今回から実際にAWS上にシステムを構築しながら、サービスを解説します。題材として単純な構成のシステムを用います。会社案内などを掲載するコーポレートサイトのシステムを1台の仮想マシンで稼働させるというものです。以下に概要を示します。
<コーポレートサイトのシステム概要>
- Webサーバー、アプリケーションサーバー、データベースサーバーを仮想マシン1台で稼働させる
- 表示するコンテンツは、テキスト、画像、動画
- 管理者は、サイト管理ページにログインし、CMS(Content Management System)を利用してコンテンツの更新、画像・動画のアップロードを行う
このシステムはどんなネットワーク構成にしたらよいでしょうか。オンプレミス(自社所有)環境とAWS環境で比べてみましょう。
オンプレミス環境では一般に、DMZ(DeMilitarized Zone=非武装地帯)のような、社内ネットワークから独立したセグメントを作りサーバーを配置します(図1)。サーバーには、DMZ内のみで通用する「10.0.1.7」のようなプライベートIPアドレスを割り当てます。プライベートIPアドレスはインターネットでは通用しないので、ルーターがスタティックNAT(Network Address Translation)などの技術を用いてパブリックIPアドレスに変換します。
ルーターは通常ファイアウォール機能を備えており、ポート番号や送信元IPアドレスによるパケットフィルタリングなどを行い、不正なアクセスを遮断します。サーバーでファイアウォールソフトを稼働させ、サーバーへのトラフィックを制御することも一般的です。
一方のAWS環境では、ユーザーは自社ネットワークからしかアクセスできないプライベートな仮想ネットワークを作成します(図2)。それには、「Amazon VPC(Virtual Private Cloud)」というサービスを使います。このサービスを使って作ったプライベートな仮想ネットワークも「VPC」と呼びます。
リージョンを決めてVPCを作ったら、サブネットに分割したうえで仮想マシン(EC2インスタンス)を作成し、インターネットと通信するゲートウエイを設けます。このゲートウエイには、「Internet Gateway」というVPCのネットワーキングコンポーネントを利用します。
さらに、トラフィックの制御に「Security Group」や「NACL(Network Access Control List)」というセキュリティー機能を用います。Security GroupとNACLについては、あとで詳しく解説します。
これが大まかなネットワーク構成です。実際にネットワークを構築するには、(1)リージョンの選択、(2)VPCとサブネットの作成、(3)Internet Gatewayの設置、(4)ルートテーブルの設定、(5)パブリックIPアドレス/Elastic IPアドレスの割り当て、(6)Security GroupとNACLの設定という六つのステップを踏みます。以下で順に見ていきましょう。
