DocumentDB クラスターで使用する IPv4-only VPC を作成する - Amazon DocumentDB
ステップ 1: プライベートサブネットとパブリックサブネットを持つ VPC を作成するステップ 2: パブリックアプリケーションの VPC セキュリティグループを作成するステップ 3: プライベートクラスターの VPC セキュリティグループを作成するステップ 4: サブネットグループを作成するVPC の削除

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

DocumentDB クラスターで使用する IPv4-only VPC を作成する

一般的なシナリオには、Amazon VPC サービスに基づく Virtual Private Cloud (VPC) 内のクラスターが含まれます。たとえば、この VPC は、同じ VPC で実行されているサービスまたはアプリケーションとデータを共有できます。このトピックでは、このシナリオの VPC を作成します。

クラスターは、パブリックインターネットではなく、アプリケーションでのみ使用できる必要があります。したがって、パブリックサブネットとプライベートサブネットを持つ VPC を作成します。アプリケーションはパブリックサブネットでホストされるため、パブリックインターネットに到達できます。クラスターはプライベートサブネットでホストされます。アプリケーションは同じ VPC 内でホストされているため、クラスターに接続できます。ただし、クラスターはパブリックインターネットでは利用できないため、セキュリティが向上します。

このトピックの手順では、別のアベイラビリティーゾーンに追加のパブリックサブネットとプライベートサブネットを設定します。これらのサブネットは、 プロシージャでは使用されません。DocumentDB サブネットグループには、少なくとも 2 つのアベイラビリティーゾーンにサブネットが必要です。サブネットを追加すると、複数の DocumentDB インスタンスを簡単に設定できます。

このトピックでは、Amazon DocumentDB クラスターの VPC の設定について説明します。Amazon VPC の詳細については、「Amazon VPC ユーザーガイド」を参照してください。

ヒント

クラスターの作成時に、Amazon EC2 インスタンスと DocumentDB クラスター間のネットワーク接続を自動的に設定できます。ネットワーク設定は、このシナリオで説明されている設定と似ています。詳細については、「Amazon EC2 への自動接続」を参照してください。

ステップ 1: プライベートサブネットとパブリックサブネットを持つ VPC を作成する

以下の手順で、パブリックサブネットとプライベートサブネットを持つ VPC を作成します。

VPC とサブネットを作成するには

  1. https://console.aws.amazon.com/vpc で Amazon VPC コンソールを開きます。

  2. の右上隅で AWS マネジメントコンソール、VPC を作成するリージョンを選択します。この例では、米国西部 (オレゴン) リージョンを使用します。

  3. 左上隅の [VPC dashboard] (VPC ダッシュボード) を選択します。VPC の作成を開始するには、[Create VPC] (VPC の作成) を選択します。

  4. [VPC Settings] (VPC 設定) の [Resources to create] (作成するリソース) で、[VPC and more] (VPC など) を選択します。

  5. [VPC settings] (VPC 設定) で、これらの値を設定します。

    • 名前タグの自動生成example

    • IPv4 CIDR ブロック10.0.0.0/16

    • IPv6 CIDR ブロック IPv6 CIDR ブロックなし

    • テナンシーデフォルト

    • アベイラビリティーゾーン (AZs) の数2

    • AZsカスタマイズ — デフォルト値のままにする

    • パブリックサブネットの数2

    • プライベートサブネットの数2

    • サブネット CIDR ブロックのカスタマイズ — デフォルト値のままにします

    • NAT ゲートウェイ ($)なし

    • VPC エンドポイントなし

    • DNS オプション — デフォルト値のままにします

  6. [Create VPC(VPC の作成)] を選択します。

ステップ 2: パブリックアプリケーションの VPC セキュリティグループを作成する

次に、パブリックアクセスのセキュリティグループを作成します。VPC 内のパブリック EC2 インスタンスに接続するには、インバウンドルールを VPC セキュリティグループに追加します。これにより、インターネットからのトラフィックを接続できるようになります。

VPC セキュリティグループを作成するには

  1. https://console.aws.amazon.com/vpc で Amazon VPC コンソールを開きます。

  2. [VPC ダッシュボード]、[セキュリティグループ]、[セキュリティグループの作成] の順に選択します。

  3. [セキュリティグループの作成] ページで、以下の値を設定します。

    • セキュリティグループ名example-securitygroup

    • 説明Application security group

    • VPC — 前に作成した VPC を選択します。例: vpc-example

  4. インバウンドルールをセキュリティグループに追加します。

    1. Secure Shell (SSH) を使用して VPC の EC2 インスタンスへの接続に使用する IP アドレスを決定します。パブリック IP アドレスを決定するには、別のブラウザウィンドウまたはタブで、https://checkip.amazonaws.com のサービスを使用できます。IP アドレスの例は 203.0.113.25/32 です。

      多くの場合、インターネットサービスプロバイダー (ISP) 経由、またはファイアウォールの内側から静的 IP アドレスなしで接続することがあります。この場合は、クライアントコンピュータが使用する IP アドレスの範囲を検索します。

      警告

      SSH アクセスに 0.0.0.0/0 を使用すると、すべての IP アドレスが SSH を使ってパブリックインスタンスにアクセスできるようになります。この方法は、テスト環境で短時間なら許容できますが、実稼働環境では安全ではありません。実稼働環境では、特定の IP アドレスまたは特定のアドレス範囲にのみ、SSH を使ったインスタンスへのアクセスを限定します。

    2. [インバウンドルール] セクションで、[ルールの追加] を選択します。

    3. 新しいインバウンドルールに次の値を設定して、Amazon EC2 インスタンスへの SSH アクセスを許可します。これを行うと、EC2 インスタンスに接続してアプリケーションやその他のユーティリティをインストールできます。また、EC2 インスタンスに接続して、アプリケーションのコンテンツをアップロードします。

      • タイプSSH

      • ソース — ステップ a から作成した IP アドレスまたは範囲。例: 203.0.113.25/32

    4. [ルールを追加] を選択してください。

    5. アプリケーションへの HTTP アクセスを許可するには、新しいインバウンドルールに次の値を設定します。

      • タイプHTTP

      • ソース0.0.0.0/0

  5. セキュリティグループを作成するには、[Create security group] (セキュリティグループの作成) を選択します。

    別の手順で後ほど必要になるため、セキュリティグループ ID を書き留めます。

ステップ 3: プライベートクラスターの VPC セキュリティグループを作成する

クラスターをプライベートに保つには、プライベートアクセス用の 2 番目のセキュリティグループを作成します。VPC 内のプライベートクラスターに接続するには、アプリケーションからのトラフィックのみを許可するインバウンドルールを VPC セキュリティグループに追加します。

VPC セキュリティグループを作成するには

  1. https://console.aws.amazon.com/vpc で Amazon VPC コンソールを開きます。

  2. [VPC ダッシュボード]、[セキュリティグループ]、[セキュリティグループの作成] の順に選択します。

  3. [セキュリティグループの作成] ページで、以下の値を設定します。

    • セキュリティグループ名example-securitygroup

    • 説明Instance security group

    • VPC — 前に作成した VPC を選択します。例: vpc-example

  4. インバウンドルールをセキュリティグループに追加します。

    1. [インバウンドルール] セクションで、[ルールの追加] を選択します。

    2. Amazon EC2 インスタンスからのポート 27017 での DocumentDB トラフィックを許可するには、新しいインバウンドルールに次の値を設定します。これを行うと、アプリケーションからクラスターに接続できます。これにより、アプリケーションからデータベースにデータを保存および取得できます。

      • タイプCustom TCP

      • ソース — このトピックで以前に作成したアプリケーションセキュリティグループの識別子。例: sg-9edd5cfb

    3. [ルールを追加] を選択してください。

    4. アプリケーションへの HTTP アクセスを許可するには、新しいインバウンドルールに次の値を設定します。

      • タイプHTTP

      • ソース0.0.0.0/0

  5. セキュリティグループを作成するには、[Create security group] (セキュリティグループの作成) を選択します。

ステップ 4: サブネットグループを作成する

サブネットグループは、VPC で作成し、クラスターに指定するサブネットのコレクションです。サブネットグループを使用すると、クラスターの作成時に特定の VPC を指定できます。

サブネットグループを作成するには

  1. VPC 内のデータベースのプライベートサブネットを特定します。

    1. https://console.aws.amazon.com/vpc で Amazon VPC コンソールを開きます。

    2. [VPC Dashboard] (VPC ダッシュボード) を選択してから、[Subnets] (サブネット) を選択します。

    3. ステップ 1 で作成したサブネットのサブネット IDs を書き留めます。例: example-subnet-private1-us-west-2aexample-subnet-private2-us-west-2b。サブネットグループを作成するときは、サブネット IDs が必要です。

  2. にサインインし AWS マネジメントコンソール、https://console.aws.amazon.com/docdb で Amazon DocumentDB コンソールを開きます。

    Amazon VPC コンソールではなく、Amazon DocumentDB コンソールに接続していることを確認してください。

  3. ナビゲーションペインで [サブネットグループ] を選択します。

  4. [作成] を選択します。

  5. サブネットグループの作成ページで、サブネットグループの詳細セクションでこれらの値を設定します。

    • 名前example-db-subnet-group

    • 説明Instance security group

  6. 「サブネットの追加」セクションで、次の値を設定します。

    • VPC — 前に作成した VPC を選択します。例: vpc-example

    • アベイラビリティーゾーン — ステップ 1 で作成した両方のアベイラビリティーゾーンを選択します。例: us-west-2a および us-west-2b

    • サブネット — ステップ 1 で作成したプライベートサブネットを選択します。

  7. [作成] を選択します。

新しいサブネットグループは、DocumentDB コンソールのサブネットグループリストに表示されます。サブネットグループを選択すると、詳細ペインに詳細を表示できます。これらの詳細には、グループに関連付けられているすべてのサブネットが含まれます。

注記

この VPC を作成して DocumentDB クラスターに関連付ける場合は、「」の手順に従ってクラスターを作成しますAmazon DocumentDB クラスターの作成

VPC の削除

不要になった場合は、VPC および VPC 内で使用されている他のリソースを削除できます。

注記

このトピックで作成した VPC にリソースを追加した場合は、VPC を削除する前にリソースを削除する必要がある場合があります。例えば、これらのリソースには Amazon EC2 インスタンスまたは DocumentDB クラスターが含まれる場合があります。詳細については、Amazon VPC ユーザーガイドの「VPC の削除」を参照してください。

VPC および関連リソースを削除するには

  1. サブネットグループを削除します。

    1. にサインインし AWS マネジメントコンソール、https://console.aws.amazon.com/docdb で Amazon DocumentDB コンソールを開きます。

    2. ナビゲーションペインで [サブネットグループ] を選択します。

    3. example-db-subnet-group など、削除するサブネットグループを選択します。

    4. [削除] を選択してから、確認ウィンドウの [削除] を選択します。

  2. 次のようにして、VPC ID をメモします。

    1. https://console.aws.amazon.com/vpc で Amazon VPC コンソールを開きます。

    2. VPC ダッシュボードを選択し、VPCs を選択します。

    3. リストで、vpc-example など、作成した VPC を特定します。

    4. 作成した VPC の [VPC ID] をメモします。後続のステップで VPC ID が必要になります。

  3. セキュリティグループを削除するには、次のようにします。

    1. https://console.aws.amazon.com/vpc で Amazon VPC コンソールを開きます。

    2. [VPC ダッシュボード] を選択してから、[セキュリティグループ] を選択します。

    3. example-securitygroup など、Amazon DocumentDB クラスターのセキュリティグループを選択します。

    4. アクションで、セキュリティグループの削除を選択し、確認ダイアログで削除を選択します。

    5. セキュリティグループページに戻り、example-securitygroup などの Amazon EC2 インスタンスのセキュリティグループを選択します。

    6. アクションで、セキュリティグループの削除を選択し、確認ダイアログで削除を選択します。

  4. VPC の削除

    1. https://console.aws.amazon.com/vpc で Amazon VPC コンソールを開きます。

    2. VPC ダッシュボードを選択し、VPCs を選択します。

    3. vpc-example など、削除する VPC を選択します。

    4. アクション で、VPC の削除 を選択します。

      確認ページには、VPC に関連付けられたサブネットを含め、削除される VPC に関連付けられているその他のリソースが表示されます。

    5. 確認ダイアログで、「」と入力しdelete「削除」を選択します。