは、VPC のローカルルーティングのデフォルトエントリです。このエントリによって、VPC 内のインスタンスが IPv4 を使用して相互に通信できるようになります。2 番目のエントリは、仮想プライベートゲートウェイ (例: vgw-1a2b3c4d) を介してプライベートサブネットからご利用のネットワークに他のすべての IPv4 サブネットトラフィックをルーティングします。

送信先 Target

10.0.0.0/16

ローカル

0.0.0.0/0

vgw-id

カスタムルートテーブル

最初のエントリは、VPC のローカルルーティングのデフォルトエントリです。このエントリによって、VPC 内のインスタンスが相互に通信できるようになります。2 番目のエントリは、インターネットゲートウェイ (例: igw-1a2b3c4d) を介してパブリックサブネットからインターネットに他のすべての IPv4 サブネットトラフィックをルーティングします。

送信先 Target

10.0.0.0/16

ローカル

0.0.0.0/0

igw-id

代替ルーティング

プライベートサブネットのインスタンスからインターネットにアクセスする場合、パブリックサブネットでネットワークアドレス変換 (NAT) ゲートウェイまたはインスタンスを作成し、サブネットのインターネット宛てのトラフィックが NAT デバイスに向かうようにルーティングを設定することもできます。これにより、VPN のみのサブネットのインスタンスから、インターネットゲートウェイ経由でリクエストを送信できるようになります (例: ソフトウェアをアップデートする場合)。

NAT デバイスの手動設定の詳細については、「NAT」を参照してください。VPC ウィザードを使用した NAT デバイスの設定については、「シナリオ 2: パブリックサブネットとプライベートサブネットを持つ VPC (NAT)」を参照してください。

プライベートサブネットのインターネット宛てのトラフィックが NAT デバイスにアクセスできるようにするには、メインルートテーブルを次のように更新する必要があります。

最初のエントリは、VPC のローカルルーティングのデフォルトエントリです。2 行目のエントリは、カスタマーネットワーク (この場合、ローカルネットワークの IP アドレスは 172.16.0.0/12 とします) 向けのサブネットトラフィックを仮想プライベートゲートウェイにルーティングします。3 番目のエントリは、他のすべてのサブネットトラフィックを NAT ゲートウェイに送信します。

送信先 Target

10.0.0.0/16

ローカル

172.16.0.0/12

vgw-id

0.0.0.0/0

nat-gateway-id

IPv6 のルーティング

IPv6 CIDR ブロックを VPC およびサブネットと関連付ける場合は、IPv6 トラフィックの別のルートをルートテーブルに含める必要があります。VPC 内の IPv6 通信を有効化した場合のシナリオのルートテーブルを次の表に示します。

メインルートテーブル

2 番目のエントリは、IPv6 経由で VPC 内のローカルルーティングに自動的に追加されたデフォルトルートです。

送信先 Target

10.0.0.0/16

ローカル

2001:db8:1234:1a00::/56

ローカル

0.0.0.0/0

vgw-id

カスタムルートテーブル

2 番目のエントリは、IPv6 経由で VPC 内のローカルルーティングに自動的に追加されたデフォルトルートです。4 番目のエントリは、他のすべての IPv6 サブネットトラフィックをインターネットゲートウェイにルーティングします。

送信先 Target

10.0.0.0/16

ローカル

2001:db8:1234:1a00::/56

ローカル

0.0.0.0/0

igw-id

::/0

igw-id

セキュリティ

AWS では、セキュリティグループネットワーク ACL という 2 つの機能を使用して、VPC のセキュリティを強化できます。セキュリティグループは、インスタンスのインバウンドトラフィックとアウトバウンドトラフィックをコントロールします。ネットワーク ACL は、サブネットのインバウンドトラフィックとアウトバウンドトラフィックをコントロールします。通常、セキュリティグループで用が足りますが、VPC に追加のセキュリティレイヤーが必要な場合は、ネットワーク ACL を使用することもできます。詳細については、「セキュリティ」を参照してください。

シナリオ 3 では、セキュリティグループを使用しますが、ネットワーク ACL は使用しません。ネットワーク ACL を使用する場合は、「シナリオ 3 に推奨されるルール」を参照してください。

VPC には、デフォルトのセキュリティグループが用意されています。VPC 内に起動されるインスタンスは、起動時に別のセキュリティグループを指定しないと、デフォルトのセキュリティグループに自動的に関連付けられます。このシナリオでは、デフォルトのセキュリティグループを使用するのではなく、以下のセキュリティグループを作成することをお勧めします。

  • WebServerSG: パブリックサブネットでウェブサーバーを起動するときに、このセキュリティグループを指定します。

  • DBServerSG: VPN のみのサブネットでデータベースサーバーを起動するときに、このセキュリティグループを指定します。

セキュリティグループに割り当てられたインスタンスのサブネットは様々です。ただし、このシナリオでは、各セキュリティグループがインスタンスの役割の種類に対応しており、役割ごとにインスタンスが特定のサブネットに属さなければなりません。したがって、このシナリオでは、1 つのセキュリティグループに割り当てられたインスタンスはすべて、同じサブネットに属しています。

次の表では、WebServerSG セキュリティグループの推奨ルールについて説明します。このルールにより、ウェブサーバーがインターネットトラフィックを受信したり、ご利用のネットワークから SSH や RDP トラフィックを受信したりできます。また、ウェブサーバーは VPN のみのサブネットで、データベースサーバーへのリクエストの読み取り/書き込みを開始し、インターネットにトラフィックを送信できます (たとえば、ソフトウェアの更新プログラムを取得するなど)。ウェブサーバーがその他のアウトバウンド通信を開始しないため、デフォルトのアウトバウンドルールは削除されます。

注記

グループには SSH アクセスと RDP アクセスの両方、および Microsoft SQL Server アクセスと MySQL アクセスの両方が含まれます。この場合は、Linux (SSH および MySQL) または Windows (RDP および Microsoft SQL Server) に対するルールのみで十分かもしれません。

WebServerSG: 推奨ルール

インバウンド
送信元 プロトコル ポート範囲 コメント

0.0.0.0/0

TCP

80

任意の IPv4 アドレスからウェブサーバーへのインバウンド HTTP アクセスを許可する。

0.0.0.0/0

TCP

443

任意の IPv4 アドレスからウェブサーバーへのインバウンド HTTPS アクセスを許可する。

ネットワークのパブリック IP アドレス範囲

TCP

22

ネットワークから Linux インスタンスへのインバウンド SSH アクセス (インターネットゲートウェイ経由) を許可します。

ネットワークのパブリック IP アドレス範囲

TCP

3389

ネットワークから Windows インスタンスへのインバウンド RDP アクセス (インターネットゲートウェイ経由) を許可します。

アウトバウンド

DBServerSG セキュリティグループの ID

TCP

1433

DBServerSG に割り当てられたデータベースサーバーへのアウトバウンド Microsoft SQL Server アクセスを許可する.

DBServerSG セキュリティグループの ID

TCP

3306

DBServerSG に割り当てられたデータベースサーバーへのアウトバウンド MySQL アクセスを許可する.

0.0.0.0/0

TCP

80

インターネットへのアウトバウンド HTTP アクセスを許可する。

0.0.0.0/0

TCP

443

インターネットへのアウトバウンド HTTPS アクセスを許可する。

次の表では、DBServerSG セキュリティグループの推奨ルールについて説明します。このルールにより、ウェブサーバーからの Microsoft SQL Server と MySQL の読み取りおよび書き込みリクエストと、ご利用のネットワークからの SSH および RDP トラフィックが許可されます。また、データベースサーバーは、インターネットへのトラフィックを開始することもできます (ルートテーブルは、そのトラフィックを仮想プライベートゲートウェイを介して送信します)。

DBServerSG: 推奨ルール

インバウンド
送信元 プロトコル ポート範囲 コメント

WebServerSG セキュリティグループの ID

TCP

1433

WebServerSG セキュリティグループに関連付けられたウェブサーバーからのインバウンド Microsoft SQL Server アクセスを許可する。

WebServerSG セキュリティグループの ID

TCP

3306

WebServerSG セキュリティグループに関連付けられたウェブサーバーからのインバウンド MySQL Server アクセスを許可する。

ネットワークの IPv4 アドレス範囲

TCP

22

ネットワークから Linux インスタンスへのインバウンド SSH トラフィック (仮想プライベートゲートウェイ経由) を許可します。

ネットワークの IPv4 アドレス範囲

TCP

3389

ネットワークから Windows インスタンスへのインバウンド RDP トラフィック (仮想プライベートゲートウェイ経由) を許可します。

アウトバウンド

送信先 プロトコル ポート範囲 コメント

0.0.0.0/0

TCP

80

仮想プライベートゲートウェイを介したインターネットへのアウトバウンド IPv4 HTTP アクセス (例: ソフトウェアアップデート) を許可する。

0.0.0.0/0

TCP

443

仮想プライベートゲートウェイを介したインターネットへのアウトバウンド IPv4 HTTPS アクセス (例: ソフトウェアアップデート) を許可する。

(オプション) VPC のデフォルトのセキュリティグループには、割り当てられたインスタンス間で相互に通信することを自動的に許可するルールがあります。そのような通信をカスタムセキュリティグループに許可するには、以下のルールを追加する必要があります。

インバウンド
送信元 プロトコル ポート範囲 コメント

セキュリティグループの ID

すべて

すべて

このセキュリティグループに割り当てられた他のインスタンスからのインバウンドトラフィックを許可する。

アウトバウンド
送信先 プロトコル ポート範囲 コメント
セキュリティグループの ID すべて すべて このセキュリティグループに割り当てられた他のインスタンスへのアウトバウンドトラフィックを許可する。

IPv6 のセキュリティ

IPv6 CIDR ブロックを VPC およびサブネットと関連付ける場合は、別のルールを WebServerSG および DBServerSG セキュリティグループに追加して、インバウンドおよびアウトバウンドの IPv6 トラフィックを制御する必要があります。このシナリオでは、ウェブサーバーは、IPv6 経由ですべてのインターネットトラフィックを受信したり、IPv6 経由でローカルネットワークから SSH または RDP トラフィックを受信したりできます。また、インターネットへのアウトバウンド IPv6 トラフィックを開始することもできます。データベースサーバーは、アウトバウンド IPv6 トラフィックを開始することはできません。したがって、セキュリティグループルールを追加する必要はありません。

WebServerSG セキュリティグループの IPv6 固有ルールを次に示します (上記のルールは含まない)。

インバウンド
送信元 プロトコル ポート範囲 コメント

::/0

TCP

80

任意の IPv6 アドレスからウェブサーバーへのインバウンド HTTP アクセスを許可する。

::/0

TCP

443

任意の IPv6 アドレスからウェブサーバーへのインバウンド HTTPS アクセスを許可する。

ネットワークの IPv6 アドレス範囲

TCP

22

(Linux インスタンス) ネットワークからの IPv6 経由のインバウンド SSH アクセスを許可する。

ネットワークの IPv6 アドレス範囲

TCP

3389

(Windows インスタンス) ネットワークからの IPv6 経由のインバウンド RDP アクセスを許可する

アウトバウンド
送信先 プロトコル ポート範囲 コメント
::/0 TCP HTTP 任意の IPv6 アドレスへのアウトバウンド HTTP アクセスを許可します
::/0 TCP HTTPS 任意の IPv6 アドレスへのアウトバウンド HTTPS アクセスを許可します

シナリオ 3 を実装する

シナリオ 3 を実装するには、カスタマーゲートウェイに関する情報を取得し、VPC ウィザードを使用して VPC を作成します。VPC ウィザードでは、カスタマーゲートウェイと仮想プライベートゲートウェイを使用して Site-to-Site VPN 接続が作成されます。

この手順には、VPC の IPv6 通信を有効化して設定するオプションのステップが含まれます。VPC 内で IPv6 を使用する場合は、上記のステップを実行する必要はありません。

カスタマーゲートウェイを準備するには

  1. カスタマーゲートウェイとして使用するデバイスを決めます。テストしたデバイスの詳細については、Amazon Virtual Private Cloud のよくある質問を参照してください。カスタマーゲートウェイの要件の詳細については、「Amazon VPC ネットワーク管理者ガイド」を参照してください。

  2. カスタマーゲートウェイの外部インターフェイスのインターネットルーティングが可能な IP アドレスを取得します。このアドレスは静的である必要があります。また、ネットワークアドレス変換 (NAT) を実行するデバイスの背後のアドレスを使用することができます。

  3. 静的にルーティングされる Site-to-Site VPN 接続を作成する場合は、Site-to-Site VPN 接続全体で仮想プライベートゲートウェイにアドバタイズする内部 IP 範囲の (CIDR 表記の) リストを取得します。詳細については、AWS Site-to-Site VPN ユーザーガイドの「ルートテーブルと VPN ルートの優先度」を参照してください。

VPC ウィザードを使用して VPC を作成するには

  1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。

  2. ダッシュボードで、[VPC ウィザードの起動] を選択します。

    
						Amazon VPC ダッシュボード
  3. 3 つ目のオプション [パブリックとプライベートサブネットおよびハードウェア VPN アクセスを持つ VPC] を選択してから、[Select] (選択) を選択します。

  4. [パブリックとプライベートサブネットおよびハードウェア VPN アクセスを持つ VPC] ページで、以下の操作を行います。

    1. (オプション) VPC とサブネットの IPv4 CIDR ブロック範囲を変更するか、デフォルト値のままにします。

    2. (オプション) VPC とサブネットに名前を付けます。これは、後でコンソールでその VPC とサブネットを見つけるのに役立ちます。

    3. (オプション、IPv6 のみ) [IPv6 CIDR block] で、[Amazon-provided IPv6 CIDR block] を選択します。[パブリックサブネットの IPv6 CIDR] で、[カスタム IPv6 CIDR を指定する] を選択し、16 進法でサブネットのキーペア値を選択するか、デフォルト値のままにします。[Private subnet's IPv6 CIDR] で、[Specify a custom IPv6 CIDR] を選択します。16 進法で IPv6 サブネットのキーペア値を選択するか、デフォルト値のままにします。

    4. [次へ] を選択します。

  5. [VPN の設定] ページで、以下の操作を行います。

    1. [カスタマーゲートウェイ IP] で、VPN ルーターのパブリック IP アドレスを指定します。

    2. (オプション) カスタマーゲートウェイと Site-to-Site VPN 接続に名前を付けます。

    3. [ルーティングの種類] で、ルーティングオプションのいずれかを選択します。詳細については、AWS Site-to-Site VPN ユーザーガイドの「Site-to-Site VPN のルーティングオプション」を参照してください。

      • VPN ルーターでボーダーゲートウェイプロトコル (BGP) がサポートされている場合は、[Dynamic (requires BGP)] を選択します。

      • VPN ルーターが BGP をサポートしていない場合は、[Static] を選択します。[IP プレフィックス] で、ネットワークの各 IP 範囲を CIDR 表記で追加します。

    4. [VPC の作成] を選択します。

  6. ウィザードが終了したら、ナビゲーションペインの [Site-to-Site VPN Connections (Site-to-Site VPN 接続)] を選択します。ウィザードで作成された Site-to-Site VPN 接続を選択して [設定のダウンロード] を選択します。ダイアログボックスで、カスタマーゲートウェイ、プラットフォーム、およびソフトウェアバージョンのベンダーを選択し、[Yes, Download] を選択します。

  7. VPN 設定が含まれるテキストファイルを保存し、「Amazon VPC ネットワーク管理者ガイド」と一緒にネットワーク管理者に提供します。VPN は、ネットワーク管理者がカスタマーゲートウェイを設定するまで動作しません。

WebServerSG セキュリティグループと DBServerSG セキュリティグループを作成します。これらのセキュリティグループは、相互に参照するようになるので、作成した後でルールを追加する必要があります。

WebServerSG および DBServerSG セキュリティグループを作成するには

  1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。

  2. ナビゲーションペインで、[Security Groups] を選択します。

  3. [Create Security Group] を選択します。

  4. セキュリティグループの名前と説明を指定します。このトピックでは、名前 WebServerSG が例として使用されます。[VPC] で VPC の ID を選択してから、[はい、作成する] を選択します。

  5. [Create Security Group] を再度選択します。

  6. セキュリティグループの名前と説明を指定します。このトピックでは、名前 DBServerSG が例として使用されます。[VPC] で VPC の ID を選択してから、[はい、作成する] を選択します。

ルールを WebServerSG セキュリティグループに追加するには

  1. 作成した WebServerSG セキュリティグループを選択します。詳細ペインに、セキュリティグループの詳細と、インバウンドルールおよびアウトバウンドルールを操作するためのタブが表示されます。

  2. [インバウンドルール] タブで [編集] を選択して、次に示すようにインバウンドトラフィックのルールを追加します。

    1. [Type] (タイプ) で [HTTP] を選択し、[Source] (送信元) に「0.0.0.0/0」と入力します。

    2. [別のルールの追加] を選択してから、[Type] (タイプ) で [HTTPS] を選択し、[Source] (送信元) に「0.0.0.0/0」と入力します。

    3. [別のルールの追加] を選択してから、[Type] (タイプ) で [SSH] を選択します。[Source] (送信元) にネットワークのパブリック IP アドレスの範囲を入力します。

    4. [別のルールの追加] を選択してから、[Type] (タイプ) で [RDP] を選択します。[Source] (送信元) にネットワークのパブリック IP アドレスの範囲を入力します。

    5. (オプション、IPv6 のみ) [Add another rule]、[Type]、[HTTP] を選択します。[Source] に「::/0」と入力します。

    6. (オプション、IPv6 のみ) [Add another rule]、[Type]、[HTTPS] を選択します。[Source] に「::/0」と入力します。

    7. (オプション、IPv6 のみ) [Add another rule]、[Type]、[SSH] (Linux の場合) または [RDP] (Windows の場合) を選択します。[Source] (送信元) にネットワークの IPv6 アドレスの範囲を入力します。

    8. [Save] を選択します。

  3. [アウトバウンドルール] タブで [編集] を選択して、次に示すようにアウトバウンドトラフィックのルールを追加します。

    1. すべてのアウトバウンドトラフィックを有効にするデフォルトのルールを見つけ、[Remove] を選択します。

    2. [Type] (タイプ) で [MS SQL] を選択します。[Destination] (送信先) に DBServerSG セキュリティグループの ID を入力します。

    3. [別のルールの追加] を選択してから、[Type] (タイプ) で [MySQL] を選択します。[送信先] に、DBServerSG セキュリティグループの ID を指定します。

    4. [別のルールの追加] を選択してから、[Type] (タイプ) で [HTTPS] を選択します。[Destination] に「0.0.0.0/0」と入力します。

    5. [別のルールの追加] を選択してから、[Type] (タイプ) で [HTTP] を選択します。[Destination] に「0.0.0.0/0」と入力します。

    6. [Save] を選択します。

推奨ルールを DBServerSG セキュリティグループに追加するには

  1. 作成した DBServerSG セキュリティグループを選択します。詳細ペインに、セキュリティグループの詳細と、インバウンドルールおよびアウトバウンドルールを操作するためのタブが表示されます。

  2. [インバウンドルール] タブで [編集] を選択して、次に示すようにインバウンドトラフィックのルールを追加します。

    1. [Type] (タイプ) で [SSH] を選択し、[Source] (送信元) にネットワークの IP アドレスの範囲を入力します。

    2. [別のルールの追加] を選択してから、[Type] (タイプ) で [RDP] を選択し、[Source] (送信元) にネットワークの IP アドレスの範囲を入力します。

    3. [別のルールの追加] を選択してから、[Type] (タイプ) で [MS SQL] を選択します。[Source] (送信元) に WebServerSG セキュリティグループの ID を入力します。

    4. [別のルールの追加] を選択してから、[Type] (タイプ) で [MYSQL] を選択します。[Source] (送信元) に WebServerSG セキュリティグループの ID を入力します。

    5. [Save] を選択します。

  3. [アウトバウンドルール] タブで [編集] を選択して、次に示すようにアウトバウンドトラフィックのルールを追加します。

    1. すべてのアウトバウンドトラフィックを有効にするデフォルトのルールを見つけ、[Remove] を選択します。

    2. [Type] (タイプ) で [HTTP] を選択します。[Destination] に「0.0.0.0/0」と入力します。

    3. [別のルールの追加] を選択してから、[Type] (タイプ) で [HTTPS] を選択します。[Destination] に「0.0.0.0/0」と入力します。

    4. [Save] を選択します。

ネットワーク管理者がカスタマーゲートウェイを設定したら、VPC 内にインスタンスを起動できます。

インスタンスを起動するには (ウェブサーバーまたはデータベースサーバー)

  1. https://console.aws.amazon.com/ec2/) にある Amazon EC2 コンソールを開きます。

  2. ダッシュボードで、[Launch Instance] を選択します。

  3. ウィザードの指示にしたがって操作します。AMI を選択し、インスタンスタイプを選択し、[Next: Configure Instance Details] を選択します。

    注記

    インスタンスを使用して IPv6 通信するには、サポートされているインスタンスタイプを選択する必要があります (例: T2)。詳細については、「Amazon EC2インスタンスタイプ」を参照してください。

  4. [インスタンスの詳細の設定] ページで、[Network] (ネットワーク) から先ほど作成した VPC を選択して、サブネットを選択します。例えば、パブリックサブネット内にウェブサーバーを起動し、プライベートサブネット内にデータベースサーバーを起動します。

  5. (オプション) デフォルトでは、デフォルト以外の VPC に起動するインスタンスには、パブリック IPv4 アドレスは割り当てられません。パブリックサブネットでインスタンスへの接続を可能にするには、ここでパブリック IPv4 アドレスを割り当てることも、Elastic IP アドレスを割り当て、インスタンスの起動後にそれをインスタンスに割り当てることもできます。ここでパブリック IP アドレスを割り当てるためには、[Auto-assign Public IP] (パブリック IP の自動割り当て) で [Enable] (有効化) が選択されていることを確認します。プライベートサブネットのインスタンスにパブリック IP アドレスを割り当てる必要はありません。

    注記

    パブリック IP アドレスの自動割り当て機能は、デバイスインデックスが eth0 になっている単一の新しいネットワークインターフェイスでのみ使用できます。詳細については、「インスタンス起動時のパブリック IPv4 アドレスの割り当て」を参照してください。

  6. (オプション、IPv6 のみ) サブネットの範囲からインスタンスに IPv6 アドレスを自動的に割り当てることができます。[Auto-assign IPv6 IP] で、[Enable] を選択します。

  7. ウィザードの次の 2 ページで、インスタンスのストレージを設定し、タグを追加できます。[セキュリティグループの設定] ページで、[既存のセキュリティグループを選択する] オプションを選択し、前に作成したセキュリティグループの 1 つ (ウェブサーバーインスタンスの場合は [WebServerSG]、データベースサーバーインスタンスの場合は [DBServerSG]) を選択します。[Review and Launch] を選択します。

  8. 選択した設定を確認します。必要な変更を行い、[Launch] を選択し、キーペアを選択してインスタンスを起動します。

VPN のみのサブネットで実行されているインスタンスについては、ネットワークから Ping を実行して接続をテストします。詳細については、「Site-to-Site VPN 接続のテスト」を参照してください。

ステップ 5 のパブリックサブネットでパブリック IPv4 アドレスをインスタンスに割り当てていない場合、インスタンスへ接続することはできません。パブリックサブネットのインスタンスにアクセスするには、そのインスタンスに Elastic IP アドレスを割り当てておく必要があります。

コンソールを使用して、Elastic IP アドレスを配分し、インスタンスに割り当てるには

  1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。

  2. ナビゲーションペインで [Elastic IP] を選択します。

  3. [Allocate new address] を選択します。

  4. [Allocate] を選択します。

    注記

    アカウントが EC2-Classic をサポートしている場合には、まず [VPC] を選択します。

  5. リストから Elastic IP アドレスを選択し、[Actions]、[Associate address] を選択します。

  6. ネットワークインターフェイスまたはインスタンスを選択します。Elastic IP アドレスを関連付けるアドレスを、対応する [プライベート IP] で選択してから、[関連付け] を選択します。

シナリオ 3 では、パブリックサブネットがインターネットのサーバーと通信できるようにする DNS サーバーが必要です。また、VPN のみのサブネットがネットワーク内のサーバーと通信できるようにする DNS サーバーも別に必要です。

VPC には、domain-name-servers=AmazonProvidedDNS を持つ DHCP オプションセットが自動的に用意されます。これは Amazon によって提供される DNS サーバーで、VPC の任意のパブリックサブネットがインターネットゲートウェイを介してインターネットと通信できるようにします。また、ご自身の DNS サーバーを提供し、VPC が使用する DNS サーバーのリストに追加する必要があります。オプションセットは変更できないので、ご自身の DNS サーバーと Amazon DNS サーバーの両方が含まれる DHCP オプションセットを作成し、この新しい DHCP オプションセットをするように VPC を更新する必要があります。

DHCP オプションを更新するには

  1. https://console.aws.amazon.com/vpc/にある Amazon VPC コンソールを開きます。

  2. ナビゲーションペインで [DHCP Options Sets] を選択します。

  3. [Create DHCP options set] を選択します。

  4. [DHCP オプションセットの作成] ダイアログボックスの [ドメインネームサーバー] で、Amazon DNS サーバー (AmazonProvidedDNS) のアドレスとお客様の DNS サーバーのアドレス ( 192.0.2.1 など) をカンマで区切って指定し、[はい、作成する] を選択します。

  5. 画面左枠のナビゲーションペインで、[VPC] を選択します。

  6. VPC を選択して、[Actions]、[Edit DHCP Options Set] の順に選択します。

  7. [DHCP オプションセット] で新しいオプションセットの ID を選択してから、[Save] (保存) を選択します。

  8. (オプション) これで VPC が新しい DHCP オプションセットを使用するようになったので、両方の DNS サーバーにアクセスできます。VPC が使用している元のオプションセットは、必要に応じて削除できます。

これで、VPC のインスタンスに接続できるようになりました。Linux インスタンスに接続する方法については、「Linux インスタンス用 Amazon EC2 ユーザーガイド」の Connect to Your Linux Instance を参照してください。Windows インスタンスに接続する方法については、「Windows インスタンスの Amazon EC2 ユーザーガイド」の Connect to Your Windows Instance を参照してください。