Amazon VPCでNATを使ってPublic SubnetとPrivate Subnetを分ける

Amazon VPCでNATを使ってPublic SubnetとPrivate Subnetを分ける

Clock Icon2011.11.30

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

Amazon VPCでPrivate Subnet

Amazon VPCは、EIPやELBを使ってPublic Subnet内のインスタンスにインターネットからアクセスできる事が分かりました。今回は、Private Subnetを作り一切インターネットからアクセスできないようにします。また、例外としてEIPを持つNATインスタンスを通じてのみ外部のインターネットと通信できるようにします。インターネット上のサーバーログにはPrivate Subnetからのアクセスである痕跡は残りません。NATインスタンスのIPアドレスが用いられます。NATインスタンスは、セキュリティグループによってデフォルトで全てのポートが閉じていますので、どうしても公開したいポートを開けることでセキュリティを保ちます。

以下のような構成を作成します。

VPCの新規作成ウィザード

VPCの新規作成ウィザードの指示に従って進めていきます。

以下の画面は重要です。IP CIDRを10.0.0.0/16に設定しているのは前回と同じです。Public Subnetに10.0.0.0/24を指定し、Private Subnetに10.0.1.0/24を指定しています。また、NATインスタンスを起動するように書いてあります。

ルートテーブルを確認する

ウィザードによって作成されたVPCの設定がどのようになっているか確認してみましょう。まずは、ルートテーブルです。2行目(rtb-ddf802b4)にあるルートテーブルは、宛