調べたところ、aws redisはVPCのプライベートサブネットに作られているため、外部からの直接接続は不可能です。
踏み台用インスタンス(NATインスタンス)を立てて、アクセス転送の仕組みを使えばなんとかなることがわかりました。
具体的なやり方は以下にまとめました。
NAT用セキュリティグループを作成
EC2コンソール画面から「セキュリティグループ」/「セキュリティグループの作成」の順に操作します。
「インバウンド」タブから「ルールの追加」をクリックして、以下の2つルールを追加します。
・SSH TCP 22 自分のローカルIP
・カスタムTCP TCP 6379 自分のローカルIP
NAT用インスタンスを作成
「AMIの選択」画面、左メニュー「コミュニティAMI」を選択、「amzn-ami-vpc-nat-hvm」を入れて検索します。
出てきた一番最新バージョンのamiを選択します。
PS:自分は最初普通のインスタンスを使っていたが、iptablesの設定など結構苦戦して結局設定できなかったです。やはり用意されたものを使うのが一番です。もしiptablesの設定に詳しいなら、通常のインスタンスでも大丈夫かと思います。
PS:自分は最初普通のインスタンスを使っていたが、iptablesの設定など結構苦戦して結局設定できなかったです。やはり用意されたものを使うのが一番です。もしiptablesの設定に詳しいなら、通常のインスタンスでも大丈夫かと思います。
「インスタンス詳細の設定画面」、「自動割当てパブリックIP」を有効にします。
セキュリティグループの設定
前のステップで作成したNAT用セキュリティグループと「default VPC security group」を両方選びます。(2つ同時設定するのは大事!)
NAT インスタンスのSrcDestCheck属性を無効にします。
インスタンス一覧に対象インスタンスをチェックし、「アクション」/「ネットワーキング」/「送信元/送信先の変更チェック」の順に無効化します。
NATインスタンスにiptablesルールを追加
ローカルから作成したNATインスタンスにsshします。
NATインスタンスからのアクセスをRedisに転送するため、以下のiptablesルールを追加します。
iptables -t nat -A PREROUTING -i eth0 -p tcp --dport 6379 -j DNAT --to redisサーバのIPアドレス:6379
service iptables statusコマンドでルールが追加されたことを確認します。
# service iptables status
Table: nat
Chain PREROUTING (policy ACCEPT)
num target prot opt source destination
1 DNAT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:6379 to:172.31.78.185:6379
Chain INPUT (policy ACCEPT)
num target prot opt source destination
Chain OUTPUT (policy ACCEPT)
num target prot opt source destination
Chain POSTROUTING (policy ACCEPT)
num target prot opt source destination
1 MASQUERADE all -- 0.0.0.0/0 0.0.0.0/0
Table: nat
Chain PREROUTING (policy ACCEPT)
num target prot opt source destination
1 DNAT tcp -- 0.0.0.0/0 0.0.0.0/0 tcp dpt:6379 to:172.31.78.185:6379
Chain INPUT (policy ACCEPT)
num target prot opt source destination
Chain OUTPUT (policy ACCEPT)
num target prot opt source destination
Chain POSTROUTING (policy ACCEPT)
num target prot opt source destination
1 MASQUERADE all -- 0.0.0.0/0 0.0.0.0/0
ローカルから接続確認
これで準備が整いましたので、ローカルから接続してみます。
telnet NATインスタンスのパブリックIP 6379
0 件のコメント:
コメントを投稿