2012年1月1日日曜日

VPCってなんじゃ?(private subnet編)

前回に引き続き、VPCです。
今回はpublicに加えてprivate subnetも作成してみます。

まず、前回と同様に、VPCを作成するために「Get started creating a VPC」もしくは「Create Another VPC」をクリックします。
そして今回は2番目の「VPC with Public and Private Subnets」を選択します。



すると、各項目がデフォルトで設定された状態で表示されます。
VPCが10.0.0.0/16、Publicが10.0.0.0/24、Privateが10.0.1.0/24と設定されています。
また、ここで「One NAT Instance with an Elastic IP Address」という項目があるのがわかります。
これはNATインスタンスと呼ばれる、PrivateとPublicの橋渡しをするための専用EC2インスタンスで、この設定ではNATインスタンスが起動されるようになっています。

ここでは今回は2つのサブネットのAZをaゾーンに設定して「Create VPC」をクリックします。



すると、作成が完了し、VPCのダッシュボードに作成された各オブジェクトが表示されます。




ここで「2 Subnets」もしくは左ペインのメニューにある「Subnets」をクリックして、サブネットの一覧を見てみます。すると設定にあった通り、10.0.0.0/24, 10.0.1.0/24の2つのサブネットがあります。

このうち、Public(10.0.0.0/24)の行を選択すると、下部ペインにルーティング情報が表示され、10.0.0.0/16が
local、0.0.0.0/0がigw-xxxxxというインターネットゲートウェイにルーティングされていることがわかります。



一方、Private(10.0.1.0/24)では、10.0.0.0/16がlocal、0.0.0.0/0がNATインスタンスにルーティングされているのがわかります。つまり、Privateから外部への通信はすべてNATインスタンスを経由することになります。




またNATインスタンスは以下のように、ElasticIPが割り振られており、PublicSubnet内にNATインスタンス専用のAMIから起動されていることがわかります。NATインスタンスだとわかるようにnatと名前をつけておきます。





ここで、PublicとPrivateにそれぞれEC2インスタンスを作成してみます。
まずはPublicのインスタンスです。
Subnetに10.0.0.0/24を選択し、IPを10.0.0.4として、public4という名前で起動します。
また、publicという名前のVPCセキュリティグループを新規作成します。





 また、このインスタンスは外部に面しているので、ENIにEIPを割り振ります。



 同じようにPrivateにもIPが10.0.1.4でprivate4という名前でインスタンスを起動します。EIPは振りません。
privateという名前のVPCセキュリティグループをつけて新規作成します。

VPCのセキュリティグループを見てみます。
defaultと、先程作成したpublic,privateの計3つのセキュリティグループがあります。
このうち、defaultはNATインスタンスに自動的に割り当てられています。



・defaultセキュリティグループでは、privateからアクセスされるnatインスタンスのためのグループなので、

  • Inbound - ALL:10.0.1.0/24
  • Outbound - ALL:0.0.0.0/0

とします。INとOUTで使用されるポートが決まっていたらポートも指定しますが、ここではALLとします。




・publicセキュリティグループは、インターネットからアクセスされ、またprivateサブネットへの踏み台とするため、ここではSSHで接続すると仮定して

  • Inbound - 22番ポート:接続するオフィスのIPアドレス
  • Outbound - ALL:0.0.0.0/0

とします。

もしWEBサーバーを置くなら、Inboundに80番ポート:0.0.0.0/0(ALL)を追加しますが、ここではOutboundを便宜上ALL:0.0.0.0/0としています。
(SSHの踏み台専用のインスタンスを用意するのであれば、publicセキュリティグループには22番ポートを加えずに、踏み台専用のセキュリティグループにオフィスからの22番のInboundとprivateに対しての22番のOutboundを用意します。)




・privateセキュリティグループでは、publicサブネットからのアクセスのみを受付けるため、

  • Inbound - 22番ポート:10.0.0.0/24
  • Outbound - ALL:0.0.0.0/0

とします。
(もし、踏み台専用のインスタンスを用意するのであれば、InboundのSourceをそのインスタンスのプライベートIPに固定します。)






ここまで設定したら、nat, public,privateの各インスタンスにSSHでアクセスしてみます。

natインスタンスにSSH

$ ssh -i /Users/memorycraft/Development/cloudpack/myfirstcloud/keys/myfirstcloudkey.pem ec2-user@103.4.12.222

ssh: connect to host 103.4.12.222 port 22: Operation timed out
タイムアウトしました。
NATインスタンスにはdefaultセキュリティグループが割り当てられており、外部からのアクセスを許可していないので、当然接続できません。



publicインスタンスにSSH

$ ssh -i ~/Development/cloudpack/myfirstcloud/keys/myfirstcloudkey.pem ec2-user@103.4.12.232
Last login: Wed Jan  4 19:22:54 2012 from 219.117.233.241.static.zoot.jp

       __|  __|_  )
       _|  (     /   Amazon Linux AMI
      ___|\___|___|

See /usr/share/doc/system-release/ for latest release notes.
[ec2-user@ip-10-0-0-4 ~]$

接続できました。
publicサブネットはインターネットゲートウェイからルーティングされており、publicセキュリティグループでSSHを許可しているので、接続できます。


privateインスタンスにSSH

privateインスタンスはEIPがないのでそもそも接続できません。
ここではpublicインスタンス内からアクセスしてみます。

[ec2-user@ip-10-0-0-4 ~]$ ssh ec2-user@10.0.1.4
The authenticity of host '10.0.1.4 (10.0.1.4)' can't be established.
RSA key fingerprint is 51:f5:d1:f6:96:76:f0:8f:23:95:61:80:32:d1:50:51.
Are you sure you want to continue connecting (yes/no)? yes
Warning: Permanently added '10.0.1.4' (RSA) to the list of known hosts.
Permission denied (publickey).

通信はできるようですが、キーファイルがないために接続できないようです。
privateインスタンスの作成時にも既存のキーペアの設定を行った為です。
ここで、ローカルマシンのpemファイルを開いて、内容をコピーしpublicインスタンス内にpemファイルを作成します。

[ec2-user@ip-10-0-0-4 ~]$ vi ~/.ssh/myfirstcloudkey.pem
[ec2-user@ip-10-0-0-4 ~]$ chmod 600 ~/.ssh/myfirstcloudkey.pem

作成したpemファイルを用いてSSHアクセスします。
[ec2-user@ip-10-0-0-4 ~]$ ssh -i ~/.ssh/myfirstcloudkey.pem ec2-user@10.0.1.4

       __|  __|_  )
       _|  (     /   Amazon Linux AMI
      ___|\___|___|

See /usr/share/doc/system-release/ for latest release notes.
[ec2-user@ip-10-0-1-4 ~]$

接続できました。
privateインスタンスではpublicサブネットからのSSHアクセスだけを受け付けているため、このように接続することができます。


また、つぎにpublic, privateからwww.google.comに対してtracerouteしてみます。

publicインスタンスからtraceroute
$ traceroute www.google.com
traceroute to www.google.com (74.125.235.113), 30 hops max, 60 byte packets
 1  ec2-175-41-192-56.ap-northeast-1.compute.amazonaws.com (175.41.192.56)  0.494 ms  0.478 ms  0.458 ms
 2  27.0.0.146 (27.0.0.146)  1.621 ms  1.608 ms  1.584 ms
 3  27.0.0.134 (27.0.0.134)  1.653 ms  1.636 ms  1.609 ms
 4  15169.tyo.equinix.com (203.190.230.31)  1.691 ms  1.667 ms  1.646 ms
 5  72.14.239.202 (72.14.239.202)  1.991 ms  1.961 ms  2.034 ms
 6  209.85.251.39 (209.85.251.39)  3.411 ms  3.547 ms  3.639 ms
 7  nrt19s02-in-f17.1e100.net (74.125.235.113)  2.219 ms  2.148 ms  2.372 ms

privateインスタンスからtraceroute
$ traceroute www.google.com
traceroute to www.google.com (74.125.235.180), 30 hops max, 60 byte packets
 1  10.0.0.133 (10.0.0.133)  0.441 ms  0.555 ms  0.535 ms
 2  ec2-175-41-192-58.ap-northeast-1.compute.amazonaws.com (175.41.192.58)  1.022 ms  0.996 ms  0.976 ms
 3  27.0.0.164 (27.0.0.164)  0.931 ms  0.993 ms  0.963 ms
 4  27.0.0.146 (27.0.0.146)  2.147 ms  2.262 ms  2.233 ms
 5  27.0.0.134 (27.0.0.134)  3.154 ms  3.259 ms  3.226 ms
 6  15169.tyo.equinix.com (203.190.230.31)  3.273 ms  2.876 ms  3.125 ms
 7  72.14.239.202 (72.14.239.202)  2.643 ms  2.480 ms  2.598 ms
 8  209.85.241.133 (209.85.241.133)  4.273 ms  4.365 ms  4.475 ms
 9  nrt19s12-in-f20.1e100.net (74.125.235.180)  3.596 ms  3.574 ms  3.664 ms

privateインスタンスからの場合、10.0.0.133(NATインスタンス)を経由しているのがわかります。
前出のルーティングテーブルと、セキュリティグループが機能していることがわかります。

上述のセキュリティグループでは使用するミドルウェアや要件によって、より詳細な設定をすべきです。今回はALLで許可をしましたが、WEBサーバーやDBサーバーなどを登場させた場合、80ポートや3306ポートなど、必要なポートにのみ許可を与えることでセキュリティレベルを高めるようにする必要があります。

また、セキュリティグループはインスタンスレベルでのファイアーウォール機能です。ネットワークレベルでのセキュリティにはNetwork ACLというものがVPCにありますので、次の機会に紹介したいと思います。

以上です。