今回から実際にAWS上にシステムを構築しながら、サービスを解説します。題材として単純な構成のシステムを用います。会社案内などを掲載するコーポレートサイトのシステムを1台の仮想マシンで稼働させるというものです。以下に概要を示します。

<コーポレートサイトのシステム概要>

  • Webサーバー、アプリケーションサーバー、データベースサーバーを仮想マシン1台で稼働させる
  • 表示するコンテンツは、テキスト、画像、動画
  • 管理者は、サイト管理ページにログインし、CMS(Content Management System)を利用してコンテンツの更新、画像・動画のアップロードを行う

 このシステムはどんなネットワーク構成にしたらよいでしょうか。オンプレミス(自社所有)環境とAWS環境で比べてみましょう。

 オンプレミス環境では一般に、DMZ(DeMilitarized Zone=非武装地帯)のような、社内ネットワークから独立したセグメントを作りサーバーを配置します(図1)。サーバーには、DMZ内のみで通用する「10.0.1.7」のようなプライベートIPアドレスを割り当てます。プライベートIPアドレスはインターネットでは通用しないので、ルーターがスタティックNAT(Network Address Translation)などの技術を用いてパブリックIPアドレスに変換します。

図1 オンプレミス環境での構成
[画像のクリックで拡大表示]

 ルーターは通常ファイアウォール機能を備えており、ポート番号や送信元IPアドレスによるパケットフィルタリングなどを行い、不正なアクセスを遮断します。サーバーでファイアウォールソフトを稼働させ、サーバーへのトラフィックを制御することも一般的です。

 一方のAWS環境では、ユーザーは自社ネットワークからしかアクセスできないプライベートな仮想ネットワークを作成します(図2)。それには、「Amazon VPC(Virtual Private Cloud)」というサービスを使います。このサービスを使って作ったプライベートな仮想ネットワークも「VPC」と呼びます。

図2 AWS環境での構成
[画像のクリックで拡大表示]

 リージョンを決めてVPCを作ったら、サブネットに分割したうえで仮想マシン(EC2インスタンス)を作成し、インターネットと通信するゲートウエイを設けます。このゲートウエイには、「Internet Gateway」というVPCのネットワーキングコンポーネントを利用します。

 さらに、トラフィックの制御に「Security Group」や「NACL(Network Access Control List)」というセキュリティー機能を用います。Security GroupとNACLについては、あとで詳しく解説します。

 これが大まかなネットワーク構成です。実際にネットワークを構築するには、(1)リージョンの選択、(2)VPCとサブネットの作成、(3)Internet Gatewayの設置、(4)ルートテーブルの設定、(5)パブリックIPアドレス/Elastic IPアドレスの割り当て、(6)Security GroupとNACLの設定という六つのステップを踏みます。以下で順に見ていきましょう。

この先は有料会員の登録が必要です。今なら有料会員(月額プラン)が2020年1月末まで無料!

日経 xTECHには有料記事(有料会員向けまたは定期購読者向け)、無料記事(登録会員向け)、フリー記事(誰でも閲覧可能)があります。有料記事でも、登録会員向け配信期間は登録会員への登録が必要な場合があります。有料会員と登録会員に関するFAQはこちら