前回までの手順で、Palo Alto インスタンスの構築 が完了しました。本記事では、次のステップとして 各セグメントに配置する EC2 インスタンスの構築 を行い、あわせて AWS 側の周辺設定 について解説していきます。

DMZ セグメントに配置する Webサーバ用EC2 インスタンスの構築

サーバイメージの選定

まず、マネジメントコンソールにログイン し、EC2 サービス を開きます。次に、左メニューの 「インスタンス」 から 「インスタンスの起動」 をクリックします。表示された画面で 「アプリケーションおよび OS イメージ（Amazon マシンイメージ）」 の 「クイックスタート」 から 「Red Hat」 を選択します。続いて、任意のタグ名を付けて以下を設定します。

• AMI：Red Hat Enterprise Linux version 10 (HVM)
• アーキテクチャ：64 ビット (x86)

インスタンスタイプ

インスタンスタイプを選択します。検証目的のため、小規模構成として t3.small を選択します。

キーペアの設定

キーペアの設定をしていきます。キーペアは、新規作成する必要はありません。前回の手順で Palo Alto インスタンス用に作成したキーペアをそのまま利用します。

ネットワーク設定

次に 「ネットワーク設定の編集」 をクリックし、インスタンスを配置する VPC を選択します。サブネットは 管理用ネットワーク に該当するものを指定してください。サービス用の ENI は後ほど作成してアタッチします。また、パブリック IP の自動割り当て は無効化しておきます。最後に セキュリティグループ を設定します。ここでは 既存のセキュリティグループ を選択し、事前に作成しておいたものを指定してください。

ストレージ設定

ストレージ容量は30GBに設定します。

インスタンス起動

設定を確認してインスタンスを起動していきます。

インスタンスの 起動を待つ間 に、並行してENI作成に進めていきます。

サービス用ENI追加作成

Webサーバのインスタンスにアタッチする、DMZセグメントのENIを作成します。 マネジメントコンソールでEC2にアクセス後、左ペインから「ネットワークインターフェイス」をクリックし、右ペインから「ネットワークインターフェイスの作成」をクリックします。

サブネットは DMZ用サブネット を選択します。インターフェイスタイプは 「EA」 を指定して、IPv4 Private IP は Custom を選択し、固定 IP を割り当てます。（ここでは10.0.13.100に割り当てています）

セキュリティグループ設定

次に、セキュリティグループを選択し、任意のタグ名を付けて 作成 をクリックします。

ENIの送信元チェックを無効化

先ほどの手順で作成したENIを選択し、右クリックのメニューから「アクション」をクリックして「送信元/送信先の変更チェック」をおします。

「送信元/送信先のチェック」を「有効化」のチェックを外して、「保存」をクリックします。

ENIをインスタンスにアタッチする

マネジメントコンソールでEC2にアクセス後、左ペインから「インスタンス」をクリックします。 DMZのWebサーバのインスタンスをクリックして選択後、右クリックして「ネットワーキング」→「ネットワークインターフェイスのアタッチ」をクリックします。

アタッチするネットワークインターフェースを選択して「アタッチ」をクリックします。

ENI のアタッチが完了すると、下記のようにEC2 インスタンス上で確認できる ENI の一覧に新しいインターフェイスが追加されます。これにより、正常にアタッチできたことを確認できます。

Trust セグメントに配置する Windowsサーバ用EC2 インスタンスの構築

サーバイメージの選定

まず、マネジメントコンソールにログイン し、EC2 サービス を開きます。次に、左メニューの 「インスタンス」 から 「インスタンスの起動」 をクリックします。表示された画面で 「アプリケーションおよび OS イメージ（Amazon マシンイメージ）」 の 「クイックスタート」 から 「Windows」 を選択します。続いて、任意のタグ名を付けて以下を設定します。

• AMI：Microsoft Windows 2022 Base
• アーキテクチャ：64 ビット (x86)

インスタンスタイプ

インスタンスタイプを選択します。小規模構成として t3.small を選択します。

キーペアの設定

キーペアの設定をしていきます。キーペアは、新規作成する必要はありません。前回の手順で Palo Alto インスタンス用に作成したキーペアをそのまま利用します。

ネットワーク設定

次に 「ネットワーク設定の編集」 をクリックし、インスタンスを配置する VPC を選択します。サブネットは 管理用ネットワーク に該当するものを指定してください。サービス用の ENI は後ほど作成してアタッチします。また、パブリック IP の自動割り当て は無効化しておきます。最後に セキュリティグループ を設定します。ここでは 既存のセキュリティグループ を選択し、事前に作成しておいたものを指定してください。

ストレージ設定

ストレージ容量は30GBに設定します。

インスタンス起動

設定を確認してインスタンスを起動していきます。

インスタンスの 起動を待つ間 に、並行してENI作成に進めていきます。

サービス用ENI追加作成

Windowsサーバのインスタンスにアタッチする、TrustセグメントのENIを作成します。 マネジメントコンソールでEC2にアクセス後、左ペインから「ネットワークインターフェイス」をクリックし、右ペインから「ネットワークインターフェイスの作成」をクリックします。

サブネットは Trust用サブネット を選択します。インターフェイスタイプは 「EA」 を指定して、IPv4 Private IP は Custom を選択し、固定 IP を割り当てます。（ここでは10.0.11.100に割り当てています）

セキュリティグループ設定

次に、セキュリティグループを選択し、任意のタグ名を付けて 作成 をクリックします。

ENIの送信元チェックを無効化

先ほどの手順で作成したENIを選択し、右クリックのメニューから「アクション」をクリックして「送信元/送信先の変更チェック」をおします。

「送信元/送信先のチェック」を「有効化」のチェックを外して、「保存」をクリックします。

ENIをインスタンスにアタッチする

マネジメントコンソールでEC2にアクセス後、左ペインから「インスタンス」をクリックします。 TrustのWindowsサーバのインスタンスをクリックして選択後、右クリックして「ネットワーキング」→「ネットワークインターフェイスのアタッチ」をクリックします。

アタッチするネットワークインターフェースを選択して「アタッチ」をクリックします。

ENI のアタッチが完了すると、下記のようにEC2 インスタンス上で確認できる ENI の一覧に新しいインターフェイスが追加されます。これにより、正常にアタッチできたことを確認できます。

Trust セグメントに配置する Windowsサーバ用EC2 インスタンスの構築

サーバイメージの選定

まず、マネジメントコンソールにログイン し、EC2 サービス を開きます。次に、左メニューの 「インスタンス」 から 「インスタンスの起動」 をクリックします。表示された画面で 「アプリケーションおよび OS イメージ（Amazon マシンイメージ）」 の 「クイックスタート」 から 「Windows」 を選択します。続いて、任意のタグ名を付けて以下を設定します。

• AMI：Microsoft Windows 2022 Base
• アーキテクチャ：64 ビット (x86)

インスタンスタイプ

インスタンスタイプを選択します。小規模構成として t3.small を選択します。

キーペアの設定

キーペアの設定をしていきます。キーペアは、新規作成する必要はありません。前回の手順で Palo Alto インスタンス用に作成したキーペアをそのまま利用します。

ネットワーク設定

次に 「ネットワーク設定の編集」 をクリックし、インスタンスを配置する VPC を選択します。サブネットは 管理用ネットワーク に該当するものを指定してください。サービス用の ENI は後ほど作成してアタッチします。また、パブリック IP の自動割り当て は無効化しておきます。最後に セキュリティグループ を設定します。ここでは 既存のセキュリティグループ を選択し、事前に作成しておいたものを指定してください。

ストレージ設定

ストレージ容量は30GBに設定します。

インスタンス起動

設定を確認してインスタンスを起動していきます。

インスタンスの 起動を待つ間 に、並行してENI作成に進めていきます。

サービス用ENI追加作成

Windowsサーバのインスタンスにアタッチする、UntrustセグメントのENIを作成します。 マネジメントコンソールでEC2にアクセス後、左ペインから「ネットワークインターフェイス」をクリックし、右ペインから「ネットワークインターフェイスの作成」をクリックします。

サブネットは Untrust用サブネット を選択します。インターフェイスタイプは 「EA」 を指定して、IPv4 Private IP は Custom を選択し、固定 IP を割り当てます。（ここでは10.0.12.100に割り当てています）

セキュリティグループ設定

次に、セキュリティグループを選択し、任意のタグ名を付けて 作成 をクリックします。

ENIの送信元チェックを無効化

先ほどの手順で作成したENIを選択し、右クリックのメニューから「アクション」をクリックして「送信元/送信先の変更チェック」をおします。

「送信元/送信先のチェック」を「有効化」のチェックを外して、「保存」をクリックします。

ENIをインスタンスにアタッチする

マネジメントコンソールでEC2にアクセス後、左ペインから「インスタンス」をクリックします。UntrustのWindowsサーバのインスタンスをクリックして選択後、右クリックして「ネットワーキング」→「ネットワークインターフェイスのアタッチ」をクリックします。

アタッチするネットワークインターフェースを選択して「アタッチ」をクリックします。

ENI のアタッチが完了すると、下記のようにEC2 インスタンス上で確認できる ENI の一覧に新しいインターフェイスが追加されます。これにより、正常にアタッチできたことを確認できます。

管理セグメントに配置する 管理サーバ用EC2 インスタンスの構築

サーバイメージの選定

マネジメントコンソールにログイン し、EC2 サービス を開きます。次に、左メニューの 「インスタンス」 から 「インスタンスの起動」 をクリックします。表示された画面で 「アプリケーションおよび OS イメージ（Amazon マシンイメージ）」 の 「クイックスタート」 から 「Windows」 を選択します。続いて、任意のタグ名を付けて以下を設定します。

• AMI：Microsoft Windows 2022 Base
• アーキテクチャ：64 ビット (x86)

インスタンスタイプ

インスタンスタイプを選択します。小規模構成として t3.small を選択します。

キーペアの設定

キーペアの設定をしていきます。キーペアは、新規作成する必要はありません。前回の手順で Palo Alto インスタンス用に作成したキーペアをそのまま利用します。

ネットワーク設定

次に 「ネットワーク設定の編集」 をクリックし、インスタンスを配置する VPC を選択します。サブネットは 管理用ネットワーク に該当するものを指定してください。また、パブリック IP の自動割り当て は無効化しておきます。最終的にはインターネットからのアクセスが必要になりますが、その際は後ほど ENI に Elastic IP（EIP）をアタッチ するため、ここでは自動割り当てを無効化しておきます。最後に セキュリティグループ を設定します。ここでは 既存のセキュリティグループ を選択し、事前に作成済みのものを指定してください。

ストレージ設定

ストレージ容量は30GBに設定します。

インスタンス起動

設定を確認してインスタンスを起動していきます。

ENIにEIPをアタッチ

まず、EIPを取得して、管理サーバのENIにEIPをアタッチしていきます。マネジメントコンソールでEC2にアクセス後、左ペインから「Elastic IP」をクリックします。 「Elastic IP アドレスの割り振る」をクリックして、「Amazon の IPv4 アドレスプール」が選択されていることを確認して、「割り振る」をクリックします。

問題なければ、EIPアドレスが正常に割り当てられましたと表示されます。

確保したEIPをENIに割り当てます。EIPをクリックし、「アクション」から「Elastic IPアドレスの関連付け」をクリックします。リソースタイプはネットワークインターフェースを選択して、管理サーバのENIを選びます。プライベートIPアドレスは管理サーバに割り当てられているプライベート IPを指定して関連付けるをクリックします。

設定が終わると、アソシエーション IDが登録されています。

ここまでで、各セグメントへのWebサーバおよび管理サーバ用インスタンスの構築が完了しました。
次回の手順では、Webサーバおよび管理サーバの初期設定、Webサーバ構築といったセットアップ作業を進めていきます。