Contents
ネットワークACLを試してみる
今回はセキュリティグループ(Security Group)での通信制御について確認してみます。
構成は下記をベースにしています。
![](https://www.belpia.com/wp-content/uploads/2020/04/belpia-vpc-basic-1.png)
(1)EC2でApacheを動かして自分のパソコンからアクセスする
(2)パブリックのEC2からプライベートのEC2にPingを打つ
最初はネットワークACLとセキュリティグループの違いがややこしかったり、
一番最初に設定されている状態がどうで、新規に作成した時の状態がどうとか少し覚えるのが大変ですが、少しずつ慣れていきましょう。
EC2でApacheを動かして自分のパソコンからアクセスする
![](https://www.belpia.com/wp-content/uploads/2020/04/belpia-network-acl-1.png)
パブリックIPを確認してSSHでEC2にログインする。
EC2でapacheを動かす
![](https://www.belpia.com/wp-content/uploads/2020/04/belpia-network-acl-2.png)
Apacheをインストールします。
![](https://www.belpia.com/wp-content/uploads/2020/04/belpia-network-acl-4.png)
Apacheを起動します。
![](https://www.belpia.com/wp-content/uploads/2020/04/belpia-network-acl-5.png)
ブラウザにパブリックIPを入力しましたが、
アクセスできない状態です。
![](https://www.belpia.com/wp-content/uploads/2020/04/belpia-network-acl-6.png)
まずネットワークACLの状態を確認します。
インバウンドで全ての通信を許可しています。
つまりネットワークACLでは拒否していないことが分かります。
次にセキュリティグループの設定を確認します。
![](https://www.belpia.com/wp-content/uploads/2020/04/belpia-network-acl-7.png)
パブリック用のEC2を選択して、右下のセキュリティグループのlaunch-wizard-1をクリックします。
![](https://www.belpia.com/wp-content/uploads/2020/04/belpia-network-acl-8.png)
インバウンドルールのタブをクリックします。
SSHで使用する22番ポートのみ許可しています。
つまりHTTPで使用する80番ポートは許可していない事が分かります。
![](https://www.belpia.com/wp-content/uploads/2020/04/belpia-network-acl-9.png)
インバウンドルールの編集をクリックします。
![](https://www.belpia.com/wp-content/uploads/2020/04/belpia-network-acl-10.png)
ルールを追加するをクリックします。
![](https://www.belpia.com/wp-content/uploads/2020/04/belpia-network-acl-11.png)
HTTPの通信をどこからでも許可する設定を追加します。
![](https://www.belpia.com/wp-content/uploads/2020/04/belpia-network-acl-12.png)
HTTPを許可するルールが追加されました。
![](https://www.belpia.com/wp-content/uploads/2020/04/belpia-network-acl-13.png)
再度パブリックIPをブラウザに入力し、Apacheのデフォルトのページが表示されることを確認します。
EC2間でPingを打つ
![](https://www.belpia.com/wp-content/uploads/2020/04/belpia-network-acl-14.png)
プライベートサブネットに設置したEC2のIPアドレスを確認します。
![](https://www.belpia.com/wp-content/uploads/2020/04/belpia-network-acl-15.png)
パブリックサブネットにあるEC2からプライベートサブネットにあるEC2にPingを実行し、
通らないことを確認します。
![](https://www.belpia.com/wp-content/uploads/2020/04/belpia-network-acl-16.png)
プライベートサブネットに適用されているセキュリティグループをクリックします。
![](https://www.belpia.com/wp-content/uploads/2020/04/belpia-network-acl-17.png)
インバウンドルールのタブを選択し、Pingを許可するルールが無い事を確認してインバウンドのルールの編集をクリックします。
![](https://www.belpia.com/wp-content/uploads/2020/04/belpia-network-acl-18.png)
全てのICMP-IPv4を許可します。
ソース(送信元)はパブリックサブネットのNWアドレスである10.0.100.0/24を指定。
![](https://www.belpia.com/wp-content/uploads/2020/04/belpia-network-acl-19.png)
これでPingが通るようになりました。
セキュリティグループのおさらい
今回はパブリックサブネットのEC2にはHTTP通信の許可を、
プライベートサブネットのEC2にはICMP通信の許可の設定をしました。
セキュリティ関係はセキュリティグループの他にもネットワークACLやIAMポリシーなどもあり、曖昧にしていると混乱してくる可能性があります。
一つずつ簡単な設定を繰り返し行っていくことで、少しずつ整理できてくると思います。