EC2でWindowsServer建てましょう

あの散々VPNサーバー立てた理由なんですが、
今流行りのクラウドサーバーを作りたかったのです。
AWSは月々に使用量とか、外から聞くと高いと思うのですが、
azureとかニフクラとかと比べると、かなり安いです。
時点でBIGLOBEホスティングが価格面で頑張っているように見えますが、ちょっと拡張性が悪い。
なのでawsはいい感じにコスト削減になります。

でも、一番の利点としては、snspshot取れるし、ハードウェアトラブルで少し慌てなくても済む。
サーバーでSSDなんてやると、二重化も合わさって数百万になるんですよ。
それに比べたらgp3とか3000opsが最低性能とか色々感覚バグります。

その代わり、AWSが死ぬとサーバー類が死ぬというところか。この辺ジレンマ。
AWSが完全に死ぬパターンとしては、
ここ最近、azureがインターネットに出るあたりの機器の設定トラブルで、
全世界のリージョンの設定がバグった話。同様のパターンがAWSでも起こるかもしれんと思うと胃が痛いですね。
もうコレらのクラウド事象は、インターネットが壊れたと同義になるのかもしれんなぁ。

さて、今回ちょっとアホに悩んだ事象が2点。

1点目
パブリックIPを振らないとインターネットに繋がらない、って話という話。
最初WindowsServerが悪いのか通ったんですが、全然違う。
インスタンス作る時に、IPv4のパブリックIP取得をオフにしていました！
いやだってVPNゲートウェイ使えばサブネットで繋がるしね。

でも、グローバルIP振らないとそもそもインターネット通信できないし、
お前自身でNATゲートウェイも作ってないからそりゃあ無理だぞって。
この辺ネットワーク管理はルーターがほぼ勝手にやってくれてるだけだから、その辺忘れそうになっているけど。
EC2もデフォルトは自動でパブリックIP振ってくれるので、
その辺忘れそうになるんですけどね。

後はVPSでインターネットゲートウェイって言うのがあるもんで。
設定項目何もないので、どうやって外側に繋げるんだろうってずっと思ってたんですが、
パブリックIP振られるのってそういう目的あったのね、としみじみ。

いきなりNATゲートウェイ作るのは怖い。
というかElasticIP、地味に高い。
EC2にアタッチされてないか、
起動状態でないかで1月300円ぐらい取られる。地味に痛い。

そこは一旦、パブリックIP振られたIFとプライベートのみ振ったIFを2個付けることで解決したけど、同じサブネットにいるせいでルーティングが不安だ。
特にデフォルトゲートウェイが一緒なせいで、インターネットとプライベートネットワークが分離できてない。
もうNATゲートウェイ建てて強引的に切り離そうとしています。
IPv6対応したサイトだけならEgressゲートウェイでもいいかも。

結論:
使おうとしたURLはIPv6に対応してなかった。
でも内部でブラウザ開くとCPUパワー使うから、転送した方がいいのかもしれんな。

2点目
Windows ServerからVPNを通してこちらにpingを送ると返ってこない。
こちらからping送ると返ってくる。なんでや？
ソフトウェアファイアウォール開けても反応なし。
なんでだ？

ここでAWSのセキュリティグループの見直しを行う。
接続の範囲で、IPアドレスとかリストを配布する他、
セキュリティグループに当てたインスタンスを許可する項目があるのだ。
コレを実践してみようと思った。

そしてVPNゲートウェイさんにAWSローカル側のICMPが許可されていなかったことを知る。
なんで？前はちゃんと通信できてたのに！？

心当たりとしては、セキュリティグループの設定を削った記憶があるので、そこでピンポイントで消したかです。
よく思えば、セキュリティグループはステートフルなので、
オンプレからVPNゲートウェイは許可されていて、
VPNゲートウェイから出るICMPに関してはアウトバウンドとなり、インバウンドも許可される。
なので疎通する。

でもWindowsServerから出したICMPは、
VPNゲートウェイにとってはインバウンドなので、拒否される形になった模様。
そりゃあダメだな。

セキュリティを制限ベースから構築するとこうなりかねんのでちゃんと考えて構築しないとダメなパターンです。
そのおかげで血を張ってでも一歩ずつ勉強しています。
もうここまで苦労すれば一生忘れへんで。

この後、VPN設定が詰まったセキュリティグループをVPNゲートウェイにアタッチし忘れた影響で、
Windows Server繋がらんと慌てるのは別の話。