AWS 第6回『やってみようシリーズ:仮想ネットワークにインターネットゲートウェイを作ってみた』

こんにちはクラテクと申します。

前回の「仮想ネットワークを作ってみようVPCの作成中にエラーが発生しました編」は、VPCの最大作成数のクォータの制限を緩和する方法をご初回しました。今回は、これまで作成したVPCネットワーク(test-VPC)とインターネット間の通信を実現するためにインターネットゲートウェイを作成していきたいと思います!

今回設定するインターネットゲートウェイを含む構成図は下図です。

インターネットゲートウェイを含む構成図

早速インターネットゲートウェイを設定してみます。設定項目は以下の通りです。2個だけ!!!シンプル!!!

項目 説明
名前タグ test-internet-gateway 作成するインターネットゲートウェイの名前です。
名前でVPCを識別することができます。
利用可能なVPC vpc-0e9e01974cefee830 | test-vpc インターネットゲートウェイを紐づける(アタッチ)するVPCを選択します。

Step1 まずはVPCダッシュボードから「インターネットゲートウエイ」を選択後、「インターネットゲートウェイの作成」をクリックします。

VPCダッシュボード

Step2 名前タグを入力(例:test-internet-gateway)後、「インターネットゲートウェイの作成」をクリックします。

インターネットゲートウェイの作成

Step3 「VPC」へアタッチをクリックします。

「VPC」へアタッチ

Step4 使用可能なVPCから利用するVPCを選択(例:vpc-0e9e01974cefee830(test-vpc)後、「インターネットゲートウェイのアタッチ」をクリックします。

使用可能なVPCから利用するVPCを選択

Step5 状態が「Attached」であることを確認します。

状態が「Attached」であることを確認

以上です。たったの5ステップでインターネットゲートウェイが作成できました!!
ただ、、これで本当にVPCからインターネットアクセスが可能になったのでしょうか。。。何か足りない気がします。。
個人的にはインターネットゲートウェイは、オンプレミスでいうところのルータという認識でしたが、ルータだとすると、NATとかセキュリティの設定はどうしたら良いのでしょうか?そういえばルーティングについても何も設定してません。。。
こんな時は、マニュアルですね。以下のAWSサイトのマニュアルを確認したところ、どうやら最低でも4項目は設定しなければならないようです。
~~~~~~~~~~~~~~~~~~~~~~~
インターネットアクセスを有効にする
VPC のサブネット内のインスタンスでインターネットのアクセスを有効にするには、以下を実行する必要があります。

  • インターネットゲートウェイを作成して VPC にアタッチします。←今回設定したところ!
  • インターネットバウンドトラフィックをインターネットゲートウェイに転送するルートを、サブネットのルートテーブルに追加します。
  • サブネットのインスタンスに、グローバルに一意な IP アドレス (パブリック IPv4 アドレス、Elastic IP アドレス、IPv6 アドレス) が割り当てられていることを確認します。
  • ネットワークアクセスコントロールリストとセキュリティグループルールがインスタンス間で関連するトラフィックを許可していることを確認します。

  https://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/VPC_Internet_Gateway.html
~~~~~~~~~~~~~~~~~~~~~~~

今は1つ目の「・インターネットゲートウェイを作成して VPC にアタッチします。」のみ設定完了した感じでした。
つまりインターネットゲートウェイ=ルータではなく、ルーティングなどの必要な機能は機能毎に別途設定する必要があることがわかりました。またNATついては、同じマニュアルサイトページ(IPアドレスとNAT)に記載がありました。少し長いのでポイントをまとめてみました。
まずインターネットへ出ていくためには、インスタンス(仮想サーバとか)にElasticIPアドレス(固定のパブリックIPアドレス)、もしくはパブリックIPアドレス(動的のパブリックIPアドレス)が必要とのことです。そしてインターネットゲートウェイが、これらのパブリックIPアドレスとプライベートIPアドレス間の1対1NATを提供しています。1対1NATですので、これは公開サーバのイメージですね。

1対1のNATイメージ

またインスタンスにパブリックIPアドレスを割り当てずにインターネットアクセスを提供するには、代わりにNATゲートウェイを使用できます。NATゲートウェイは、プライベートサブネット内のインスタンスがインターネットに接続できるようにしますが、インターネット上のホストがインスタンスとの接続を開始するのを防ぎます。これは公開サーバとは逆でインターネットへは公開せずに一方的にアクセスするイメージですよね。

多対1のNATイメージ

※NATゲートウェイはパブリックサブネットに配置する必要があります。

次回は、まずNATゲートウェイから作成してみようと思います! 以上、最後までお読みくださりありがとうございました。

--Let's Enjoying Amazon Web Services!

マルチクラウドの記事