デュアルスタックのセキュリティグループ設定の例 - Amazon Virtual Private Cloud

デュアルスタックのセキュリティグループ設定の例

この例では、VPC にパブリックサブネットとプライベートサブネットがあります。プライベートサブネットには、VPC 内の NAT ゲートウェイを経由してインターネットとアウトバウンド通信するデータベースインスタンスがあります。パブリックサブネットには、インターネットゲートウェイ経由でインターネットにアクセスするパブリックのウェブサーバーがあります。

VPC とリソースを IPv6 用に有効化し、デュアルスタックモードで操作します。つまり、VPC のリソースとインターネット経由のリソースの間で、IPv6 アドレスと IPv4 アドレスの両方を使用します。

次の図は VPC のアーキテクチャを示しています。

パブリックサブネットとプライベートサブネット、NAT ゲートウェイ、インターネットゲートウェイを持つ VPC

ウェブサーバーのセキュリティグループ (例: セキュリティグループ ID sg-11aa22bb11aa22bb1 のある) には、次のインバウンドルールがあります。

タイプ プロトコル ポート範囲 ソース [Comment] (コメント)
すべてのトラフィック すべて すべて sg-33cc44dd33cc44dd3 sg-33cc44dd33cc44dd3 (データベースインスタンス)に関連付けられたインスタンスからのトラフィックのすべてのインバウンドアクセスを許可します。
HTTP TCP 80 0.0.0.0/0 HTTP を介したインターネットからのインバウンド IPv4 トラフィックを許可します。
HTTP TCP 80 ::/0 HTTP を介したインターネットからのインバウンド IPv6 トラフィックを許可します。
HTTPS TCP 443 0.0.0.0/0 HTTPS を介したインターネットからのインバウンド IPv4 トラフィックを許可します。
HTTPS TCP 443 ::/0 HTTPS を介したインターネットからのインバウンド IPv6 トラフィックを許可します。
SSH TCP 22 203.0.113.123/32 ローカルコンピュータからの IPv4 を介したインバウンド SSH アクセスを許可します (例: インスタンスに接続して管理タスクを実行する必要がある場合)。

データベースインスタンスのセキュリティグループ (例: セキュリティグループ ID sg-33cc44dd33cc44dd3 のある) には、次のインバウンドルールがあります。

タイプ プロトコル ポート範囲 ソース [Comment] (コメント)
MySQL TCP 3306 sg-11aa22bb11aa22bb1 sg-11aa22bb11aa22bb1 (ウェブサーバーインスタンス)に関連付けられたインスタンスからの MySQL トラフィックのインバウンドアクセスを許可します。

ウェブサーバーは、t2.medium インスタンスタイプです。データベースサーバーは、m3.large です。