投稿日：2025/9/11

はじめに

こんにちは！システムサポートの田中です。

会社の事業部内でAWSに関する勉強会を開催することになり、その勉強会の題材としてAWSが公式に提供している「Cloud Quest」を使用するので、実際に試したときの感想をブログとして紹介したいと思います。
今回は5つ目のミッション「ネットワークの概念」をご紹介します。

Cloud Questを始めるにあたっての事前準備などの紹介をPart.0に記載していますので、興味がございましたら、以下のリンクからご確認ください。
≫ Part.0：事前準備

また、４つ目のミッション「クラウドコストの見積り」をPart.4に記載していますので、こちらも興味がございましたら、以下のリンクからご確認ください。
≫ Part.4：クラウドコストの見積り

ミッション5：ネットワークの概念

このミッションでの学習目標は、以下の通りです。
・ルートテーブルを設定し、インターネットゲートウェイをアタッチする

今回は、EC2についてです。
EC2はAWSのメインサービスで、前回も学んだサービスですね。
1．「学習」セクション
今回扱うサービスのEC2について復習です。正式名称は、Amazon Elastic Compute Cloud（Amazon EC2）といい、仮想サーバーを構築するためのサービスです。
EC2を使用することで迅速な構築を可能とし、サーバーのスペック（CPUやメモリ）変更も容易になります。
また、EC2を利用した分だけ料金が発生するという従量課金制なので、コストメリットが大きいです。
他にも特徴はありますが、もっと詳細に知りたいという方は公式ページをご確認ください。
安全でサイズ変更可能なクラウドコンピューティング – Amazon EC2 – Amazon Web Services
Amazon EC2 とは – Amazon Elastic Compute Cloud
2．「計画」セクション
今回の「実践」セクションでは、以下の4つが目標に掲げられています。
　・仮想プライベートクラウド（VPC）を構成するコンポーネントを確認する
　・VPCのサブネットにアタッチされているルートテーブルを設定する
　・VPCにインターネットゲートウェイを設定する
　・セキュリティグループのインバウンドルールを設定してアクセスを制御する

「DIY」セクションでは、セキュリティグループのルールを変更して、ポート3306経由でDBサーバーへのトラフィックを許可するため、「実践」セクションで学ぶセキュリティグループのルールの理解を深めれば問題なさそうですね。
3．「実践」セクション
まず、EC2にある「Web Server」のインスタンスの情報を確認してみましょう。
情報の中に、パブリックIPv4アドレスがあるはずなのでコピーして、検索します。
しばらく読み込み画面が続き、サイトに到達できないという結果が返ってきます。
到達できない原因は、とある仕組みによって、Web Serverインスタンスへのアクセスが防がれているためです。
この問題を解決するために、次のステップから設定をしていきます。
インターネットからWeb Serverインスタンスにアクセスできるように設定していきましょう。
まずはEC2のインスタンス画面に移動して、Web ServerのサブネットIDを選択します。
サブネットIDの画面に移動した後は、「ルート」タブを選び、ルートテーブルを選択しましょう。
こちらのルートテーブルでは、Web Serverインスタンスに関するデータの流れを設定することが出来ます。
では、「ルート」タブを選択して、編集をしてみましょう。
Routeが2つ設定されており、2つ目にNATゲートウェイが設定されているはずです。
先ほど、Web Serverインスタンスに接続できなかったことの原因の一つは、このNATゲートウェイです。NATゲートウェイには「外部から対象インスタンスにアクセスできない」という仕組みがあるため、この設定を変更していきましょう。
NATゲートウェイの代わりに、インターネットゲートウェイを設定します。こうすることで、外部からWeb Serverインスタンスに接続できるようになります。
しかし、インターネットゲートウェイの設定だけでは、Web Serverインスタンスに接続できません。
なぜなら、インターネットゲートウェイは、外部の世界とWeb Serverインスタンスの通り道を繋いだだけだからです。

ここで次に注目したいのは、セキュリティグループという存在です。
これは、インターネットゲートウェイとWeb Serverインスタンスの間にあり、安全なアクセスだけを許可する門番の役割を担っています。

例えるならば、
・インターネットゲートウェイは、インターネットとWeb Serverインスタンスを繋ぐ「ドア」のようなもの
・セキュリティグループは、その「ドア」を通る人を見張る「門番」のようなもの
です。

そのため、次はWeb Serverのセキュリティグループの設定を変更します。
Web Serverインスタンスの「セキュリティ」タブを選び、セキュリティグループを選択しましょう。
セキュリティグループを開くと、以下のような画面が出てきました。
「インバウンドルール」タブを選択します。
新たなインバウンドルールを追加します。
インバウンドルールとは、○○の通信を受け入れるというルールのことです。
タイプを「HTTP」、ソースを「0.0.0.0/0」に設定して、保存しましょう。
この設定をすることで、外部のあらゆるHTTP通信を許可します。

ここで、「HTTP通信」と「0.0.0.0/0」についても詳しく見ていきます。

まずHTTP通信とは、インターネットでウェブページを見るときに使用される約束事のことです。
この約束事を設定することで、今回のWeb Serverインスタンスに接続できるようになります。

また、「0.0.0.0/0」とは、全てのIPアドレスを表す特別なアドレスです。
あらゆるコンピューターやスマートフォンには、IPアドレスというインターネット内の住所のようなものが付いています。

今回の設定をすることで、あらゆるコンピューターやスマートフォンからのアクセスを許可します。
では、外部からWeb Serverインスタンスに接続できるようになったことの確認をしていきます。
EC2のインスタンス画面を開き、Web ServerインスタンスのパブリックIPv4アドレスをコピーして、検索しましょう。
正しく設定できていれば、以下の画面が表示されるはずです。

これで、インターネットを使用して、外部からWeb Serverインスタンスにアクセスすることが出来ました。
しかし、どうやらWeb ServerインスタンスとDB Serverインスタンスの通信が失敗しているようです。
この通信を成功させるためには、他にも設定が必要なため、次の「DIY」セクションに進みましょう。
4．「DIY」セクション
セキュリティグループのルールを変更して、ポート3306経由でDBサーバーへのトラフィックを許可することがミッションです。
先ほどの実践では、外部の通信とWeb Serverインスタンスの通り道を作りました。そのため、次はWeb ServerインスタンスとDB Serverインスタンスの通り道を作ることが必要ですね。まずはEC2のインスタンス画面を開き、DB Serverインスタンスを選択します。
そして実践セクションでも取り組んだように、「セキュリティ」タブを選択して、セキュリティグループを選び、インバウンドルールを変更してみましょう。
DB Serverインスタンスのインバウンドルールは、以下の設定をして保存します。
・タイプ「MYSQL/Aurora」
・ソース「Web Serverのセキュリティグループ」
この設定をすることで、Web ServerインスタンスからDB Serverインスタンスへの通信を許可します。
では、EC2のインスタンス画面を開き、Web ServerインスタンスのパブリックIPv4アドレスをコピーして、検索してみましょう。実践セクション
は、Web ServerインスタンスとDB Serverインスタンスの接続が失敗していましたが、今回はどうでしょうか。

成功していれば以下の様に、「Connected!」と表示されます。

接続に失敗してしまう場合は、セキュリティグループのルールや今までの操作を見直してみましょう。
また、接続成功までに1分ほど時間がかかる場合もあるため、ページを開いて少し待機すると成功することもあります。

これでこのミッションはクリアですね。