【EPS技術記事】Amazon Web Service(AWS) 環境へのNetAttest EPS構築手順
概要
本記事では、AWS環境へNetAttest EPS(以下「EPS」という)を構築する手順をご紹介します。
社内ネットワークからAWS上のEPSへVPN経由でアクセスします。
以下の流れでEPSを構築していきます。
【事前準備】AWS環境の構築
- Virtaual Private Cloud(VPC)の作成
- プライベート サブネットの作成
- プライベートルートテーブルの編集①
- セキュリティグループの作成
- VPN Gateway(仮想プライベートゲートウェイ)の作成
- カスタマーゲートウェイの作成
- Site-to-Site VPN接続の作成
- オンプレVPN機器にVPN設定の入力
- プライベートルートテーブルの編集②
【仮想マシンの構築】EPSの構築
- Simple Storage Service(S3)の作成
- VMDKファイルのインポートに必要なポリシー、ロールの作成
- S3にVMDKファイルをアップロード
- アップロードしたVMDKファイルからAMIを作成
- EC2 インスタンスにEPSを作成
- EPSの管理画面へアクセス
注意事項
※リージョンや地域について、 例としてアジアパシフィック(東京)を選択していますが、あくまで参考情報としてご覧ください。
※構築手順にて、特に指定がない項目については、デフォルト値で設定をしています。
※EPSはAWSのSSDストレージで動作する設計となっています。
【事前準備】AWS環境の構築
まず、AWS環境の構築を行います。
このセクションでは、AWSと社内ネットワークをVPN接続するための設定方法を記載しています。
■ 前提条件
・AWS上に構築する仮想マシンのIPアドレス範囲は192.168.1.0/24
・リージョンはアジアパシフィック(東京)を選択
すでにVPN環境が整っている場合は、この項目をスキップし、
「【仮想マシンの構築】EPSの構築」のセクションから設定を進めてください。
VPCの作成
- 「VPCを作成」をクリックします。
- VPCの設定では、以下のように設定してください。
設定後、「VPCを作成」をクリックします。作成するリソース VPCのみ - 名前タグ - オプション (例) Soliton-VPC-01 任意の名前を入力 IPv4 CIDR ブロック IPv4 CIDR の手動入力 - IPv4 CIDR 192.168.0.0/16 仮想マシンに割り当てるIPアドレスの範囲 - 右上の「アクション」をクリックし、「VPNの設定の編集」をクリックします。
- 「DNSホスト名を有効化」にチェックを入れます。
以上でVPCの作成が完了しました。
プライベート サブネットの作成
作成したVPCにサブネットの割り当てを行います。
- 左側メニューの「サブネット」をクリックし、画面を表示後、右上の「サブネットを作成」をクリックします。
サブネットはプライベートサブネットを作成します。 - VPCを選択します。先ほど作成したVPCを選択します。
- プライベートサブネットを編集します。以下のように設定してください。
サブネット名 (例) Soliton-Private-Subnet-01 任意の名前を入力 アベイラビリティーゾーン 指定なし 構築環境に合わせて選択 IPv4 VPC CIDR ブロック 192.168.0.0/16 仮想マシンに割り当てるIPアドレスの範囲
IPv4 サブネット CIDR ブロック 192.168.1.0/24 仮想マシンに割り当てるIPアドレスの範囲
以上でプライベート サブネットの作成が完了しました。
プライベートルートテーブルの編集①
左側メニューの「ルートテーブル」をクリックし、画面を表示後、作成したVPCに対応したルートテーブルの「Name」をクリックし、名前から判断しやすくするために名前を入力します。
(例) Soliton-Prinate-Route-Table-01以上でプライベートルートテーブの編集①は完了しました。
セキュリティグループの作成
左側メニューの「セキュリティグループ」をクリックし、画面を表示後、右上の「セキュリティグループを作成」をクリックします。
セキュリティグループの設定は、使用する仮想マシンの要件に基づいて適切に設定してください。
VPN Gateway(仮想プライベートゲートウェイ)の作成
VPNを使用するために仮想プライベートゲートウェイを作成します。
- 左側メニューの「仮想プライベートゲートウェイ」をクリックし、右上の画面を表示後、「仮想プライベートゲートウェイを作成」をクリックしてください。
- 詳細では、以下のように設定してください。
名前タグ - オプション (例) Soliton-Private-Gateway-01 任意の名前を入力 - 作成した仮想プライベートゲートウェイをVPCにアタッチします。
以上で仮想プライベートゲートウェイの作成は完了しました。
カスタマーゲートウェイの作成
オンプレVPN機器側の情報を入力します。
- 左側メニューの「カスタマーゲートウェイ」をクリックし、画面を表示後、右上の「カスタマーゲートウェイを作成」をクリックします。
- 詳細では、以下のように設定します。
名前タグ - オプション (例) Soliton-Customer-Gateway-01 任意の名前を入力 IPアドレス オンプレVPN機器のグローバルIPアドレス
以上でカスタマーゲートウェイの作成は完了しました。
Site-to-Site VPN 接続の作成
- 左側メニューの「Site-to-Site VPN 接続」をクリックし、画面を表示後、右上の「VPN接続作成する」をクリックします。
- 詳細では、以下のように設定します。
設定後、「VPN接続を作成する」をクリックします。名前タグ - オプション (例) Soliton-VPN-01 任意の名前を入力 ターゲットゲートウェイのタイプ 仮想プライベートゲートウェイ - 仮想プライベートゲートウェイ 作成した仮想プライベートゲートウェイを選択 - カスタマーゲートウェイ 既存 - カスタマーゲートウェイID 作成したカスタマーゲートウェイIDを選択 - ルーティングオプション 静的 - 静的IPプレフィックス 社内ネットワークのIPアドレス範囲 - ローカルIPv4ネットワーク CIDR - オプション 社内ネットワークのIPアドレス範囲
- リモートIPv4ネットワーク CIDR - オプション 192.168.1.0/24 -
以上でSite-to-Site VPN接続の設定は完了しました。
オンプレVPN機器にVPN設定の入力
VPN接続に必要な設定のサンプル、パスワードは「設定をダウンロードする」よりダウンロードしたファイルに記載されています。
ダウンロードしたファイルを開き情報を確認しながらオンプレVPN機器でVPN設定を行います。
VPN設定に必要な情報はダウンロードしたファイルにすべて記載されています。
オンプレVPN機器でVPN設定後、「トンネルの詳細」を確認しステータスがアップになっていることを確認します。
プライベートルートテーブルの編集②
プライベートルートテーブルの編集②を行います。
- [Private Route Tableの編集① ]で名前を付けたルートテーブルを選択し、右上の「アクション」から「ルートの編集」クリックします。
- 「ルートを追加」をクリックし、ルートを追加します。
送信先 社内ネットワークのIPアドレス範囲 ターゲット 作成した仮想プライベートゲートウェイ - 右上の「アクション」から「ルート伝播の編集」をクリックします。
- [ルート伝播の編集]にて、ルート伝播を有効化します。
以上でプライベートルートテーブの編集②が完了しました。
これで社内ネットワークとAWS間でVPN接続が可能になりました。
※この構成例では、インターネットとの通信は考慮されていません。
※インターネットとの通信を行う場合は、必要な通信ができるようにネットワーク設定を構成してください。
【仮想マシンの構築】EPSの構築
ここからはEPSの構築方法を記載します。
まず、EPSをEC2上にデプロイするための準備をします。
Simple Storage Service(S3)の作成
EPSのイメージファイル(VMDKファイル)をAWSへアップロードして保存するためのS3バケットを作成します。
必要な権限(ポリシー):AmazonS3FullAccess
すでにS3バケットがある場合は、スキップしてください。
以上でS3の作成は完了しました。
VMDKファイルのインポートに必要なポリシー、ロールの作成
必要な権限(ポリシー):IAMFullAccess
- まず、VMDKファイルインポート用のポリシーを作成します。
「IAM」を開き、左側メニューの「ポリシー」をクリックし、画面を表示後、右上の「ポリシーの作成」をクリックします。 - ポリシーエディタは「JSON」を選択し、JSONの内容を以下に書き換えます。
書き換え後、「次へ」をクリックします。
# "your-s3-bucket-name"には先ほど作成したバケット名に書き換えます。 - ポリシー名を入力し、「ポリシーの作成」をクリックします。
- 次に、VMDKファイルインポート用のロールを作成します。
「IAM」を開き、左側メニューの「ロール」をクリックし、画面を表示後、右上の「ロールを作成」をクリックします。 - [信頼されたエンティティタイプ]で「カスタム信頼ポリシー」を選択します。
カスタム信頼ポリシーで、JSONの内容を以下に書き換えます。
書き換え後、「次へ」をクリックします。
# "vmimport"には先ほど作成したポリシー名に書き換えます。 - [許可ポリシー]で先ほど作成したインポート用のポリシーを検索し、選択します。
[許可の境界を設定]では、「許可の境界なしでロールを作成」を選択します。
選択後、「次へ」をクリックします。 - ロール名を入力します。
ロール名を入力後、「ロールを作成」をクリックします。
{
"Version":"2012-10-17",
"Statement":[
{
"Effect": "Allow",
"Action": [
"s3:GetBucketLocation",
"s3:GetObject",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::your-s3-bucket-name",
"arn:aws:s3:::your-s3-bucket-name/*"
]
},
{
"Effect": "Allow",
"Action": [
"ec2:ModifySnapshotAttribute",
"ec2:CopySnapshot",
"ec2:RegisterImage",
"ec2:Describe*"
],
"Resource": "*"
}
]
}
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": { "Service": "vmie.amazonaws.com" },
"Action": "sts:AssumeRole",
"Condition": {
"StringEquals":{
"sts:Externalid": "vmimport"
}
}
}
]
}
以上でインポート用のポリシー、ロールの作成が完了しました。
S3にVMDKファイルをアップロード
S3にEPSのVMDKファイルをアップロードします。
必要な権限(ポリシー):AmazonS3FullAccess
以上でS3へEPSのVMDKファイルのアップロードが完了しました。
アップロードしたVMDKファイルからAMIを作成
CloudShellを利用してAMIの登録を行います。
必要な権限(ポリシー):
・AmazonEC2FullAccess
・AmazonS3FullAccess
・AWSCloudShellFullAccess
・IAMFullAccess
- CloudShellを開きます。
次のコマンドを実行し、VMDKファイルをスナップショットとしてインポートします。
コマンド後に表示されるJSONから "SnapshotId" および "ImportTaskId" の値は後ほど使うため控えておきます。
# ロール名を設定した"vmimport"以外の名前で作成した場合は、--role-nameオプションのロール名を変更します。
進捗は以下のコマンドで進捗を確認できます。$ aws ec2 import-snapshot --role-name vmimport --disk-container Format=VMDK,Url=s3://<S3バケット名>/<VMDKファイル名>
スナップショットへの変換が完了するまで4、5分ほどかかります。
# Statusに、処理中の間は "Pending"、完了すると "conpleted"、エラー時は "deleted" と表示されます。$ aws ec2 describe-import-snapshot-tasks --import-task-ids <ImportTaskId>
- 次のコマンドを実行し、スナップショットをAMIとして登録します。
$ aws ec2 register-image --name <任意のAMI名> --virtualization-type hvm --architecture x86_64 --boot-mode legacy-bios --ena-support --imds-support v2.0 --root-device-name /dev/sda1 --block-device-mappings DeviceName=/dev/sda1,Ebs={SnapshotId="<SnapshotId>"}
- EC2を開きます。
左側メニューの「AMI」をクリックし、先ほど登録したAMIが存在することを確認してください。 - AMIの登録が完了したら、S3にアップロードしたVMDKファイルは不要なので、削除します。
EC2 インスタンスにEPSを作成
- EC2を開きます。
左側メニューの「AMI」をクリックし、先ほど登録したAMIの「AMI ID」をクリックします。 - 「AMIからインスタンスを起動」をクリックします。
- EPSを作成します。
インスタンスタイプはモデルごとに異なりますので、適切なインスタンスタイプを選択して下さい。
※弊社動作確認済み環境です。モデル番号 EPS-SX15A-W EPS-ST06A-W EPS-DX05A-W OSディスク 3GiB インスタンスタイプ t3.small
- vCPU数:2
- RAM:2GiBm6i.large
- vCPU数:2
- RAM:8GiBm6i.xlarge
- vCPU数:4
- RAM:16GiBデータディスク - - 96GiB ネットワークインターフェース数 1 「高度なネットワーク設定」をクリックし、EPSにプライベートIPアドレスを割り当てます。
[ストレージを設定]では「gp3」を選択します。
DX05モデルの場合、データディスクの追加を行います。
「新しいボリュームを追加」をクリックし、96GiBを追加してください。
以上でEPSの作成が完了しました。
EPSの管理画面へアクセス
Webブラウザ(Google Chrome もしくは Microsoft Edge)のアドレスバーに先ほど設定したプライベートIPアドレスを入力し、EPSの管理画面にアクセスできることを確認してください。(接続時にセキュリティ警告が表示されますが無視してください。)
⚠ 利用上の注意
AWS上にDX05モデルを構築する場合、
仮想マシンを起動後、EPSのシステム管理ページの「管理 > ストレージ管理」ページでフォーマットおよびマウントを行ってシステム再起動してください。
その他
AMIは無料ですが、元となるスナップショットの容量には料金が発生します。
EPSを作成した後、不要になったAMIやスナップショットは削除してください。
AMIを削除する
EC2を開きます。
左側メニューの「AMI」をクリックし、作成したAMIを選択してください。
「アクション」をクリックし、「AMIを登録解除」を選択してください。
「関連付けられたスナップショットの削除」を開き、AMIに関連付けられているスナップショットのIDを控えておいてください。
「AMIの登録解除」をクリックします。
スナップショットを削除する
EC2を開きます。
左側メニューの「スナップショット」をクリックし、先ほど控えたスナップショットのIDを選択します。
AWS版EPSに関する注意事項 / 制限事項
AWS版EPSに関する注意事項 / 制約事項に関してはリリースノートをご確認ください。
Pickup ピックアップ
-
イベント報告
【ウェビナー】「医療情報システムの安全管理に関するガイドライン」に基づくランサムウェア等へのセキュリティ対策と導入事例/効果に...
-
インタビュー
「切れない」VPNに認証の側面から安心をプラス|Absolute Secure Access ✕ Soliton OneGat...
-
イベント報告
【ウェビナー】知っておきたい「医療ガイドライン第6.0版」のポイントと、求められるセキュリティ対策とは?|アクシオ×ソリトンシ...
-
インタビュー
フルマネージドの連携ソリューションで快適かつ安全な無線環境を負荷なく実現|Hypersonix × Soliton OneGa...
-
インタビュー
「まずは認証から」現場の課題に寄り添い、実現可能なゼロトラストセキュリティソリューションを提案|萩原テクノソリューションズ×ソ...