AWSの侵入テストを同一VPCで完結したい場合の申請方法 | iret.media
はじめまして、cloudpack の 齋藤(saitara) です。 AWSで脆弱性診断を行うときには「ちゃんと意図してやってますよ、sourceもdestinationも特定してますよ」ということを申請する必要があります。 侵入テスト: http://aws.amazon.com/jp/security/penetration-testing/ 今回同一VPCで完結した侵入テストを行う申請をしましたが、外部からの侵入テストとはすこし違う申請方法が必要でしたのでまとめます。 注意点はsource IPとdestination IPはプライベートアドレスで届け出をすることです。同一VPC(更に今回は同一subnet)で完結する場合、プライベートアドレスで届け出をする必要があります。 申請後しばらく時間が経過して、許可された場合以下のようなフォーマットでメールが届きます。 Hello, Tha
T2インスタンスはVPCでないと使えない – Goodbye,EC2 Classic; Hello,VPC | iret.media
cloudpackエバンジェリストの吉田真吾(@yoshidashingo)です。 もう1年半近く前になりますがAWSから以下のような発表があり、以降AWSアカウントを作成した人は、EC2(仮想サーバー)をAmazon VPCという閉域ネットワーク内に作成することが必須になりました。そして以前からAWSアカウントを持っている人は、引き続きインターネットパブリックな環境にEC2を立てることができる(EC2 Classic環境という名称で)状態が続いていました。 Amazon Web Services ブログ: 【AWS発表】 Amazon EC2 アップデート – 全ての皆様にVPC (Virtual Private Cloud)を! T2インスタンスファミリーはEC2 Classicでは起動できない しばらく上記の状況が続いていたのですが、この7月に発表された「最も安価な価格帯」で「強烈に
Vagrantでインスタンスを指定したVPC subnet配下で起動してEIPを割り当てる方法 | iret.media
cloudpack の がみさんです。 指定したVPCのSubnetにvagrant up –provider=awsでインスタンスを起動する方法です。 現時点でvagrant-awsのREADME.mdに下記のようなことが書いてあったけど、動かなかったので README.md associate_public_ip – If true, will associate a public IP address to an instance in a VPC. やってみた結果 AWS Provider: * The following settings shouldn't exist: public_ip_address 対応 Issue読んでみるとelastic_ipパラメータがあるらしい。 subnet_idを指定する。 aws.elastic_ipパラメータをtrueにするとインスタンス
新しくVPCを作ってインターネットと通信させる方法
cloudpackエバンジェリストの吉田真吾(@yoshidashingo)です。 よく忘れるのでメモ。 デフォルトVPCにははじめからインターネットゲートウェイ(IGW)がアタッチされていますが、新しくVPCを作ってインターネットと通信できるサブネッと(パブリックサブネット)を作る方法。 手順は以下に記載されているとおり。 インターネットゲートウェイを VPC に追加する – Amazon Virtual Private Cloud VPCを作成する サブネットを作成する インターネットゲートウェイを作成する インターネットゲートウェイをVPCにアタッチする サブネットに割当てられているルートテーブルで、ローカル以外(0.0.0.0/0)のターゲットをインターネットゲートウェイに設定する ルートテーブルにサブネットをAssociationする(※忘れがち) サブネット内に既にインスタンス
AWSアカウントをまたいだ VPC Peering 接続手順メモ | iret.media
cloudpackエバンジェリストの吉田真吾(@yoshidashingo)です。 Amazon VPCに「VPC Peering機能」がリリースされました。 すでに色々ブログに上がってますね。 別アカウントのVPC同士をPeeringしてみる アカウントAのVPCから接続してみます。CIDRは「10.0.0.0/16」 アカウントBのVPC。アカウントAから接続を受け入れます。CIDRは「192.168.0.0/16」 My AccountからアカウントBのAccount IDと接続を受け入れるVPC IDを調べておきます。 アカウントAのVPC「Peering Connections」でピアリング接続を作成します。 アカウントAで「受入れ待ち」になります。 アカウントBでも「受入れ待ち」になるので、受入れます。 アカウントAでもStatusが「Active」になります。 ピアリング接続
VPC内でのPublicなRDSインスタンス作成手順(2013.10版) | iret.media
cloudpackエバンジェリストの吉田真吾(@yoshidashingo)です。 インターフェースが変更され躓くことが多いため、RDSインスタンスをVPC内のパブリックなサブネットに置く場合(あまりないけど)を例に手順をメモしておきます。 ○VPC Management Console VPC の DNS 設定 DNS Settings で”Enable DNS resolution”と”Enable DNS hostname support for instance launched in this VPC”にチェック。 サブネットの設定 サブネットの Route Table にインターネットGWを設定 VPC Security Group の設定 RDSインスタンスに割当てる Security Group の接続元IPアドレスと接続ポート番号を設定する ○RDS Management
cloudpackブログ - VPC環境で作れるELBの上限について調べてみました
公式ドキュメントに下記のような記述があります。 ロードバランサーが正しくスケーリングを行えるように、ロードバランサーをアタッチするサブネットの CIDR ブロックを、最低でも /27 ビットマスク(例: 10.0.0.0/27)に指定してください。 ロードバランサーをアタッチするサブネット内には自由な IP アドレスが 20 個以上含まれている必要があります。 Amazon VPC での Elastic Load Balancing のデプロイ 上記をもとに/27のサブネットでは、実際いくつまでELBを作る事ができるか調査してみました。 10.0.1.0/27でサブネットを作成したところ、初期の利用可能なIPアドレス数は27でした。 ELBを順に作成してみたところ、8個までは問題なく作ることができました。 しかし、9個目で下記のようなエラーメッセージが表示されました。 Error: Inv
cloudpackブログ - VPCの(Amazon)DNSサーバ
知識の裏付けのため、ドキュメントを確認してみました。 表題の件、下記ドキュメントに記載がありました。 Amazon DNS Server 上記の内容を和訳もしてみました。 When you create a VPC, we automatically create a set of DHCP options and associate them with the VPC. VPCを作成するとき、自動的にDHCP Optionsが作成され、そのVPCに関連付けられます。 This set includes only a single option: domain-name-servers=AmazonProvidedDNS. このDHCP Optionsにはdomain-name-servers=AmazonProvidedDNSの設定のみが含まれます。 This is an Amazon
cloudpackブログ - EC2(VPC)のPublic IPとPrivate IPを同時に切り替えるスクリプト
以前紹介した、「EC2(VPC)のPublic IPとPrivate IPを同時に切り替える」では、AWSコンソール上で手動で 行うものでした。 そこで、AWSではAPIが提供されているので、切り替えスクリプトも作成してみました。 まずは切り替え対象の二つのEC2のENIの確認です。 【アクティブEC2】 【スタンバイEC2】 上記の状態で、スタンバイEC2にて下記のスクリプトを、次のように実行してみます。 #!/bin/sh AZ=`curl -s http://169.254.169.254/latest/meta-data/placement/availability-zone` REGION=`echo $AZ | cut -c 1-$((${#AZ} - 1))` MAC=`curl -s http://169.254.169.254/latest/meta-data/mac`
cloudpackブログ - VPCのDHCP Options SetでNTPサーバを指定する
以前、VPCのDHCP Options SetでEC2のDNS情報を変更するの記事で、DNSサーバを指定する方法を 紹介しました。 このDHCP Options Setは、下記のようにNTPサーバも指定できます。 そして、VPCのDHCP Options Setを上記のものに変更します。 それから、CentOS(6)なら下記を実行することにより、/etc/ntp.confに次のように追加されます。 # /etc/init.d/network restart # cat /etc/ntp.conf ... server 10.100.0.247 # added by /sbin/dhclient-script 尚、デフォルトの設定はコメントアウトしておいています。 # server 0.centos.pool.ntp.org # server 1.centos.pool.ntp.org #
cloudpackブログ - EC2(VPC)のPublic IPとPrivate IPを同時に切り替える
今回は、先日書籍(Amazon Web Servicesクラウドデザインパターン設計ガイド)が発売された Cloud Design Pattern(CDP)の記事になります。 今回の対象は「Floating IPパターン」です。 上記のようにインターネットからアクセスされるPublic(Elastic) IPと、VPC内からアクセスされるPrivate IPを EC2の障害時に同時に切り替える方法です。 はじめに、二つ目のPrivate IPをアサインしておきます。 (詳しくはENIに複数のプライベートIPをアサインする時のAllow reassignmentの記事を参照) そして、Public(Elastic) IPもアサインします。 ここで、Public(Elastic) IPはPrivate IPと関連付けられるので、上記でアサインした二つ目のPrivate IPに 関連付くようにし
cloudpackブログ - VPC上のElastiCacheを試してみた
遂に、VPC上でElastiCacheの利用が可能になりました。 Amazon ElastiCache announces support for Amazon VPC そこで、VPC上にElastiCacheを作ってみました。 ○Cache Subnet Groupの作成 ElastiCacheが利用するVPCのサブネットを登録します。 今回は、全AZ(ap-northeast-1a/b/c)をカバーするように登録しておきました。 ○Cache Clusterの作成 これは、今までとほぼ同様になりす。 違いとしては、作成時に先程作成したCache Subnet GroupとVPC Security Groupを設定するところと なります。 さらに、全AZ(ap-northeast-1a/b/c)にも作成してしまいました。 ○Telnetで確認 CentOSにMemcachedをインストー
cloudpackブログ - セキュリティグループの方針を3つのパターンに分けてみた
今回は、今までの経験からセキュリティグループ(VPC)の設計方針の典型例を以下の3つにまとめてみました。 VPC内のリソースは、すべてお互いに通信可能 1番運用が楽 PublicやPrivateなサブネット内は、すべてお互いに通信可能 オンプレに多いパターンなのでオンプレからの移行によく利用 VPC内の必要な通信経路のみ許可 セキュリティ要件が高い場合は必然的にこちらになる 尚、VPC内やPublic/Privateセグメント内で、すべてのリソース(EC2/ELB/RDS)が お互いに通信できるようにするには、下記のように自分自信(セキュリティグループ)に対して すべての許可をするようにしておけば可能です。 該当リソース(EC2/ELB/RDS)に、このセキュリティグループを付与すると、お互いにすべての通信ができるように なります。 ○VPC内のリソースは、すべてお互いに通信可能 下記のよ
cloudpackブログ - Openswan on EC2でVPCとVPN Connection
EC2(CentOS6)上にOpenswanをインストールし、VPCのVirtual Private GatewayにVPN Connectionを 張ってみました。 ○VPCの準備 Customer Gatewayは、あらかじめ取得しておいたEIP(z.z.z.z)を指定します。 (RoutingはとりあえずStaticになります) 上記Customer GatewayとVirtual Private GatewayからVPN Connectionを作成します。Static RoutingのIP Prefixは、上記EC2が所属するVPCのCIDRブロックにしています。 二つのトンネルが準備され、そのIP Addressに対してIPsecを張ることになります。(Tunnel1: x.x.x.x, Tunnel2: y.y.y.y) ○EC2の準備 EIP(z.z.z.z)を付与し、Sec
cloudpackブログ - VPCで悩んだ日
以前、AWSのVPCの仕様で悩んだことがありました。 そこで今回は、その時のことを書いておきたいと思います。 それは、EC2インスタンスをVPC上のサブネットで起動し、EIPを付与してSSHでログインしようとした時の 事なのですが、どうしてもそのEC2インスタンスに接続できませんでした。 当初セキュリティーグループの設定が原因であろうと考えていたのですが、2時間近く様々な手段を 講じたのですがあげく解決できず、AWSサポートに問い合わせることにしました。 返答は以下のようなものでした。 「このEC2インスタンスの接続されているサブネットからインターネットゲートウェイ(IGW)に向けて ルーティングが設定されていないようです。」 上記のように、EIPを付与すると無条件にインターネット側からアクセスできると思い込んでいたのですが、 VPCの場合IGWを設定していないサブネット上のEC2にはイン
cloudpackブログ - VPC環境構築をしてみた
急遽VPC環境の構築をすることになり、試行錯誤していたところ、いいタイミングでsuz-labブログに「CloudFormationでVPCの構築」という記事があった為、今回はその記事の流れに沿って CloudFormationを使い、VPC環境の構築をしてみました。 やることは非常に簡単です。 以下の手順でそのままVPC環境が作成することができます。 (1)AWSコンソールへログインします。 (2)CloudFormationを開いて、「Create New Stack」もしくは「Create Stack」をクリックします。 ・Create New Stack ・Create Stack (3)Stack Name(任意)を入力し、Provide a Template URLを選択して、 「https://s3-ap-northeast-1.amazonaws.com/template.s
cloudpackブログ -SUZ-LAB最前線(VPCのサブネット/ ルーティング/セキュリティ)
SubnetのCIDRの設計方針は VPCのSubnetのCIDRの設計方針(一例として) が最新のものとなります。 (本記事のものは少し古い考え方です) VPCの設計に関しては、今まで、いろいろと経験し社内でも議論し、 SUZ-LAB(cloudpack)的にも一つのパターンが 出来つつあったので、 このタイミングで形式知にしてみました。 まずは、百聞は一件に如かず、ということで構成図からです。 わかる人は、この図だけで、すべてが分かると思います。 余談ですがIaaSで現状ぶっちぎっているAWSの、隠れた「ぶっちぎり」要因は下記だと思っています。 プレミアムサポート シンプルアイコン (1)のプレミアムサポートのすばらしさは、いろいろなところで言われている話なので、 ここで詳しくは書きませんが、cloudpackのお客様へのサポートは、AWSの プレミアムサポートを、お手本にしています。
cloudpackブログ - 他社のVPCへのVPNアクセスはOpenVPN経由にして自社ネットワークを守る
下記にあるように、これまでVPCとOpenVPNについて書いてきました。 VPC上にOpenVPN(CentOS6)をインストール Mac(10.8)からCentOS(6.3)にOpenVPNでVPN接続 VPCのプライベートなサブネットにOpenVPNでVPN接続 今回は、これらに関連したCDPの紹介になります。 対象は 「CloudHubパターン」です。 このパターンの「 注意点 」に下記のような記載があります。 VPNゲートウェイに接続しているネットワーク(拠点)はお互いに通信できてしまうので、 アクセス制限が必要なら各拠点のVPNルーターで行う必要がある。 下記のようにVPNゲートウェイに接続する拠点が全て自社の場合は、拠点側のVPNの設定が簡単になり、 VPNハブがクラウド化により信頼性も高くなるので非常に有用です。 しかし、メンテナンス等で他社をVPNゲートウェイに接続してしま
cloudpackブログ - 2012/12/10 週刊cloudpackマガジンを配信しました
本日の配信内容は、下記になります。 【cloudpack更新情報】 12月3日の週は更新情報がございません。 【気になるAmazon EC2関連情報】 ★AWS技術レビュー ◇VPCのプライベートなサブネットにOpenVPNでVPN接続 ◇Mac(10.8)からCentOS(6.3)にOpenVPNでVPN接続 ◇VPC上にOpenVPN(CentOS6)をインストール ◇VPCのELBのサブネットを変更する ◇EC2のコマンドラインツールのインストールと起動時にホスト名をNameタグの値とする方法 ★サーバ技術レビュー 12月3日の週は更新情報がございません。 毎週お届けする週刊cloudpackマガジンの購読希望の方は、週刊cloudpackマガジンよりご登録ください。
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
cloudpackブログ - VPCのSubnetのCIDRの設計方針(一例として)