理論

AWS VPCでトラフィックをEC2インスタンス経由にする理由と課題

背景：問題の設定

1. すべてのトラフィックをEC2インスタンス経由にする目的

1. セキュリティの強化
• トラフィックを一元的に検査し、外部からの不正アクセスや内部の異常な通信を検知・遮断する。
• IDS/IPS（侵入検知/防止システム）やファイアウォールを導入することで、セキュリティリスクを軽減。

2. トラフィックの可視化と管理
• トラフィックの量やパターンを監視し、ネットワークのボトルネックや異常を特定。
• 運用データを基に、ネットワーク設計や負荷分散を最適化。

3. 拡張性と柔軟性
• トラフィック分析やセキュリティルールをアップデートしやすく、新たな要件にも柔軟に対応可能。

2. 設定方法のポイント

• ルーティング設定
VPCのルートテーブルで、VPC内部や外部インターネットへのすべてのトラフィックを、3台のEC2インスタンス（またはそのENI: Elastic Network Interface）に向ける。

• NATゲートウェイまたはゲートウェイ型ロードバランサ（GWLB）の活用
VPC内外の通信を最適に制御するため、NATやGWLBを使ってトラフィックをEC2インスタンスに転送。

• Auto Scalingとルートの更新
• Auto Scalingでインスタンスを置き換える場合、新しいインスタンスのENIにルートを更新する必要がある。
• このために、CloudWatchアラームやLambda関数を活用し、自動的にルート更新を行う仕組みを構築。

3. 課題と解決策

• 課題：インスタンス置き換え時のルート更新
Auto Scalingによってインスタンスが置き換えられても、ルートが古いインスタンスを指したままになると、トラフィックが正しく処理されなくなる。

• 解決策
• CloudWatchとLambdaの連携：インスタンスの異常を監視し、置き換え後にルートテーブルを新しいインスタンスに自動更新。
• ゲートウェイ型ロードバランサの導入：GWLBを活用し、インスタンスの追加や置き換えを抽象化する。

4. まとめ

実践

一問道場

• A. EC2ステータスチェックメトリクスに基づくアラームを作成し、Auto Scalingグループが障害のあるインスタンスを置き換えるようにする。

• B. CloudFormationテンプレートを更新して、EC2インスタンスにAmazon CloudWatchエージェントをインストールする。CloudWatchエージェントを構成して、アプリケーションのプロセスメトリクスを送信する。

• C. CloudFormationテンプレートを更新して、EC2インスタンスにAWS Systems Managerエージェントをインストールする。Systems Managerエージェントを構成して、アプリケーションのプロセスメトリクスを送信する。

• D. カスタムメトリクスの障害シナリオに対するアラームをAmazon CloudWatchで作成する。アラームがAmazon Simple Notification Service (Amazon SNS)トピックにメッセージを送信するように設定する。

• E. Amazon SNSメッセージに応答するAWS Lambda関数を作成し、そのインスタンスをサービスから外す。ネットワークルートを更新して、置き換えられたインスタンスに指すようにする。

• F. CloudFormationテンプレートに条件を記述して、インスタンスが置き換えられるとネットワークルートを更新する。