Amazon VPCでプライベートなクラウド環境を作成する

Amazon VPCとは？

Amazon VPCは、インターネットから隔離された仮想的なネットワークを作るサービスです。完全に隔離することも可能ですし、インターネットに接続するエントリポイントや企業ネットワークに接続するエントリポイントを作ることも可能です。今回は初回なので最も簡単な設定である、固定IPアドレスを用いたインターネット向けエントリポイントの作成をします。

VPCの新規作成

AWS Management Consoleには、ウィザード形式で新規作成ができます。今回は、最も上のメニューを選択します。

インターネットゲートウェイ、サブネット、占有ハードウェア可否の設定

インターネットゲートウェイのためにIP CIDRブロックを設定します。今回はデフォルト設定で10.0.0.0/16とします。サブネットは10.0.0.0/24とします。このサブネットはアベイラビリティゾーンを指定することができます。ちなみに、VPC作成後にサブネットを追加することが可能です。その際は例えばサブネットを10.0.1.0/24などアドレスが重ならないように指定をします。さらに、最近追加された新機能であるVPC内のロードバランサーを活かすためにアベイラビリティゾーンを別のものにしておくことでより可用性が上がります。VPCでは、企業のコンプライアンス規定上、仮想サーバーを使えないこともあるかもしれません。そのために占有ハードウェア設定をすることができます。デフォルトでは占有ではなく共有です。占有の利用料金は高いです。

VPC内でインスタンスを立ち上げる

VPC内で使えるインスタンスタイプは現在t1.microを指定できませんので、m1.smallを指定します。すると、VPCタブを選択できるようになります。どのサブネットでインスタンスを起動するか指定します。

インスタンスの状態を確認する

インスタンスの詳細を見ると、Public DNSとPrivate DNSに値が無い事がわかります。Public DNSはインターネットから参照できないからで、Private DNSは使わないためです。もし、インターネットから閲覧できるようにしたければ固定IPアドレスを付与する必要があります。また、Private DNSを使う必要があればVPC内に独自にDNSサーバーを立てれば実現できます。以下の図ではプライベートアドレスに10.0.0.107が割り振られています。これは、Subnetである10.0.0.0/24内に割り振られたアドレスです。Amazonが提供しているDHCPサーバーを使って自動的に割り振られました。DHCPサーバーを自分で設定することも可能です。

固定IPアドレスを割り振る

固定IPアドレスの取得と付与はEC2と同じです。

セキュリティグループを確認する

VPCのセキュリティグループは、InBoundの他にOutBoundも制御できます。

Network ACLを確認する

VPCではセキュリティグループグループの他にサブネット単位でのACL(アクセスコントロールリスト)を作成することもできます。デフォルトでは、InBoundとOutBound共に全ての通信を許可しています。

SSHでログインする

固定IPアドレスを使ってSSHによるログインをすることができます。どのポートを解放するかはセキュリティグループの設定によります。

まとめ

Amazon VPCは、EC2の利用のしやすさそのままに、企業での利用を意識したネットワークレベルのセキュリティが提供されている事が分かりました。また、これらの設定を画面から行う事ができ、ハードウェアの設置などほぼ不要です。学生の頃、古いPCにLinuxをいれてルーターとして使っていたのが懐かしいですね。知識さえあればネットワークを流れるパケットを制御する料理人として活躍できること間違いなし！今日からあなたもVPCマエストロになりましょう！