導入後の確認

HULFT10 for Container Services導入後の確認について説明します。

作成されたリソースの確認方法

CloudFormation により作成されたリソースはスタック画面のリソースタブから確認することができます。

新規作成されたVPCのネットワーク構成

CloudFormation NewDeployTemplate1の実行により作成されるネットワークは「図1.4 CloudFormation NewDeployTemplate1の実行により作成されるネットワーク」の状態になっています。

図中のスタック出力キー名については、「表1.5 プライベートサブネットのスタック出力キー名」および「表1.6 パブリックサブネットのスタック出力キー名」を参照してください。

 

 

図をクリックすると、図が拡大表示されます。再度クリックすると図を閉じることができます。

図1.4 CloudFormation NewDeployTemplate1の実行により作成されるネットワーク

表1.5 プライベートサブネットのスタック出力キー名

スタック出力キー名

リソース名連番

ルートテーブルの指定

役割

PrivateSubnetForDB1

PrivateSubnetForDB2

private-01

private-02

Amazon Aurora MySQL用サブネット

PrivateSubnetForECS

private-03

ECS用サブネット

ルートテーブルは以下の設定が行われている

  • HULFT転送のためにNATゲートウェイを用いたインターネット通信が可能

  • HULFT転送のためにV8導入VPCと通信が可能(オプション)

PrivateSubnetForNLB

private-04

NLB用サブネット

ルートテーブルは以下の設定が行われている

  • HULFT転送のためにV8導入VPCと通信が可能(オプション)

PrivateSubnetForALB1

PrivateSubnetForALB2

private-05

private-06

内部ALB用サブネット

PrivateSubnetForVPCEndpoint

private-07

VPCエンドポイント用サブネット

 

表1.6 パブリックサブネットのスタック出力キー名

スタック出力キー名

リソース名連番

ルートテーブルの指定

役割

PublicSubnetForExtALB1

PublicSubnetForExtALB2

public-01

public-02

外部ALB用サブネット

PublicSubnetForNATGW

public-03

NATゲートウェイ用サブネット

PublicSubnetForBastionServer

public-04

外部から接続できるEC2インスタンスを作成する際に使用(導入時は利用しない)

 

サブネットの論理IDと物理IDは以下の手順で確認できます。

  1. CloudFormation NewDeployTemplate1の実行スタックのリソースを開きます。

  2. 論理IDNetwork1でネストされたスタックのリソースを開きます。

  3. 論理IDVPC1でネストされたスタックのリソースを開きます。

 

VPCエンドポイントの論理IDと物理IDは以下の手順で確認できます。

  1. CloudFormation NewDeployTemplate1の実行スタックのリソースを開きます。

  2. 論理IDNetwork1でネストされたスタックのリソースを開きます。

  3. 論理IDRouteTable1でネストされたスタックのリソースを開きます。

 

VPCエンドポイントのスタック出力キー名は「表1.7 VPCエンドポイントのスタック出力キー名」のとおりです。

表1.7 VPCエンドポイントのスタック出力キー名

スタック出力キー名

サービス名

エンドポイントタイプ

役割

FargateVPCEndpointForS3

com.amazonaws.ap-northeast-1.s3

Gateway

S3バケットへの転送をプライベート接続で行うためのGateway型エンドポイント

FargateVPCEndpointForSecretsManager

com.amazonaws.ap-northeast-1.secretsmanager

Interface

Secrets Managerからの値取得に使用

FargateVPCEndpointForCloudWatch

com.amazonaws.ap-northeast-1.monitoring

Interface

CloudWatchへのログ書き込みに使用

 

セキュリティグループの論理IDと物理IDは以下の手順で確認できます。

  1. CloudFormation NewDeployTemplate1の実行スタックのリソースを開きます。

  2. 論理IDNetwork1でネストされたスタックのリソースを開きます。

  3. 論理IDFargateSecurityGroupでネストされたスタックのリソースを開きます。

セキュリティグループのスタック出力キー名は「表1.8 セキュリティグループのスタック出力キー名」のとおりです。

 

表1.8 セキュリティグループのスタック出力キー名

スタック出力キー名

リソース名連番

使用される場所

説明

FargateSGForDuaringServiceConnection

01

内部ALB

以下からのアクセスを許可

  • 同一VPC内からの通信

    • HTTPS:30443

    • HTTSP:32443

FargateSGForBastionServer

02

外部から接続するEC2インスタンスを作成するときに使用

空のルールで作成

FargateSGForDB

03

Amazon Aurora MySQL

以下からのアクセスを許可

  • FargateSGForBastionServer(外部から接続するEC2インスタンス)

  • FargateSGForECSService(転送コンテナ/管理コンテナ)

FargateSGForECSService

04

転送コンテナ/管理コンテナ

以下からのアクセスを許可

  • 同一VPC内からの通信

FargateSGForCloudWatch

05

CloudWatchエンドポイント

以下からのアクセスを許可

  • FargateSGForCloudWatch(転送コンテナ/管理コンテナ)

FargateSGForExtALB

07

外部ALB

以下からのアクセスを許可

  • 導入時に以下で指定したIP

    • SourceIP1

    • SourceIP2

    • SourceIP3

  • NAT gatewayのグローバルIP(loopback用IP)

FargateSGForSecretsManager

08

Secrets Managerエンドポイント

以下からのアクセスを許可

  • FargateSGForECSService(転送コンテナ/管理コンテナ)

TOP

サイトポリシー     (c) Saison Technology Co.,Ltd. 2024