実現したいこと

プライベートサブネットのEC2にインストールしたWebサーバー（nginx）にアクセスしたい

前提

次の図のような構成図です。

EC2インスタンスにはsystem managerを使用するのでのセキュリティグループのインバウンドは未設定です。
ネットワークACLはデフォルトのままです（インアウトは全て許可）
プライベート→パブリックのルートテーブルはNATgatewayに向かうよう設定してあります。
インストールしたnginxはactiveなのを確認済みです。

発生している問題・エラーメッセージ

プライベートサブネットに作成したインスタンスのパブリックIPをたたいたのですがアクセスができない状態です。

調べた、実践したこと

インバウンドの設定を変えるべきかと思ったのですがhttpの設定を入れるとセキュリティ上どうなのかわからず困っています。

お願いしたいこと

セキュリティグループをどのように考えて設定すべきなのか、
そもそもセキュリティグループ以外で懸念点があるか、
ご教授いただけますと幸いです。

行動規範の内容に同意します

回答1件

ベストアンサー

プライベートサブネットとは何かということを考えてみてください。

プライベートサブネットなのでパブリックIPを設定したとしてもインターネットからはアクセスできません。
インバウンドの設定をどうしたとしても、プライベートサブネットはインターネットと繋がってないので関係ありません。
それができてしまったらそれはプライベートサブネットではありません。

プライベートサブネット内にあるWebサーバーにインターネットからアクセスしたいならELBやプロキシを経由してアクセスしてください。

投稿2022/10/07 15:10

yu_1985

総合スコア7447

sakura

2022/10/08 03:48 編集

回答ありがとうございます！とてもわかりやすい解説もありがとうございます。 >プライベートサブネットなのでパブリックIPを設定したとしてもインターネットからはアクセスできません。プライベートサブネットのEC2にログインし、curlコマンドでどのIPアドレスで通信しているのかを確認したところNATgatewayのIPアドレスでした。これはプライベートサブネットからインターネットにアクセスはできているということで、検索ボックスにIPアドレスを入力し、インターネットからNATを通じてプライベートサブネットにはアクセスできない、ということで合っておりますか？

yu_1985

2022/10/08 10:10

はい、その認識で合っています。それができたらプライベートサブネットの意味がありません。まず、NATとは何かというのを調べてみてください。 https://wa3.i-3-i.info/word11978.html NAT Gatewayはプライベートサブネットのルートテーブルから0.0.0.0/0への通信の際にルーティングするよう設定してあるはずです。 0.0.0.0/0はデフォルトルートを表すアドレスです。つまり、プライベートサブネット内→インターネットへの通信は全てNAT Gatewayを経由します。一方、プライベートサブネット内に仮にパブリックIPが振られている物が何かあったとしても、プライベートサブネットはインターネットと繋がっていないので、インターネットからはネットワーク的にアクセス先か分からず、アクセスできません。 NAT Gatewayもそこまではやってくれません。この辺の話は公式ドキュメントにも記述があります。 https://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/VPC_Scenario2.html

sakura

2022/10/11 06:38

わかりやすい解説をありがとうございます！

行動規範の内容に同意します