AWS Fargate、AWS PrivateLink、Network Load Balancer を使用して、Amazon ECS 上のコンテナ アプリケーションにプライベートにアクセスします。 - AWS 規範ガイダンス
概要前提条件と制限事項アーキテクチャツールエピック関連リソース

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Fargate、AWS PrivateLink、Network Load Balancer を使用して、Amazon ECS 上のコンテナ アプリケーションにプライベートにアクセスします。

Amazon Web Services、Kirankumar Chandrashekar

このパターンは、Network Load Balancer の後ろで AWS Fargate 起動タイプの Amazon Elastic Container Service (Amazon ECS) を使用することで、Amazon Web Services (AWS) クラウドで Docker コンテナアプリケーションをプライベートでホストし、AWS PrivateLink を使用してアプリケーションにアクセスする方法を示しています。Amazon Relational Database Service (Amazon RDS) を使用して、Amazon ECS で実行される高可用性 (HA) アプリケーション用のリレーショナルデータベースをホストします。アプリケーションに永続的なストレージが必要な場合、Amazon Elastic File System (Amazon EFS) を使用できます。

このパターンでは、Docker アプリケーションを実行する Amazon ECS サービスに「Fargate 起動タイプ」を使用し、フロントエンドにはNetwork Load Balancerを使用します。また、AWS PrivateLink 経由でアクセスするために、仮想プライベートクラウド (VPC) エンドポイントと関連付けられることが可能です。この VPC エンドポイントサービスは、VPC エンドポイントを使用して他の VPC と共有できます。

Fargate と Amazon ECS を使用すると、Amazon Elastic Compute Cloud (Amazon EC2) インスタンスのサーバーやクラスターを管理することなくコンテナを実行できます。Fargate の代わりに、Amazon EC2 Auto Scaling グループを使用することもできます 詳細については、「AWS PrivateLink と Network Load Balancer を使用して、Amazon ECS 上のコンテナ アプリケーションにプライベートにアクセスする」を参照してください。

前提条件

PrivateLink を使用して AWS Fargate 起動タイプで、Amazon ECS のコンテナアプリケーションにアクセスする。

テクノロジースタック

  • Amazon CloudWatch

  • Amazon Elastic Container Registry (Amazon ECR)

  • Amazon ECS

  • Amazon EFS

  • Amazon RDS

  • Amazon Simple Storage Service (Amazon S3)

  • AWS Fargate

  • AWS PrivateLink

  • AWS Secrets Manager

  • Application Load Balancer

  • Network Load Balancer

  • VPC

自動化とスケール

AWS のサービス

その他のツール

  • Docker は、デベロッパーがあらゆるアプリケーションを、軽量でポータブル、かつ自給自足のコンテナとして簡単に梱包、出荷、実行できるよう支援します。

タスク説明必要なスキル

VPC を作成します。

  1. AWS マネジメントコンソールにサインインし、Amazon VPC コンソールを開きます。[VPC の作成] を選択して、[VPC など] を選択します。 

  2. VPC の名前を入力し、適切な CIDR ブロック範囲を選択します。

  3. 2 つのアベイラビリティーゾーン、2 つのパブリックサブネットと 4 つのプライベートサブネットを指定します。2 つのプライベートサブネットは Amazon ECS タスク用で、2 つのプライベートサブネットは Amazon RDS データベース用です。

  4. アベイラビリティーゾーンごとに 1 つの NAT ゲートウェイを指定します。

  5. [Create VPC(VPC の作成)] を選択します。

クラウド管理者
タスク説明必要なスキル

Network Load Balancer を作成します。

  1. Amazon EC2 コンソールを開き、VPC を含むAWS リージョンを選択します。 

  2. [ロードバランシング][ロードバランサー] を選択し、[ロードバランサーの作成] を選択します。 

  3. [Network Load Balancer] を選択し、[作成] を選択します。 

  4. [ロードバランサー] の設定ページで、Network Load Balancer とリスナーを設定します。重要: Network Load Balancer のスキームには、必ず [社内] を選択してください。 

  5. 該当するセキュリティ設定を選択し、セキュリティグループとターゲットグループを設定します。[ルーティングの設定] セクションで [ターゲットタイプ] として [IP] を選択します。ターゲットを登録しないようにしてください。 

  6. すべての設定を行ったら、[次へ: レビュー] を選択して、[作成] を選択します。

このストーリーやその他のストーリーに関するヘルプは、「関連リソース」セクションを参照してください。

クラウド管理者

Application Load Balancer を作成します。

  1. Amazon EC2 コンソールで、VPC を含む同じリージョンを選択します。 

  2. [ロードバランシング][ロードバランサー] を選択し、[ロードバランサーの作成] を選択します。 

  3. [Application Load Balancer] を選択し、[作成] を選択します。 

  4. 重要

    Application Load Balancer とそのリスナーを設定します。Application Load Balancer のスキームには、必ず [社内] を選択してください。 

  5. 該当するセキュリティ設定を選択し、セキュリティグループとターゲットグループを設定します。[ルーティングの設定] セクションで [ターゲットタイプ] として [IP] を選択します。ターゲットを登録しないようにしてください。 

  6. すべての設定を行ったら、次へ:レビューを選択して、作成を選択します。

クラウド管理者
タスク説明必要なスキル

Amazon EFS ファイルシステムを作成します。

  1. Amazon EFS コンソールを開き、[ファイルシステムの作成] を選択します。 

  2. [ファイルシステムの作成] ダイアログボックスで、ファイルシステム名を入力し、VPC を選択します。 

  3. [作成] を選択してファイルシステムを作成します。 

  4. Amazon EFS ファイルシステムを設定します。

クラウド管理者

サブネットのターゲットをマウントします。

  1. Amazon EFS コンソールに戻り、[ファイルシステム] を選択します。[ファイルシステム] ページには、お使いのアカウントの Amazon EFS ファイルシステムが表示されます。 

  2. 作成したファイルシステムを選択し、[管理] を選択すると、[アベイラビリティーゾーン] が表示されます。 

  3. マウントターゲットを追加するには、[マウントターゲットの追加] を選択し、作成した 4 つのプライベートサブネットを追加します。

クラウド管理者

サブネットがターゲットとしてマウントされていることを確認します。

  1. Amazon EFS コンソールで、[ファイルシステム] を選択します。 

  2. [ネットワーク] を選択して、既存のマウントターゲットのリストを表示します。作成した 4 つのサブネットがこれらに含まれていることを確認してください。

クラウド管理者
タスク説明必要なスキル

S3 バケットを作成する。

Amazon S3 コンソールを開き、必要に応じてアプリケーションの静的アセットを保存する S3 バケットを作成します。

クラウド管理者
タスク説明必要なスキル

Secrets Manager シークレットを暗号化するために、AWS KMS キーを作成します。

AWS Key Management Service (AWS KMS) コンソールを開き、KMS キーを作成します。

クラウド管理者

Amazon RDS パスワードを保存する Secrets Manager シークレットを作成します。

  1. AWS Secrets Manager コンソールを開き、[新しいシークレットを保存する] を選択して新しいシークレットを作成します。 

  2. 作成した KMS キーを選択し、新しいシークレットを保存します。

クラウド管理者
タスク説明必要なスキル

DB サブネットグループを作成します。

  1. Amazon RDS コンソールを開き、サブネットグループを選択します。 

  2. [DB サブネットグループの作成] を選択し、DB サブネットグループ用の名前と説明を入力します。 

  3. 以前に作成した VPC を選択して、アベイラビリティーゾーンとサブネットを選択します。次に [作成] を選択します。

クラウド管理者

Amazon RDS DB インスタンスを作成します。

プライベートサブネット内に Amazon RDS インスタンスを作成して設定します。高可用性 (HA) のため、マルチ AZ がオンになっていることを確認してください。

クラウド管理者

Amazon RDS インスタンスにデータをロードします。

アプリケーションに必要なリレーショナルデータを Amazon RDS インスタンスにロードします。このプロセスは、アプリケーションのニーズや、データベーススキーマの定義方法や設計方法により、異なっています。

DBA
タスク説明必要なスキル

EKS クラスターを作成します。

  1. Amazon ECS コンソールを開き、[クラスター] を選択します。 

  2. [クラスターの作成] を選択し、必要な仕様に応じて ECS クラスターを設定します。

クラウド管理者

Docker イメージを作成します。

AWS ドキュメントの指示に従って Docker イメージを作成します。

クラウド管理者

Amazon ECR リポジトリを作成します。

  1. Amazon ECR コンソールを開き、[リポジトリ] を選択します。 

  2. [リポジトリの作成] を選択し、リポジトリの一意の名前を入力します。 

  3. 必要に応じて AWS KMS 暗号化を含め、仕様に応じてリポジトリを設定します。

クラウド管理者、DevOps エンジニア

Docker イメージを Amazon ECR リポジトリにプッシュします。

  1. プッシュする Docker イメージを特定し、AWS CLI で docker images コマンドを実行します。 

  2. Amazon ECR レジストリ、リポジトリ、およびオプションのイメージタグ名の組み合わせを使用してイメージにタグを付けます。 

  3. docker push コマンドを実行することで、Docker イメージをプッシュします。 

  4. 必要なすべてのイメージについても同様のステップを繰り返します。

クラウド管理者

Amazon ECS タスク定義を作成します。

Amazon ECS で Docker コンテナを実行するには、タスク定義が必要です。 

  1. Amazon ECS コンソールに戻り、[タスク定義] を選択して、[新しいタスク定義の作成] を選択します。 

  2. [互換性の選択] ページで、タスクで使用する起動タイプを選択し、[次のステップ] を選択します。

重要

タスク定義の設定方法については、[関連リソース] のセクションのタスク定義の作成を参照してください。Amazon ECR にプッシュした Docker イメージを必ず提供してください。

クラウド管理者

ECS サービスを作成し、起動タイプとして Fargate を選択します。

  1. 前に作成した ECS クラスターを使用して Amazon ECS サービスを作成します。起動タイプには、必ず [Fargate] を選択してください。

  2. 前の手順で作成したタスク定義を選択し、Application Load Balancerのターゲットグループを選択します。

クラウド管理者
タスク説明必要なスキル

AWS PrivateLink エンドポイントを設定します。

  1. Amazon VPC コンソールを開き、AWS PrivateLink エンドポイントを作成します。 

  2. このエンドポイントを Network Load Balancer に関連付けます。これにより、Amazon ECS でホストされているアプリケーションを顧客にプライベートに利用させるようになります。 

クラウド管理者
タスク説明必要なスキル

VPC エンドポイントを作成します。

前に作成した AWS PrivateLink エンドポイント用の VPC エンドポイントを作成します。VPC エンドポイントの完全修飾ドメイン名 (FQDN) は、AWS PrivateLink エンドポイント FQDN を指します これにより、ドメインネームサービスのエンドポイントがアクセスできる VPC エンドポイントサービスへのElastic Network Interface が作成されます。

クラウド管理者
タスク説明必要なスキル

Application Load Balancer をターゲットとして登録する

Network Load Balancer のターゲットとして Application Load Balancer を追加するには、AWS ドキュメントの指示に従います。

アプリ開発者

ロードバランサーの作成

Amazon EFS ファイルシステムを作成する

Secrets Manager シークレットの作成

Amazon RDS インスタンスの作成

Amazon ECS コンポーネントの作成

その他のリソース