TECH

プライベートサブネットにあるEC2インスタンスがNATインスタンス経由でインターネット通信を行う手順

投稿日:

 

プライベートサブネットにあるEC2インスタンスがNATインスタンス経由でインターネット通信を行う手順をまとめます。

 

手順

 

1.パブリック/プライベートサブネットを作成

2.パブリック/プライベートサブネットのルートテーブルを作成、パブリックサブネット用のルートテーブルにはインターネットゲートウェイを紐づける

3.各ルートテーブルを各サブネットに紐づける

4.各サブネット内に各EC2インスタンスを作成

 

・パブリックサブネット内のEC2インスタンス

AMIは「amzn-ami-vpc-nat」を指定

これがNATインスタンスになるためパブリックIPを割り当てる

作成後、アクション→ネットワーキング→送信元/送信先の変更チェックをクリックし、無効化する。
(NATインスタンス宛ての通信をしたいわけではなく、NATインスタンスを経由してインターネット通信を行いたいため無効化する)

セキュリティグループのインバウンドルールに以下のルールを追加する

タイプ:HTTP
ソース:プライベートサブネットのCIDR

タイプ:HTTPS
ソース:プライベートサブネットのCIDR

タイプ:SSH
ソース:(任意)

アウトバウンドルールには以下のルールを追加する

タイプ:HTTP
ソース:0.0.0.0/0

タイプ:HTTPS
ソース:0.0.0.0/0

タイプ:SSH
ソース:プライベートサブネットのEC2インスタンス

タイプ:すべてのICMP - IPv4
ソース:0.0.0.0/0

 

・プライベートサブネット内のEC2インスタンス

プライベートサブネット内に配置するためパブリックIPは割り当てない

セキュリティグループのインバウンドルールに以下のルールを追加する

タイプ:SSH
ソース:(任意)

アウトバウンドルールには以下のルールを追加する
タイプ:すべてのICMP - IPv4
ソース:0.0.0.0/0

あとの項目は任意で作成

 

5.プライベートサブネットのルートテーブルを編集

以下のルートを追加

送信先:0.0.0.0/0
ターゲット:NATインスタンス(Instanceを選択すれば検索欄に出現します)

 

6.接続確認

NATインスタンスからプライベートサブネットのインスタンスに接続

プライベートインスタンスからpingコマンドを実行しインターネットとの疎通を確認する

 

今回のチェックポイント

・ルートテーブルは適切に設定されているか?(NATインスタンスを追加したか)

・NATインスタンスの「送信元/送信先の変更チェック」は無効化したか?

・セキュリティグループは正しく設定できているか?

 

【参考】

NAT インスタンス

https://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/VPC_NAT_Instance.html

 

-TECH
-,

Copyright© 紳士は変態がお好き , 2020 All Rights Reserved.