デュアルスタックのセキュリティグループ設定の例
この例では、VPC にパブリックサブネットとプライベートサブネットがあります。プライベートサブネットには、VPC 内の NAT ゲートウェイを経由してインターネットとアウトバウンド通信するデータベースインスタンスがあります。パブリックサブネットには、インターネットゲートウェイ経由でインターネットにアクセスするパブリックのウェブサーバーがあります。
VPC とリソースを IPv6 用に有効化し、デュアルスタックモードで操作します。つまり、VPC のリソースとインターネット経由のリソースの間で、IPv6 アドレスと IPv4 アドレスの両方を使用します。
次の図は VPC のアーキテクチャを示しています。
ウェブサーバーのセキュリティグループ (例: セキュリティグループ ID sg-11aa22bb11aa22bb1
のある) には、次のインバウンドルールがあります。
タイプ | プロトコル | ポート範囲 | ソース | [Comment] (コメント) |
---|---|---|---|---|
すべてのトラフィック | すべて | すべて | sg-33cc44dd33cc44dd3 | sg-33cc44dd33cc44dd3 (データベースインスタンス)に関連付けられたインスタンスからのトラフィックのすべてのインバウンドアクセスを許可します。 |
HTTP | TCP | 80 | 0.0.0.0/0 | HTTP を介したインターネットからのインバウンド IPv4 トラフィックを許可します。 |
HTTP | TCP | 80 | ::/0 | HTTP を介したインターネットからのインバウンド IPv6 トラフィックを許可します。 |
HTTPS | TCP | 443 | 0.0.0.0/0 | HTTPS を介したインターネットからのインバウンド IPv4 トラフィックを許可します。 |
HTTPS | TCP | 443 | ::/0 | HTTPS を介したインターネットからのインバウンド IPv6 トラフィックを許可します。 |
SSH | TCP | 22 | 203.0.113.123/32 | ローカルコンピュータからの IPv4 を介したインバウンド SSH アクセスを許可します (例: インスタンスに接続して管理タスクを実行する必要がある場合)。 |
データベースインスタンスのセキュリティグループ (例: セキュリティグループ ID sg-33cc44dd33cc44dd3
のある) には、次のインバウンドルールがあります。
タイプ | プロトコル | ポート範囲 | ソース | [Comment] (コメント) |
---|---|---|---|---|
MySQL | TCP | 3306 | sg-11aa22bb11aa22bb1 | sg-11aa22bb11aa22bb1 (ウェブサーバーインスタンス)に関連付けられたインスタンスからの MySQL トラフィックのインバウンドアクセスを許可します。 |
ウェブサーバーは、t2.medium
インスタンスタイプです。データベースサーバーは、m3.large
です。