皆さんこんにちは。構築担当の川合です。
今回は、Amazon Lightsail を使ってサーバを用意したいという話を頂いたので色々検証してみた内容の一部を記事にしてみました。
Amazon Lightsail であってもセキュリティ対策としてWAFを利用したいという要望もあるだろうと思い調べてみると、どうやらVPCピアリングを使えば従来のAWSサービスと連携出来るという記事を見かけたので実際に設定してみるところまでやってみたお話です。
目次
Amazon Lightsail とは
EC2のようにOS周りから設定するのではなく、予めパッケージ化されたものを利用すれば数クリックで環境を用意することが出来るAWS版のVPSサービスになります。
WordPress が既にセットアップされているパッケージを選ぶと、作成したインスタンスが起動すればすぐにでもWordpressの管理画面を操作することが出来ます。
また上記のような予めセットアップされたパッケージが複数あり、それ以外でも従来のVPSのようなOS周りからセットアップ出来るものを別で用意されています。
料金についてもEC2とは違いスペックに応じて月額固定の費用となります。
他のAWSサービスとも連携したい
Amazon Lightsail の管理画面はマネジメントコンソールから独立しており、LightsailのコンソールでLightsailに関連する作業は全て行うことが出来ます。
静的IPの割り当て、ロードバランサーの作成、CDNの作成なども実施することが出来ます。
ただし、これはLightsail用のものでありELBやCloudfrontで設定する訳ではありません。
セキュリティ対策としてAWS WAFを利用したくてもLightsailが提供しているロードバランサーではWAFを設定する事が出来ません。
VPCピアリングが使える
では、そんな場合にどうしたよいかと言うとVPCピアリングを設定してデフォルトで用意されているVPCに接続することで他のAWSサービスと連携する事が可能になります。
※注意点としてユーザが作成した個別のVPCにはVPCピアリングを繋ぐことは出来ません。
あくまで、デフォルトで用意されているVPCにしか接続出来ませんので注意が必要です。
また、VPCピアリングを利用する事で転送量に応じて別途費用が発生する事にも注意が必要です。
せっかく月額固定の費用でAWSの利用料が分かりやすくなっていても、転送量の費用が別途従量の課金になってしまい毎月の費用が変動します。
VPCピアリングを有効化してみる
まず、Wordpress のパッケージからALBからのターゲットになるインスタンスを作成します。
作成が完了してwordpressのサンプルページが確認出来れば、実際にVPCピアリングを有効化してみます。
右上のアカウント画面から詳細設定(アドバンスト)に移動します。
するとVPCピア接続という項目があるので、接続したいリージョンのチェックボックスにチェックを入れます。これでVPCピアリングの設定は完了です。
マネジメントコンソールからVPCに移動してみて、ピアリング接続の画面に移動するとVPCピアリングが作成されている事が確認できます。
ALBを作成してLightsailに繋いでみる
準備は整いましたので、マネジメントコンソールからALBを作成してターゲットグループにLightsailのインスタンスを指定してみます。
デフォルトのVPCだとサブネットグループが3つ用意されていますのでLightSailのインスタンスが所属しているAZを含めもう1つAZを指定して作成します。
※特に何も操作しなければ、Lightsailのインスタンスはap-northeast-1aにあるはずです
またEC2をターゲットグループに追加する訳ではありませんので、ターゲットグループへの追加はIPアドレスを指定して行う必要があります。
右下の【ターゲットの登録】を押すと、追加するターゲットのIPアドレスを入力する事が出来ます。
ネットワークを【その他のプライベートIPアドレス】に変更してIPの部分にLightsailのインスタンスのプライベートIPを入力します。
※VPCピアリングを経由して通信するので、プライベートIPアドレスになります
IPアドレスを入力したら、右側にある【↓リストに追加】のボタンを押します。
すると、入力した内容が画面下の【登録対象】に設定されます。
これでALBでLightsailのインスタンスに接続する設定は完了になります。
ALB経由でアクセスしてみる
まず、ALBのターゲットグループの画面よりヘルスチェックに成功している事を確認します。
healthy になっているのでヘルスチェックも成功し、ALBの配下にインスタンスが登録されています。
では、ALBから払い出されているDNS名をブラウザに入力して実際に画面を確認してみます。
ちゃんとWordpressのサンプルページが表示されていれば大丈夫です。無事ALBからVPCピアリングを経由してLightsailのインスタンスにアクセスしています。
まとめ
VPCピアリングを使ってALBにLightsailのインスタンスを接続してみたお話でした。
ALBを作成したので、ここからAWS WAFの設定をすることでセキュリティ対策としてWAFをLightsailでも利用出来る形になりました。
ALBを用意できたので他にも Certificate ManagerでSSL証明書を発行したりと様々な用途で使えるようになるのではと思います。
※ただ、Lightsailのコンソールだけでなくマネジメントコンソールにも設定が入るので管理が煩雑になってしまうのは注意が必要ですね
プロフィール
サーバ構築周り全般を対応しております。
LINK
クラウドベリージャム:プロフィールページ