AWS ELB、EC2間の通信

ご回答ありがとうございます！ AWS側に問題がある場合は確かにそうですね、ここでは一旦それは考えないものとさせてください。笑 また少し認識があっているか確認をさせてください。 EC2をプライベートサブネットに配置した場合、インターネットに接続が出来ないのでrpm等パッケージの取得やNTP同期が行えない認識です、またこれらは例えばVPC内のNATに通信を向けることで始めて実現できる認識です。 ALBからプライベートサブネットに配置されたEC2にリクエストを分散する場合も同様でIGWをアタッチしたパブリックサブネットが必要かと思います。 つまり何が言いたいかというと、ALBはEC2と直接ではなくインターネットに公開されたIGW経由でEC2にリクエストと送ると現状思っています。 認識あっていますでしょうか、長文すみません。

セキュリティで利用者からサーバまで通信の暗号化をしたいなら、インターネット→＜HTTPS＞→ALB→＜HTTPS＞→EC2にすべきです。 AWSのハック、悪意ある内部犯を除けば、インターネット→＜HTTPS＞→ALB→＜HTTP＞→EC2でも良いと思いますよ インターネット→EC2を避ける意味では、EC2にグローバルIPを付与していなければ、インターネットと通信はできません。 次に明示的にプライベートサブネットがそれを指しているなら、ルーティングテーブルにIGWを設定してもインターネットと通信はできません。 インターネットと通信させるには、今回のセキュリティを気にされているのであれば、NATゲートウェイを準備し、インターネット宛てはNATゲートウェイにすれば内側からインターネットへ通信ができるようになり、インターネットからEC2の通信を防ぐことができますよ

ALBがパブリックサブネット内にあれば、EC2はプライベートサブネットにあっても問題ありません。 当然ながらALB→EC2の間で通信が可能であることが前提ですが、それはインターネットを経由するものではなくプライベートネットワーク内の通信になります。（ALBのターゲットにPublicIPを指定することも一応できますが、通常そんなことはしない） 同VPC内であればサブネットにはデフォルトで同VPC内の通信を許可する設定が入っているルートテーブルが関連付けられているので、セキュリティグループでALB→EC2のプライベートな通信を許可してやるだけで通信できます。 パブリックサブネットのCIDRブロックを指定してもいいですし、ALBに設定したセキュリティグループからの通信を許可するのもわかりやすいでしょう。 > またこれらは例えばVPC内のNATに通信を向けることで始めて実現できる認識です。 仰るとおりですが、NTPについてはAWS側にTime Sync Serviceという内部のNTPサーバがあり、それを利用できます。 https://aws.amazon.com/jp/blogs/news/keeping-time-with-amazon-time-sync-service/ NATについてはNATインスタンスを立ててもいいしNAT Gatewayを使うこともできます。（いずれも適切なルーティングが必要） 他に懸念することと言えばインターネットから直接SSHできなくなることですが、踏み台サーバを作るかSession Managerを使ってコンソールに入るか（あとはVPNやDirect Connectで繋ぐ方法もありますが…）、で回避できます。 > ALBはEC2と直接ではなくインターネットに公開されたIGW経由でEC2にリクエストと送ると現状思っています。 上記の通り、通常はそんなことはありません。 プライベートサブネットを使う場合の例についてのドキュメントを貼っておきます https://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/VPC_Scenario2.html