Q&A
「アクセスできない」は具体的には
・接続がタイムアウトする
・何らかのエラーが表示される
・その他
のどれでしょうか。
また、ALB→EC2の通信が行えるよう、EC2インスタンスでALBからの通信を許可するような設定は行いましたか?
AWSの勉強も兼ねて、末尾のサイトを見ながらwordpressサイト立ち上げに
チャレンジしていますが、うまく行きません。
アドバイス頂けると助かります。
■目的
AWS上でwordpressサーバを立ち上げ、HTTPS化すること
■手順
- AWSアカウント作成
- wordpressがインストールされたAMIを選択し、インスタンス作成
- wordpressの管理画面にて設定変更
- EIPの取得とインスタンスへの割り当て
- EIPのインスタンスへの関連付け
→EIPでwordpress画面表示成功 - 独自ドメインの取得(Route53)
- ドメインとEIPの紐づけ(Name:www、Values:EIPの値)
→http://www.設定したドメイン でアクセス可能
8) AWS上で証明書を取得
9) DNSでの証明書の検証
→状況が「発行済み」になったことを確認
10) ALBの作成
→DNSでの証明書の検証、セキュリティポリシーはデフォルト
→ターゲットの登録でポート80、443を登録
11) ALBのDNS登録
→www.[ドメイン名]で、Alias」を「Yes」とし、ALBを指定
参考にしたのは以下サイトです。
https://www.kahouwanetemate.com/post-49/#_1
https://www.kahouwanetemate.com/post-297/
■事象
ここまで設定したが、www.[ドメイン名] でアクセスできないです。
途中、7)ではアクセスできましたが、11)でアクセスできなくなりました・・。
よろしくお願いします。
[追記]
nslookupを試したところ、以下のようになったので名前解決はできているようです。
nslookup www.sample.com ※ドメインは例示
サーバー: UnKnown
Address: xxxx:xxx:xxxx❌:x
権限のない回答
名前: www.sample.com
Addresses: xx.xx.xx.xxx
[追加]
設定を画像で添付します。
順に以下の通りです。
・EC2セキュリティグループ>インバウンド
・EC2セキュリティグループ>アウトバウンド
・ALBリスナー
・ALBターゲットグループ
・DNS設定
失礼しました。
タイムアウトです。
また、ALB→EC2の通信は現時点ではデフォルトであけているので通っていると思います。
> ALB→EC2の通信は現時点ではデフォルトであけている
具体的には何をどのように設定していますか?
ALBにデフォルトのセキュリティグループを割り当てており、
インバウンドもアウトバウンドもフルアクセスとなっています。
見るべきはそこではなくて、EC2のほうのセキュリティグループです。
また、もしALB→EC2の通信ができていなければヘルスチェックでUnhealthyになっているはずですが、そこはどうなっていますか?
失礼しました。
EC2のセキュリティグループも同様のデフォルトのセキュリティグループをわりあてており、
インバウンドもアウトバウンドもフルアクセスとなっています。
healthyになっています・・。
そうなるとどこでタイムアウトしているかですが…
ALBのアクセスログと、サーバ上のアクセスログ(Apacheですかね?)を見て、どこでタイムアウトしているかを確認しましょう。
それよりも先に、ALBのエンドポイントを直接打ち込んでタイムアウトするかどうかも確認してみてください。
ちなみにそのサイトの説明は正確ではなく、
> (http、httpsを)両方登録しておかないと、ALBをドメインに割り付けたときに接続ができなくなります。
というのは正しくありません。
ALBでHTTPSの接続を終端させて、ALB→EC2への通信は80番ポートで行えれば十分で、SSL化プラグインは不要でしょう。(せっかくALBを使ってHTTP化しているのに、EC2側でも証明書を用意して二重で設定している)
ALBのエンドポイントとは「説明」タブのDNS名のことであれば、タイムアウトします。
アクセスログを見てみます。
ということは、そもそもALBへの接続のところでどこか設定がおかしい可能性がありますね…。
ちゃんとPublicなロードバランサーであるかどうかと、もう一度ALBに設定されているセキュリティグループの設定を確認してみてください。
ALBのタイムアウトについてはこの辺も
https://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/application/load-balancer-troubleshooting.html#http-504-issues
apacheのエラーログに
client denied by server configuration: /opt/bitnami/apps/phpmyadmin/htdocs/scripts
と言うメッセージが出てきたのは関係ないですかね??
ALBについては、
スキーム:internet-facing
IP アドレスタイプ:ipv4
セキュリティグループ:デフォルトのフルアクセスのモノ
と言う感じなので、どこに問題があるのかが分からず・・・と言う状況です。
関係ないかどうかは実際に
/opt/bitnami/apps/phpmyadmin/htdocs/scripts
を見てみないとわからないですね。
なので、そこで何をしているのかを見てみてください
こちらのディレクトリはありませんでした・・。
/opt/bitnami/apps/phpmyadmin/htdocs/scripts
何かのconfがおかしいのだろうと思っていますが、それが何なのか・・。
ALBのターゲットグループのポート443がunhealthyになっていました。
http接続でも失敗するので違う気もしますが、改善してみます。
そもそも443でEC2インスタンスに接続する必要はないのでは?
それをするならEC2インスタンスにも証明書が必要になりますが、それで暗号化されるのは
ALB→EC2間の通信です。でもそれはVPCの中での通信なので特に意図がなければそこまでする必要はありません。
EC2で終端したいならNLBのほうを検討したほうが自然ですし。
インターネット→ALBの通信は80,443でリッスンするべきだと思いますが、ALBが受けたリクエストをEC2に振り分けるときの送信先ポートはわざわざ443にしなくてもよいかなと。
そうですよね・・・。
参考にしているURLにそうあったので、その通りにやっています。
が、ALBとEC2間はhttp想定なので不要かなと。
一端、削除してみます。
回答1件
0
自己解決
ALBのセキュリティグループが内部向けのモノになっており、
外部向けに開かれていませんでした。
なのでhttpsポートを開くことで疎通しました。
指摘頂いていましたが、セキュリティグループに関する理解が
浅かったです。
よろしくお願いします。
投稿2020/05/09 07:49
総合スコア0
あなたの回答
tips
プレビュー
