- リージョン単位でVPCを作成する
- AZ単位でサブネットワークを作成する
- VPCのルートテーブルの編集
- サブネットワークのルートテーブルの編集
- サブネットワークのACLの編集
サブネットワークの基本的ルールの作成を行うことによって、インスタンスのセキュリティグループの作成を容易にする
無駄なポート番号などはACLで拒否をすることになる
サブネットワークはパブリックとプライベートで使い分けることが必要
インターネットの接続部分は、パブリックネットワークとして、DB回りなどはプライベートネットワークとする
ただし、プライベートネットワークからDBなどのバージョンアップをする際は、パブリックネットワークにNATを用いてインタネットのに接続できるようにすることが必要となります。
パプリックネットワークに配置するインスタンスのセキュリティグループ
インバウンドの設定
HTTP、HTTPSのポート番号の許可
HTTP、HTTPSのポート番号の許可
windows以外 22番の許可
windows 3389番の許可
アウトバンドの設定が必要
DBのセキュリティグループに対して 1433番(SQLServer)、3306番(MySQL)の許可
HTTPとHTTPSの許可
DBなどを配置するプライベートネットワークに配置するインスタンスのセキュリティグループ
インバウンド設定
パブリックネットワークに対するDBなどのポート番号を許可する
アウトバンド設定
HTTPSとHTTPとの接続を許可する