プロジェクト

全般

プロフィール

開発実装 #59

未完了

設計 #1: 開発運用プロジェクトのスケジュール

開発実装 #31: 本番環境インフラの構築

Terraformを用いてセキュリティグループ/ネットワークACLを構築する

Lunatic1998 さんが9ヶ月前に追加. 8ヶ月前に更新.

ステータス:
完了
優先度:
普通
担当者:
開始日:
2024-01-22
期日:
2024-02-01 (約9ヶ月 遅れ)
進捗率:

0%

予定工数:

説明

セキュリティグループとは

  • セキュリティグループはインスタンス単位で設定する。
    • AWS 上のリソースに関連づけることが可能であり、リソースレベルでの通信を制御する。
  • 通信状態を記録して、ステートフルな動作(発生した通信に対する応答は自動で許可)する。

ネットワークACLとは

  • ネットワークACLは サブネット単位で全インスタンスに適用するファイアウォール機能
  • システムやファイル、ネットワーク上のリソースなどへのアクセス可否の設定をリストにして制御する。
  • 通信状態を記録しないため、ステートレス(発生した通信に対する応答は明示的に許可しないといけない)となる。
    • インバウンドとアウトバウンドの通信制御設定を明示的に設定する必要性がある。

採用

  • 結論「セキュリティグループを採用」
  • セキュリティグループはデフォルト通信拒否ルールである。
  • 今回のインフラ構築ではリソースに対しての通信制御で十分に対応可能である、と判断した。
    • ネットワークACLはネットワークACLでは同一サブネット内の通信制御設定ができない。
    • セキュリティグループは送信元/先ルールをセキュリティグループIDで設定できる。

参考

Lunatic1998 さんが8ヶ月前に更新

  • 説明 を更新 (差分)
  • 期日2024-01-22 から 2024-02-01 に変更
  • 親チケット#39 にセット

Lunatic1998 さんが8ヶ月前に更新

memo

https://zenn.dev/link/comments/47b57813a4e153

TerraformでApply時にエラーが発生

  • malformed = 奇形という意味であるので、IPの設定が間違っている
 Error: creating Security Group (nat): InvalidVpcId.Malformed: The vpc ID '192.168.1.0/24' is malformed
│       status code: 400, request id: cbb561c3-a3b8-4cc3-b202-5f2cb744a03d
│ 
│   with module.firewall.aws_security_group.nat,
│   on firewall/main.tf line 86, in resource "aws_security_group" "nat":
│   86: resource "aws_security_group" "nat" {
  • そもそもIPではなく、対象VPCを定義したIDを引き渡すべきだった。
    • よくエラーを見ていると、IDが奇形であると記載している。 ```

Lunatic1998 さんが8ヶ月前に更新

  • ステータス新規 から レビュー中 に変更

Lunatic1998 さんが8ヶ月前に更新

  • ステータスレビュー中 から 完了 に変更

Lunatic1998 さんが8ヶ月前に更新

  • 親チケット#39 から #31 に変更

他の形式にエクスポート: Atom PDF