webかたつむり ウェブデザインを勉強中 ウェブ初心者のおぼえがき

webかたつむり

WEB制作会社のフォトグラファー

AWS 設定の手順 a to z

1 VPCの作成

f:id:ohta-felica:20210611221323p:plain

テナンシーとは、、、
物理的なハードウェアをほかのユーザーと共有せず、占有して仮想マシンを起動できる。
EC2→仮想マシンを作成するサービス。

EC2で作成した、仮想マシンのことをインスタンスと呼ぶ。

 

 

2 サブネットの作成

f:id:ohta-felica:20210611221809p:plain

f:id:ohta-felica:20210611223402p:plain

サブネットでは、パブリックIPv4の、アドレスの自動割り当てを有効にしない。

 

 

3 EC2インスタンスの作成

f:id:ohta-felica:20210611222339p:plain

テナンシーは「共有」にしておく→余計な費用をかけない。

EC2インスタンスに於いて(WEBサーバーとして使用する)IPv4アドレスの自動割り当てを設定しておく。

 

 

4  EC2インスタンスの、セキュリティーグループを設定する

セキュリティーグループは、インスタンス仮想マシン)のトラフィックを制御するファイアウォールのルールセット。

f:id:ohta-felica:20210611223925p:plain

デフォルトでは、ポート22,SSH接続のみ許可されている。

EC2インスタンス接続用の、キーペアが発行される。ダウンロードして保管。

 

5 EC2インスタンスに、SSHで接続する

 

f:id:ohta-felica:20210611224921p:plain

ssh -i →認証に使用する秘密鍵を渡す。認証鍵の.pemファイルのパスを指定する。

ec2-user   →ユーザー名は自動的にec2-userとなる。@以下が、ec2インスタンスのパブリックIP

 


6 VPCインターネットゲートウェイを設置する 

現在の構成のままでは、SSH接続ができない。 

ネットワークの構成を変更する。

VPCのサブネットから、インターネットに出るための経路が存在していないから。

VPCにインターネットゲートウェイを設置(アタッチ)する。 

 

f:id:ohta-felica:20210611225945p:plain

 

7 サブネットのルートテーブルを変更してInternet-gatewayへのルートを追加する。

デフォルトの状態

f:id:ohta-felica:20210611230533p:plain

f:id:ohta-felica:20210611231302p:plain

0.0.0.0/0 ターゲットを、インターネットゲートウェイにする。


8 セキュリティーグループの作成

設定頻度が高い
EC2インスタンスへ、入ってくる通信(inbound traffic)、出ていく通信(outbound traffic)に対して、どのような形式を許可するのかを定義する。

インスタンスの用途に応じて作成する。 

作成するセキュリティーグループは、複数のインスタンスに適用できる。

また、サブネットをまたいで設定することも可能。

f:id:ohta-felica:20210611232036p:plain

f:id:ohta-felica:20210611232435p:plain

外部から、セキュリティーグループに入ってくる通信→インバウンドトラフィック
セキュリティーグループから出ていく通信→アウトバンドトラフィック

f:id:ohta-felica:20210609063739p:plain

*** ステートフル**************************************

通信の行きと戻りの対応を保持すること。

戻りの通信は自動的にファイアウォールを通過できる

**********************************************************

EC2インスタンスから、出ていった通信の戻りは、自動的に許可されるので、

通信がブロックされることはない。 

 

 

9   EC2インスタンスSSH接続して、ngixやapacheのパッケージを インストールする

これらの作業は、「ec2-user」という名前のデフォルトで設定されているアカウントではできない。管理者権限でのみ、実行できる。

インスタンスの起動に使用される AMI のデフォルトユーザー名= ec2-user

 

sudo 

sudoコマンドとは?

 「sudo コマンド」と指定することで、「スーパーユーザー(rootユーザー)」の権限が必要なコマンドをsudoコマンド経由で実行させることができます。ただし、sudoコマンドの実行には「sudoers」の設定が必要になります。

 同じような用途のコマンドに「su」(本連載第68回参照)があります。rootのパスワードが必要となるsuコマンドとは違い、sudoコマンドは、パスワードなしで実行できるように設定したり、sudoコマンドを実行するユーザー自身のパスワードでコマンドを実行させたりすることができます。 

 apacheをインストールする。

sudo amazon-linux-extras list     →インストール可能なパッケージを表示する

f:id:ohta-felica:20210612125354p:plain



sudo amazon-linux-extras install httpd_modules インストールする

sudo systemctl start httpd_modules      起動する

sudo systemctl status httpd_modules 状態の確認

 

 

10 セキュリティーグループの修正

f:id:ohta-felica:20210612161649p:plainSSHとHTTPの通信が、EC2インスタンスで許可されています。

 

 

11 ネットワークACL(アクセスリスト)

セキュリティーグループは、EC2インスタンスに対するファイアウォール

ネットワークACLは、サブネットに対する、ファイアウォール
ステートレス。インバウンド、アウトバウンド両方について設定する。
 

f:id:ohta-felica:20210612162137p:plain

 

 

 

 

 

 

f:id:ohta-felica:20210611214847p:plain

Internet Assigned Numbers Authority (IANA)は次の三つのIPアドレス空間
ブロックをプライベートインターネットのために予約している。

10.0.0.0 - 10.255.255.255 (10/8 prefix)
172.16.0.0 - 172.31.255.255 (172.16/12 prefix)
192.168.0.0 - 192.168.255.255 (192.168/16 prefix)

 

f:id:ohta-felica:20210611215031p:plain

f:id:ohta-felica:20210611215426p:plain

 f:id:ohta-felica:20210611215517p:plain

f:id:ohta-felica:20210611215643p:plain

 




VPCルーター (一番外側のルーター

** インターネットゲートウェイを設置(VPCの画面から作成)

**  VPCにアタッチする

 

f:id:ohta-felica:20210611215220p:plain

 

サブネットのルーター

** 暗示的なルーターで、サブネットを作成すると、自動的に VPCの中に設置


** インターネットゲートウェイへのルートを追加する(ルートテーブルを作成)

  ターゲット=インターネットゲートウェイへのルートを作成する。(ルートを追加)

 

*1

 

 

 

 

VPCのセキュリティー機能

f:id:ohta-felica:20210611220140p:plain

 

f:id:ohta-felica:20210611220407p:plain



 

セキュリティーグループ

インスタンス(仮想サーバー)に設置

ファイアウォールの機能

EC2インスタンスを守る→セキュリティーグループ

EC2インスタンスに設定する

ステートフルである

 

 

 

 

ネットワークACL

 

 

 

 

 

VPCのサブネットを作成すると、ルーターは暗示的に作成される。

VPCのサブネットから、インターネットに出る経路(インターネットゲートウェイ)は存在していない。

 

 

サブネットに、インターネットゲートウェイを作成する。

****-gw

 

*1:IPv4に於いて、「ほかのどのルートにもマッチしなかった場合の送信先」は、
「0.0.0.0/0」で指定する。