Soracom

ここでは、お客様が所有する Amazon VPC と VPG がある Amazon VPC を Amazon VPC ピアリング接続し、SORACOM Air for セルラーのセルラー回線から VPG および Amazon VPC ピアリング接続を経由して、お客様の Amazon VPC にプライベート接続する方法を説明します。

ステップ 1: Amazon VPC および EC2 インスタンスを作成する

ここでは、Amazon VPC と EC2 インスタンス (図の赤の点線部分) を作成します。

Amazon VPC を作成する

1. AWS の VPC ダッシュボード (東京リージョン) にアクセスします。

2. [VPC を作成] をクリックします。

   

   「VPC を作成」画面が表示されます。

3. 以下の項目を設定します。

   各項目の設定については、VPC を作成する を参照してください。

   項目	説明
   [作成するリソース]	「VPC など」を選択します。
   [名前タグの自動生成]	[自動生成] にチェックを入れて、VPC の名前を入力します。例: Canal-Test
   [IPv4 CIDR ブロック]	VPC の IPv4 CIDR ブロック (IP アドレスレンジ) を指定します。VPG で指定するデバイスサブネット IP アドレスレンジ と重複しない IP アドレスレンジを指定してください。例: 172.20.0.0/16
   [アベイラビリティゾーン (AZ) の数]	「2」以上の値を選択します。
   [パブリックサブネットの数] および [プライベートサブネットの数]	どちらか一方の項目で「2」以上を選択します。両方とも「2」以上を選択しても問題ありません。ここでは説明を簡単にするために、[パブリックサブネットの数] で「2」を選択します。

   

4. [VPC を作成] → [VPC を表示] の順にクリックします。

   Amazon VPC が作成され、VPC の詳細画面が表示されます。

   次に、作成した Amazon VPC にインターネットゲートウェイを接続します。

5. [メインルートテーブル] のルートテーブル ID をクリックします。

   

6. [ルートテーブル ID] のルートテーブル ID をクリックします。

   ルートテーブル ID が表示されていないときは、[] をクリックします。

   

7. [ルート] → [ルートを編集] の順にクリックします。

   

8. [ルートを追加] をクリックして、以下のように設定します。

   項目	説明
   [送信先]	0.0.0.0/0 を入力します。
   [ターゲット]	「インターネットゲートウェイ」→「igw-xxxxxx」(インターネットゲートウェイ ID) の順に選択します。

   

9. [変更を保存] をクリックします。

EC2 インスタンスを作成する

次に、VPG を利用するデバイス (Canal を経由して閉域網で Gate Peer に接続するデバイス) が、Amazon VPC 内のリソース (Gate Peer) にアクセスできることを確認するために、EC2 インスタンスを作成します。この EC2 インスタンスが Gate Peer にあたります。

ここで説明する設定は、この EC2 インスタンスにインターネットから SSH でログインしてセットアップを行うための設定と、HTTP で Apache にアクセスできるようするための設定です。

1. AWS の EC2 ダッシュボード にアクセスして、[インスタンスを起動] の [インスタンスを起動] をクリックします。

   

   ステップ 1: Amazon マシンイメージ (AMI) 画面が表示されます。

2. 以下の項目を設定します。

   説明がない項目については、デフォルトのままで操作を進めます。

   
   [名前とタグ]

   項目	説明
   [名前]	EC2 インスタンスの名前を入力します。例: canal-test-server

   
   [アプリケーションおよび OS イメージ (Amazon マシンイメージ)]

   項目	説明
   [クイックスタート]	「Amazon Linux」を選択します。
   [Amazon マシンイメージ (AMI)]	「Amazon Linux 2023 AMI」を選択します。

   
   [インスタンスタイプ]

   項目	説明
   [インスタンスタイプ]	「t2.nano」または「t2.micro」を選択します。今回の用途では、t2.micro や t2.nano で十分です。

3. 既存のキーペアがある場合は、[キーペア (ログイン)] の [キーペア名] で選択します。

   EC2 インスタンスに Apache をインストールする の手順では、ここで指定したキーファイルを使用して、EC2 インスタンスに SSH 接続します。

   キーペアは作成できます

   既存のキーペアがない場合は、[新しいキーペアの作成] をクリックし、[キーペア名] などを入力して、[キーペアを作成] をクリックします。

   

4. [ネットワーク設定] の [編集] をクリックして、以下の項目を設定します。

   項目	説明
   [VPC]	Amazon VPC を作成する で作成した Amazon VPC (例: Canal-Test-vpc) を選択します。
   [サブネット]	Amazon VPC を作成する で作成されたサブネットのうち、パブリックサブネットを選択します。パブリックサブネットは、名前に「public」が含まれています。例: Canal-Test-subnet-public1-ap-northeast-1a
   [パブリック IP の自動割り当て]	「有効化」を選択します。
   [インバウンドセキュリティグループのルール]	[セキュリティグループルールを追加] をクリックし、[タイプ] で「HTTP」を選択し、[ソース] に「0.0.0.0/0」を入力します。

   セキュリティグループで許可するポートやソースは必要最小限にしてください

   ここでは 0.0.0.0/0 からのアクセスを許可していますが、SORACOM Canal の設定後は Amazon VPC ピアリング接続を受諾してネットワークを設定する で確認できる [リクエスタ CIDR] だけ許可するなどが考えられます。

5. [インスタンスを起動] をクリックします。

EC2 インスタンスに Apache をインストールする

次に、起動した EC2 インスタンスに接続して、Apache をインストールします。

1. AWS の EC2 ダッシュボード にアクセスして、[インスタンス] の [インスタンス] をクリックします。

2. 作成したインスタンス (例: canal-test-server) にチェックを入れ、[インスタンスの状態] に「実行中」と表示されていることを確認して、[接続] をクリックします。

   

   EC2 インスタンスに接続するためのコマンドが表示されます。

3. [SSH クライアント] をクリックして、[SSH クライアント] タブに表示された説明のとおりに操作します。

   macOS ではターミナル、Windows では PowerShell などを使用してください。

   $ ssh -i "xxxxxx.pem" ec2-user@ec2-xxx-xxx-xxx-xxx.ap-northeast-1.compute.amazonaws.com
   

   The authenticity of host 'ec2-xxx-xxx-xxx-xxx.ap-northeast-1.compute.amazonaws.com (xxx-xxx-xxx-xxx)' can't be established.
   ED25519 key fingerprint is SHA256:xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
   This key is not known by any other names
   Are you sure you want to continue connecting (yes/no/[fingerprint])?
   

   EC2 インスタンスにログインされます。

4. yes を入力して、Enter キーを押します。

5. Apache をインストールします。

   $ sudo yum install httpd -y
   

   Apache がインストールされます。

6. Apache を起動します。

   $ sudo service httpd start
   

7. PC のブラウザを起動して、URL 入力欄に SSH でのログインに使用したドメイン (たとえば ec2-xxx-xxx-xxx-xxx.ap-northeast-1.compute.amazonaws.com) を入力します。

   以下のように表示されたら、グローバル IP アドレスで EC2 インスタンスで起動している Apache にアクセスできています。

   

   続けて、Canal を構成します。Canal を構成すると、EC2 インスタンスのプライベートアドレスを利用して、EC2 インスタンスで起動している Apache にアクセスできます。

ステップ 2: VPG を作成し Canal を構成する

ここでは VPG を作成し、Canal の Amazon VPC ピアリング接続を構成します (図の赤の点線部分)。お客様が作成した Transit Gateway と接続する手順は SORACOM Canal を使用して閉域網で接続する (Transit Gateway 接続) を参照してください。

VPG を作成する

Canal の Amazon VPC ピアリング接続を利用するには、VPG Type-F を作成します。VPG を作成する手順について詳しくは、VPG を作成する を参照してください。

なお、「VPG を追加」画面では、以下の項目の設定に注意してください。それ以外の項目については、このページの説明には影響がありません。適宜設定を行ってください。

Amazon VPC ピアリング接続を設定する

次に、ステップ 1: Amazon VPC および EC2 インスタンスを作成する で作成した Amazon VPC に、Amazon VPC ピアリング接続を設定します。

Amazon VPC の情報を確認する

Amazon VPC ピアリング接続の設定には、接続先の Amazon VPC に関する情報が必要です。Amazon VPC の情報は、以下の手順で確認できます。

1. AWS の VPC ダッシュボード にアクセスし、[お使いの VPC] をクリックします。

2. [検索] 欄に VPC の名前を入力し、VPC ID をクリックします。

   

   VPC の詳細画面が表示されます。

3. 以下の情報を確認します。

   項目	説明
   [VPC ID]	VPC の ID。
   [IPv4 CIDR]	VPC の IPv4 CIDR (IP アドレスレンジ)。
   [所有者 ID]	VPC を所有する AWS アカウントの ID。

   

ユーザーコンソールで Amazon VPC ピアリング接続を設定する

1. VPG を作成する で作成した VPG の VPG 設定画面で、[状態] に「実行中」と表示されていることを確認します。

   VPG 設定画面を表示する操作について詳しくは、VPG の設定を変更する を参照してください。

   VPG の [状態] が「作成中」のときは、次の手順で [＋追加] をクリックできません。

2. [閉域網設定] をクリックして、[Amazon VPC ピアリング接続 (SORACOM Canal)] の [＋ 追加] をクリックします。

   

   「Amazon VPC ピアリング接続を作成」画面が表示されます。

3. Amazon VPC の情報を確認する で確認した内容を各項目に入力します。

   項目	説明
   [AWS アカウント ID]	接続先の Amazon VPC の所有者 ID を入力します。
   [AWS VPC ID]	接続先の Amazon VPC の ID を入力します。
   [AWS リージョン]	接続先の Amazon VPC がある AWS リージョンを選択します。例: ap-northeast-1
   [AMAZON VPC のアドレスレンジ]	接続先の Amazon VPC の IPv4 CIDR (IP アドレスレンジ) を入力します。

   

4. [作成] をクリックします。

   ステップ 1: Amazon VPC および EC2 インスタンスを作成する で作成した Amazon VPC に、SORACOM から Amazon VPC ピアリング接続がリクエストされ、VPG 設定画面に戻ります。

5. [Amazon VPC ピアリング接続 (SORACOM Canal)] に表示される、ピアリング接続 ID (pcx-xxxxxxxxxxxxxxxxx) を確認します。

   この ID は、次の Amazon VPC ピアリング接続を受諾してネットワークを設定する で使います。

   

   ピアリング接続 ID に undefined と表示されているときは、ブラウザの再読み込みボタンをクリックします。

Amazon VPC ピアリング接続を受諾してネットワークを設定する

ここでは、ステップ 1: Amazon VPC および EC2 インスタンスを作成する で作成した Amazon VPC で、ピアリング接続を受諾し、ネットワークの設定 (ルートテーブルの設定) を行います。

1. AWS の VPC ダッシュボード にアクセスし、[仮想プライベートクラウド] の [ピアリング接続] をクリックします。

   

   ピアリング接続のリクエストが表示されます。

2. [Find resources by attribute or tag] に、ユーザーコンソールで Amazon VPC ピアリング接続を設定する で確認したピアリング接続 ID (pcx-xxxxxxxxxxxxxxxxx) を入力して Enter キーを押します。

3. ピアリング接続 ID をクリックします。

4. [リクエスタ CIDR] を確認します。

   

   リクエスタ CIDR は、手順 10 でルートを追加するときに入力します。

5. [アクション] → [リクエストを承諾] の順にクリックします。

   

   「VPC ピアリング接続リクエストを承諾」画面が表示されます。

6. [リクエストを承諾] をクリックします。

7. [アクセプタ VPC] の VPC ID をクリックします。

   

8. [メインルートテーブル] のルートテーブル ID をクリックします。

   ルートテーブルの詳細画面が表示されます。

9. [ルート] → [ルートを編集] の順にクリックします。

10. [ルートを追加] をクリックして、以下のように設定します。

    項目	説明
    [送信先]	手順 4 で確認した「リクエスタ CIDR」(利用する VPG の IP アドレスレンジ) を入力します。
    [ターゲット]	「ピアリング接続」→ 「pcx-xxxxxxxxxxxxxxxxx」(ピアリング接続 ID) の順に選択します。

    

11. [変更を保存] をクリックします。

    ルートテーブルの詳細画面に戻ります。

12. [アクション] → [サブネットの関連付けを編集] をクリックします。

13. 対象の VPC のパブリックサブネット (例: Canal-Test-subnet-public1-ap-northeast-1a) にチェックを入れて、[関連付けを保存] をクリックします。

ステップ 3: 閉域網で接続する

いよいよ、Canal を通じて、閉域網の接続を行います。

VPG を有効化したグループに所属する IoT SIM は、VPG を利用します。具体的には、以下の手順で接続します。

1. IoT SIM が利用する VPG を切り替える
2. IoT SIM からプライベートアドレスでアクセスする

IoT SIM が利用する VPG を切り替える

IoT SIM が、ステップ 2: VPG を作成し Canal を構成する で作成した VPG を利用するように設定し、セッションを再確立します。詳しくは、IoT SIM が利用する VPG を切り替える を参照してください。

IoT SIM からプライベートアドレスでアクセスする

VPG を使用するグループに所属する IoT SIM を利用するデバイスから、ステップ 1: Amazon VPC および EC2 インスタンスを作成する で作成した Amazon VPC 内の EC2 インスタンスにアクセスします。

1. AWS の EC2 ダッシュボード にアクセスして、[インスタンス] の [インスタンス] をクリックします。

2. 作成したインスタンス (例: canal-test-server) にチェックを入れ、[インスタンス概要] → [インスタンスの状態] に「実行中」と表示されていることを確認して、[プライベート IPv4 アドレス] を確認します。

3. IoT SIM を利用するデバイスから、プライベート IP アドレスを利用して EC2 インスタンスにアクセスできることを確認します。

   たとえば、ブラウザを起動し、EC2 インスタンスのプライベートアドレスを入力して、以下のように表示されたら、プライベート IP アドレスで EC2 インスタンスで起動している Apache にアクセスできています。

   

(参考) Canal の利用を終了する

Canal を用いた閉域網接続が不要になった場合は、ステップ 2: VPG を作成し Canal を構成する で作成した VPG の利用を終了 / 削除してください。VPG の利用を終了する手順について詳しくは、VPG の利用を終了する / 削除する を参照してください。