読者です 読者をやめる 読者になる 読者になる

うさがにっき

読書感想文とプログラムのこと書いてきます

NATサーバを構築

概要


プライベートサブネットを構築する - うさがにっき
の続き
DBサーバからInternetに接続するためにNATサーバを作成する

詳細

NATサーバとは

プライベートネットワークからInternetに接続する際に使用されるサーバ
NATサーバを使うことによってプライベートネットワークからInternetに接続することができる
またNATの内側からは通信できて、外側からは通信できないような制御もできる

NATサーバで用いるセキュリティグループ作成

VPC > Security Groups > Create Security Group押下
f:id:tiro105:20150228215608p:plain
f:id:tiro105:20150228215624p:plain
NATサーバのインバウンドyum用のHTTP, HTTPS、webサーバから管理通信用のSSH
f:id:tiro105:20150228215643p:plain
アウトバウンドはyum用のHTTP, HTTPSだけとする
f:id:tiro105:20150228215725p:plain

NATインスタンスを作成、起動する

EC2 > Instance > Launch Instanceを押下
f:id:tiro105:20150228220505p:plain
Community AMIsタグでami-vpc-natを選択
f:id:tiro105:20150228220534p:plain
Network VPS領域、Subnet パブリックサブネット、Public IP enableに設定、プライベートネットワーク 10.0.1.20
f:id:tiro105:20150228220815p:plain
名前はNATサーバとする
f:id:tiro105:20150228220847p:plain
セキュリティグループを先ほど作ったNAT-SGをセキュリティグループにしてサーバ起動
f:id:tiro105:20150228221012p:plain

送信元、送信先のチェックを無効にする

Amazon EC2のデフォルト構成では「パケットを受け取るには、そのインスタンスが送受信するトラフィックの送信元、または、送信先である」という条件が課せられている、この条件を「送信元、送信先チェック」と言う
NATサーバではパケットの送信元IPアドレスや宛先IPアドレスを書き換えるため、この「送信元、送信先チェック」に引っかかる
なのでNATサーバでは「送信元、送信先チェック」を無効にする
f:id:tiro105:20150228222118p:plain
f:id:tiro105:20150228222130p:plain

プライベートサブネットのルートテーブルを書き換えて、NATテーブルに向くようにする

f:id:tiro105:20150228235816p:plain
dbサーバからNATサーバを通して、インターネットが観れるか確認

$ curl www.nikkeibp.co.jp
<!DOCTYPE html PUBLIC "-//W3C//DTD HTML 4.01 Transitional//EN" "http://www.w3.org/TR/html4/loose.dtd">
<html xmlns:og="http://ogp.me/ns#" xmlns:fb="http://www.facebook.com/2008/fbml" dir="ltr">

NATを止めると通らなくなる

$ curl www.nikkeibp.co.jp
curl: (7) Failed to connect to www.nikkeibp.co.jp port 80: 接続がタイムアウトしました

参考

Amazon Web Services 基礎からのネットワーク&サーバー構築

Amazon Web Services 基礎からのネットワーク&サーバー構築

広告を非表示にする