2012年12月10日月曜日

"Operational Firewallパターン"をオレオレ解釈してCloudFormationのテンプレートにしてみた

スズキです。

CDPネタです。今回の対象は「Operational Firewallパターン」です。


"Operational Firewall"で設定するアクセス制限ルールは、
下記のような非機能要件的なものと考えています。
  • SSH/LDAPなどのログイン関係
  • 監視・バックアッップ
  • 管理コンソールへのアクセス
  • NTP・DNSなどの基本機能
  • メンテナンス時(パッケージのインストールなど)のHTTP(S)アクセス
図にすると下記のような感じでしょうか?


そして、上記のセキュリティグループを"Cloud Formation"のテンプレートにしてみました。
SUZ-LAB Formation Operational Firewall (suz-lab_operational-firewall.json)
例のごとく、結構、長めの内容なので、今回からはGitHubです。
(他のテンプレートもあります)

こんな感じでスタックの作成ができますが、


VPCの作成とかが面倒なので、以前作成した下記のテンプレートと重ねて利用してみます。
(多少アップデータはしていますが...)
重ね合わせた、おおもとのテンプレートは下記となります
SUZ-LAB Formation ALL (suz-lab_all.json)
スタックの作成はこんな感じになります。


作成が終了すると、ちゃんと上記で図示したセキュリティグループが作成できていることが
わかります。


ちなみに、ついでに踏み台サーバの"Cloud Formation"テンプレートも作成してます。
SUZ-LAB Formation STEP (suz-lab_step.json)
ということで、この環境でEC2を立ち上げると、セキュリティグループ(op-ec2)を
付与することにより、踏み台サーバ(step)からSSHでログインすることができます。
また、0.0.0.0/0のルーティングがNAT/IGWに設定されていれば、
そのEC2にセキュリティグループ(op-maintenanec)を付与すれば、"yum"での
パッケージのインストールやアップデートなどが可能となります。

まだ、あらびきテンプレート...
--------
http://www.suz-lab.com

0 コメント: