SecurityGroup/NATGateway構築自動化テンプレート

【連載】

AWSで実践! 基盤構築・デプロイ自動化

【第27回】SecurityGroup/NATGateway構築自動化テンプレート

[2020/02/13 08:00]川畑 光平 ブックマーク ブックマーク

本連載では、以下のイメージの構成にあるAWSリソース基盤自動化環境の構築を実践しています。

本連載で構築していく基盤自動化環境のイメージ

前回は、VPCおよびパブリック、プライベートサブネット、ルートテーブル、インターネットゲートウェイを作成するCloudFormationテンプレートを作成しました。今回は、作成した各パブリック/プライベートサブネットをFrontend/Backendサブネットに位置付け、各AWSリソースへ設定するセキュリティグループ、FrontendサブネットにアタッチするNATGatewayを構築するテンプレートを実装します。

なお、セキュリティグループを作成するスタック構成は基本AWS無料枠で構成されるサービスですが、NATGatewayはスタック構築後に料金が発生するので注意が必要です。とはいえ、NATGatewayはECSを実行する際に必要になる(NATGatewayがないと、外からコンテナイメージを取得できずに起動が失敗する)ので、無駄な費用が発生しないよう、NATGatewayの構築は別のスタックに切り出しておきましょう。

なお、実際のソースコードはGitHub上にコミットしています。以降のソースコードでは本質的でない記述を一部省略しているので、実行コードを作成する場合は、必要に応じて適宜GitHub上のソースコードも参照してください。

セキュリティグループスタック構築テンプレート

筆者が執筆する本連載および連載「クラウドネイティブアプリケーションの基本」では、これまで、以下のようなリソースに対するセキュリティグループを作成してきました。

連載 対象となるリソース タイプ 設定
本連載第11回 CodeBuildでビルド実行するコンテナ アウトバウンド接続 任意のアドレスへのアウトバウンド許可
クラウドネイティブ第5回 FrontendALB インバウンド接続 任意のアドレスからの80番ポートの接続許可
クラウドネイティブ第5回 BackendALB インバウンド接続 VPC内からの80番ポートの接続許可
クラウドネイティブ第8回 Frontendサブネットに配置するECSクラスタ インバウンド接続 FrontendALBから32768-61000ポートの接続許可
クラウドネイティブ第8回 Frontendサブネットに配置するECSクラスタ インバウンド接続 任意のアドレスからのSSH接続
クラウドネイティブ第8回 Backendサブネットに配置するECSクラスタ インバウンド接続 BackendALBから32768-61000ポートの接続許可
クラウドネイティブ第11回 BackendサブネットからアクセスされるRDS インバウンド接続 Backendサブネットからの5432番ポートへの接続許可
クラウドネイティブ第22回 FrontendサブネットからアクセスされるElastiCache インバウンド接続 Frontendサブネットに配置されたECSクラスタからの6379番ポートへの接続許可

上記のセキュリティグループをCloudFormationで構築する場合、リソースタイプが「AWS::EC2::SecurityGroup」となるセキュリティグループ自体の定義と、接続可能な条件を設定する「AWS::EC2::SecurityGroupIngress(インバウンド)」、もしくは「AWS::EC2::SecurityGroupEgress(アウトバウンド接続)」が必要になります。プロパティとして設定可能な属性は各リンク先の通りですが、上記の表のセキュリティグループを作成する「sample-sg-cfn.yml」は以下の通りです。

AWSTemplateFormatVersion: '2010-09-09'

// omit

Resources:
  SecurityGroupFrontendALB:                                       #(A)
    Type: AWS::EC2::SecurityGroup
    Properties:
      GroupName: SecurityGroupFrontendALB
      GroupDescription: http access
      VpcId:
        Fn::ImportValue: !Sub ${VPCName}-VPCID                    #(B)
      Tags:
        - Key : Name
          Value: !Sub ${VPCName}-SecurityGroupFrontendALB

  SecurityGroupInggressFrontendALB:                               #(C)
    Type: AWS::EC2::SecurityGroupIngress
    Properties:
      GroupId: !Ref SecurityGroupFrontendALB                      #(D)
      IpProtocol: tcp
      FromPort: 80
      ToPort: 80
      CidrIp: 0.0.0.0/0                                           #(E)

  SecurityGroupBackendALB:                                        #(F)
    Type: AWS::EC2::SecurityGroup
    Properties:
      GroupName: SecurityGroupBackendALB
      GroupDescription: http access
      VpcId:
        Fn::ImportValue: !Sub ${VPCName}-VPCID
      Tags:
        - Key : Name
          Value: !Sub ${VPCName}-SecurityGroupBackendALB

  SecurityGroupIngressBackendALB:                                 #(G)
    Type: AWS::EC2::SecurityGroupIngress
    Properties:
      GroupId: !Ref SecurityGroupBackendALB
      IpProtocol: tcp
      FromPort: 80
      ToPort: 80
      CidrIp: !Ref VPCCiderBlock                                  #(H)

  SecurityGroupFrontendEcsCluster:                                #(I)
    Type: AWS::EC2::SecurityGroup
    Properties:
      GroupName: SecurityGroupFrontendEcsCluster
      GroupDescription: http access only alb
      VpcId:
        Fn::ImportValue: !Sub ${VPCName}-VPCID
      Tags:
        - Key : Name
          Value: !Sub ${VPCName}-SecurityGroupFrontendEcsCluster

  SecurityGroupIngressFrontendEcsCluster:                         #(J)
    Type: AWS::EC2::SecurityGroupIngress
    Properties:
      GroupId: !Ref SecurityGroupFrontendEcsCluster
      IpProtocol: tcp
      FromPort: 32768
      ToPort: 61000
      SourceSecurityGroupId: !Ref SecurityGroupFrontendALB        #(K)

  SecurityGroupIngressForSSHFrontendEcsCluster:                   #(L)
    Type: AWS::EC2::SecurityGroupIngress
    Properties:
      GroupId: !Ref SecurityGroupFrontendEcsCluster
      IpProtocol: tcp
      FromPort: 22
      ToPort: 22
      CidrIp: 0.0.0.0/0

  SecurityGroupBackendEcsCluster:                                 #(M)
    Type: AWS::EC2::SecurityGroup
    Properties:
      GroupName: SecurityGroupBackendEcsCluster
      GroupDescription: http access only alb
      VpcId:
        Fn::ImportValue: !Sub ${VPCName}-VPCID
      Tags:
        - Key : Name
          Value: !Sub ${VPCName}-SecurityGroupBackendEcsCluster

  SecurityGroupIngressBackendEcsCluster:                          #(N)
    Type: AWS::EC2::SecurityGroupIngress
    Properties:
      GroupId: !Ref SecurityGroupBackendEcsCluster
      IpProtocol: tcp
      FromPort: 32768
      ToPort: 61000
      SourceSecurityGroupId: !Ref SecurityGroupBackendALB         #(O)

  SecurityGroupRdsPostgres:                                       #(P)
    Type: AWS::EC2::SecurityGroup
    Properties:
      GroupName: SecurityGroupRdsPostgres
      GroupDescription: db access only backend subnet
      VpcId:
        Fn::ImportValue: !Sub ${VPCName}-VPCID
      Tags:
        - Key: Name
          Value: !Sub ${VPCName}-SecurityGroupRdsPostgres

  SecurityGroupIngressRdsPostgres:                                #(Q)
    Type: AWS::EC2::SecurityGroupIngress
    Properties:
      GroupId: !Ref SecurityGroupRdsPostgres
      IpProtocol: tcp
      FromPort: 5432
      ToPort: 5432
      SourceSecurityGroupId: !Ref SecurityGroupBackendEcsCluster  #(R)

  SecurityGroupElastiCacheRedis:                                  #(S)
    Type: AWS::EC2::SecurityGroup
    Properties:
      GroupName: SecurityGroupElastiCacheRedis
      GroupDescription: redis access only frontend ecs cluster
      VpcId:
        Fn::ImportValue: !Sub ${VPCName}-VPCID
      Tags:
        - Key: Name
          Value: !Sub ${VPCName}-SecurityGroupElastiCacheRedis

  SecurityGroupIngressElastiCacheRedis:                           #(T)
    Type: AWS::EC2::SecurityGroupIngress
    Properties:
      GroupId: !Ref SecurityGroupElastiCacheRedis
      IpProtocol: tcp
      FromPort: 6379
      ToPort: 6379
      SourceSecurityGroupId: !Ref SecurityGroupFrontendEcsCluster #(U)

  SecurityGroupCodeBuild:                                         #(V)
    Type: AWS::EC2::SecurityGroup
    Properties:
      GroupName: SecurityGroupCodeBuild
      GroupDescription: CodeBuild environments
      VpcId:
        Fn::ImportValue: !Sub ${VPCName}-VPCID
      Tags:
        - Key: Name
          Value: !Sub ${VPCName}-SecurityGroupCodeBuild

 // omit

セキュリティグループのテンプレートの記述の基本となるポイントは下表の通りです。

記述 説明
A Frontendサブネットに配置するALBのセキュリティグループを定義します
B セキュリティグループを使用するVPCのIDを設定します。ここでは、Fn::ImportValue関数を使って、前回作成したVPCテンプレートでOutputsとして出力したVPCの物理IDを取得します(クロススタックリファレンス)
C Aで定義したセキュリティグループに割り当てるインバウンド接続ルールを定義します
D インバウンド接続ルールをどのセキュリティグループに当てるか定義します。複数の接続ルールを1つのセキュリティグループに割り当てることもできます
E 接続許可されるプロトコル、ポート、送信元を定義します
F BackendServiceサブネットに配置するALBのセキュリティグループを定義します。設定内容はAと同様です
G Fで定義したセキュリティグループに割り当てるインバウンド接続ルールを定義します
H 送信元のCIDRを設定します。接続可能な範囲はVPC内からのアクセスですが、前回CIDRはパラメータ要素として設定しているので、今回も同様にParametersから取得するものとします
I Frontendサブネットに配置するECSクラスタのセキュリティグループを定義します。設定内容はAと同様です
J Iで定義したセキュリティグループに割り当てるインバウンド接続ルールを定義しま。
K 送信元をFrontendサブネットに配置したALBに設定するため、SourceSecurityGroupIdにFrontendALBのセキュリティグループAを設定します。
L Iで定義したセキュリティグループにSSHの接続を2つ目のルールとして作成し割り当てます
M Backendサブネットに配置するECSクラスタのセキュリティグループを定義します。設定内容はAと同様です
N Mで定義したセキュリティグループに割り当てるインバウンド接続ルールを定義します
O 送信元をBackendサブネットに配置したALBに設定するため、SourceSecurityGroupIdにBackendALBのセキュリティグループFを設定します
P RDSに設定するセキュリティグループを定義します
Q Pで定義したセキュリティグループに割り当てるインバウンド接続ルールを定義します。設定内容はAと同様です
R 送信元をBackendサブネットに配置したECSクラスタに設定するため、SourceSecurityGroupIdにBackendECSクラスタのセキュリティグループMを設定します
S ElastiCacheに設定するセキュリティグループを定義します。設定内容はAと同様です
T Sで定義したセキュリティグループに割り当てるインバウンド接続ルールを定義します
U 送信元をFrontendサブネットに配置したECSクラスタに設定するため、SourceSecurityGroupIdにFrontendECSクラスタのセキュリティグループIを設定します
V CodeBuildに設定するセキュリティグループを定義します。アウトバウンド接続はデフォルトで全ての通信が許可されるため、SecurityGroupEgressの設定は必要ありません

作成したテンプレートに対して、以下のようにスタック名とテンプレートパスを変更してヘルパースクリプトを実行します(パラメータはデフォルト値を利用するので省略します)。

#!/usr/bin/env bash

stack_name="mynavi-sample-sg"
template_path="sample-sg-cfn.yml"

aws cloudformation deploy --stack-name ${stack_name} --template-file ${template_path} --capabilities CAPABILITY_IAM

実行が正常に終了すると、セキュリティグループが作成されます。

セキュリティグループが作成される

NATGatewayスタック構築テンプレート

続いて、FrontendサブネットにNATGatewayを配置するCloudFormationテンプレートを作成します。NATGatewayは、連載「AWSで作るクラウドネイティブアプリケーションの基本」の第4回でVPC構築をする際に作成したものですが、時間単位で費用が発生するのでNATGatwayだけ切り出し、いつでも配置から外せるようにしておきましょう。

テンプレートではNATGatewayのリソース定義に加えて、ElasticIPアドレスやメインルートテーブル、パブリックサブネットのアタッチ定義なども必要です。

AWSTemplateFormatVersion: '2010-09-09'

// omit

Resources:
  NatGWEIP:                                               #(A)
    Type: AWS::EC2::EIP
    Properties:
      Domain:
        Fn::ImportValue: !Sub ${VPCName}-VPCID

  NatGW:                                                  #(B)
    Type: AWS::EC2::NatGateway
    Properties:
      AllocationId: !GetAtt NatGWEIP.AllocationId         #(C)
      SubnetId:
        Fn::ImportValue: !Sub ${VPCName}-PublicSubnet1    #(D)
      Tags:
        - Key: Name
          Value: !Sub ${VPCName}-NatGW

  MainRouteTable:                                         #(E)
    Type: AWS::EC2::RouteTable
    Properties:
      VpcId:
        Fn::ImportValue: !Sub ${VPCName}-VPCID
      Tags:
        - Key: Name
          Value: !Sub ${VPCName}-PrivateRoute

  MainRoute:                                              #(F)
    Type: AWS::EC2::Route
    Properties:
      RouteTableId: !Ref MainRouteTable
      DestinationCidrBlock: 0.0.0.0/0
      NatGatewayId: !Ref NatGW

  PrivateSubnet1Association:                              #(G)
    Type: AWS::EC2::SubnetRouteTableAssociation
    Properties:
      SubnetId:
        Fn::ImportValue: !Sub ${VPCName}-PrivateSubnet1
      RouteTableId: !Ref MainRouteTable

  // omit

NatGatewayのテンプレートの記述の基本となるポイントは、下表の通りです。

記述 説明
A NatGatewayに割り当てるElasticIPアドレスを定義します。設定するプロパティは「AWS::EC2::EIP」を参照してください。Domainプロパティにはクロススタックリファレンスにより前回定義したVPCを指定します
B NatGatewayリソースを定義します。設定するプロパティは「AWS::EC2::NatGateway」を参照して下さい
C AllocationIdプロパティには、GetAtt関数を用いて、Aで定義したElasticIPアドレスのものを設定します
D SubnetIdプロパティには、前回作成したパブリックサブネットをクロススタックリファレンスを使って指定します
E メインとして設定するルートテーブルを定義します。設定するプロパティは「AWS::EC2::RouteTable」を参照してください
F メインとして設定するルートを定義します。設定するプロパティは「AWS::EC2::Route」を参照してください
G Eで設定したルートテーブルのプライベートサブネットへの関連付けを定義します。設定するプロパティは「AWS::EC2::SubnetRouteTableAssociation」を参照してください

作成したテンプレートに対して、ヘルパースクリプトを以下のように、スタック名とテンプレートパスを変更して実行します。

#!/usr/bin/env bash

stack_name="mynavi-sample-ng"
template_path="sample-ng-cfn.yml"

aws cloudformation deploy --stack-name ${stack_name} --template-file ${template_path} --capabilities CAPABILITY_IAM

実行が正常に終了すると、NATGatewayが作成/アタッチされます。

NATGatewayが作成/アタッチされる

以上、今回はセキュリティグループとNATGatewayをCloudFormationテンプレートで構築しました。次回は、アプリケーションロードバランサーを構築するスタックテンプレートを作成します。

著者紹介


川畑 光平(KAWABATA Kohei) - NTTデータ 課長代理

金融機関システム業務アプリケーション開発・システム基盤担当を経て、現在はソフトウェア開発自動化関連の研究開発・推進に従事。

Red Hat Certified Engineer、Pivotal Certified Spring Professional、AWS Certified Solutions Architect Professional等の資格を持ち、アプリケーション基盤・クラウドなどさまざまな開発プロジェクト支援にも携わる。2019 APN AWS Top Engineers & Ambassadors選出。

本連載の内容に対するご意見・ご質問は Facebook まで。

※ 本記事は掲載時点の情報であり、最新のものとは異なる場合がございます。予めご了承ください。

一覧はこちら

連載目次

もっと知りたい!こちらもオススメ

【連載】AWSではじめる機械学習 ~サービスを知り、実装を学ぶ~ [1] AWSで機械学習を始めよう

【連載】AWSではじめる機械学習 ~サービスを知り、実装を学ぶ~ [1] AWSで機械学習を始めよう

本連載では、「機械学習を取り入れたいが、担い手がおらず導入に踏み切れない」「機械学習の知識はある程度あるが、実装手段までは分からない」といった悩みを持つ読者が、パブリッククラウドとしてシェアの高いAWSが提供するサービスを使って、ビジネスに機械学習を取り入れていく方法を考えていきます。

関連リンク

この記事に興味を持ったら"いいね!"を Click
Facebook で IT Search+ の人気記事をお届けします
注目の特集/連載
[解説動画] Googleアナリティクス分析&活用講座 - Webサイト改善の正しい考え方
[解説動画] 個人の業務効率化術 - 短時間集中はこうして作る
ミッションステートメント
教えてカナコさん! これならわかるAI入門
AWSではじめる機械学習 ~サービスを知り、実装を学ぶ~
対話システムをつくろう! Python超入門
Kubernetes入門
SAFeでつくる「DXに強い組織」~企業の課題を解決する13のアプローチ~
PowerShell Core入門
AWSで作るマイクロサービス
マイナビニュース スペシャルセミナー 講演レポート/当日講演資料 まとめ
セキュリティアワード特設ページ

一覧はこちら

今注目のIT用語の意味を事典でチェック!

一覧はこちら

会員登録(無料)

ページの先頭に戻る