awsを使用してnatゲートウェイを監視する方法!

パソコン6

awsを利用してサーバー構築を行う際、natゲートウェイの監視が必要になってきます。顧客のセキュリティを守る為に必要な項目です。awsを利用すれば専門的知識が無くても比較的簡単に設置することが出来ます。

そしてアラートやエラー内容の確認も出来ます。今回はnatゲートウェイについて設置方法やメリット、注意点などを紹介していきます。

natゲートウェイとは?

natゲートウェイとはVPN内にプライベートサブネットからインターネットに繋げる為の道です。サービス提供しているクラウドからユーザーがインターネットに接続する際、プライベートIPからグローバルIPに変換する役割を持っています。

この変換をすることで接続元のIP情報が守られ、セキュリティ面を強化することが出来ます。グローバルIPは1対多の性質を持っており、複数のユーザーがインターネットに接続した場合も同じグローバルIPとなります。

awsを受けることでサーバーの再構築が不要でnatゲートウェイを設置することが出来ます。つまり専門的な知識が無くてもnatゲートウェイを設置することが出来るので専門的な人材を雇う必要がありません。

natゲートウェイを監視する必要がある?

パソコン15

natゲートウェイを設置する際、自動的な監視を付ける必要があります。理由としてはインターネットに接続した時、外部から攻撃を受けていないか、パケットが正常に動作しているか、トラブルが起きた時のトラブルシューティングとして役に立ちます。

監視の結果から原因を解明する役割があるのでクラウドサービスを運営しているほとんどの企業は導入しています。

AmazonCloudWatchで監視するメリット

awsのサービスの中でAmazonCloudWatchは導入から監視までの設置を簡単に行うことが出来ます。awsサービスを既に使っている場合はEC2からマウス操作で設置が可能です。そして機能面でも優れています。

14つのメトリクスが使用可能でそれぞれ1分間隔で送信される為、常に監視を行なっています。監視内容はTCPの同時接続数を確認することでゲートウェイ経由のPCを判断できる、送信先送信元のバイト数やパケットを監視することで大量の不正データや異変を察知することができる、トラフィックの監視、応答がないゲートウェイの監視などAmazonCloudWatchがあればほとんどのデータを監視することができます。

更に人が常に確認する必要がありません。同じaws機能のAmazonSNS経由で異変を察知した時、アラートで知らせてくれます。あらかじめ条件を入れておくことで、即座に対応することが可能です。一般的にポートエラーであったりトラフィック数が大量に受信した場合にアラートを設定することで不正に気づきやすいです。

そしてメトリクスの情報はログに書き込むことが出来るので視覚的にわかりやすいといえます。

AmazonCloudWatchを設置する方法

awsサービスのnatゲートウェイにCloudWatchを設定する方法を紹介します。まずは1番重要なメトリクスを設定しましょう。メトリクスとは測定基準のことで種類によって測定基準が異なります。初めにCloudWatchコンソールを開いてください。

その後、ナビゲーションペインで メトリクスを選択します。メトリクスの種類はawsのサイトに載っているので確認しましょう。14種類あります。次にAllmetricsからNATgatewayのメトリクス名前空間を選びましょう。

最後にメトリクスを表示する為、メトリクスディメンションを選択します。メトリクスは名前空間内の様々なディメンションの組み合わせごとにグループ化されています。またAWSCLIを使用してメトリクスを表示することも可能です。

コマンドプロンプトからaws cloudwatch list-metrics --namespace "AWS/NATGateway"を貼りつけて使用してください。natゲートウェイサービスで利用することができるメトリクスを一覧表示するので便利です。

最後にモリタニング用のアラートを作成します。アラートを作成することで常に確認する必要がありません。1つのアラームで指定の期間内に1つのメトリクスを監視します。つまり複数個監視したい場合は幾つか作成する必要があります。

まず初めにCloudWatchコンソールを開いてください。次にナビゲーションペインでAlarmsを選択し、CreateAlarmを選びましょう。そしてNATgatewayを選択します。次にnatゲートウェイとBytesOutToDestinationメトリクスを選択し、Nextを選びます。

アラートの設定画面が開くので好きな設定にしましょう。全ての設定が完了したら、Create Alarmを選択してください。これでアラートの設定が完了します。設定画面ではプログラミングの条件記号が使われたりするので少し特殊な設定方法となります。

AmazonCloudWatchの注意点

パソコン16

natゲートウェイを監視する際、注意してCloudWatchを設置しましょう。簡単なサーバー構造であれば容易に設置することができますが、事業が拡大しサーバー構築が複雑になっていくと設置場所が増えたり、インターネットに繋がってないエリアに設置したり、ミスが起こりやすくなります。

間違えて設置してしまうと、攻撃を受けた際や不正なデータのやり取りが行われても気付きません。運用前にチェックを行ってから使用しましょう。またアラートを設置しすぎると不要なデータまでログとして残してしまい、大量なデータが残ります。

処理が大変になったり、サーバー負荷が掛かってしまうので最適な設置場所を選びましょう。

AmazonCloudWatchの料金

AmazonCloudWatchを利用する際、料金が発生します。ただし、既にawsのEC2に契約している場合は発生しません。会員登録後の1年無料でサービスを利用している場合は料金が発生します。料金は固定では無く変動制です。

次に使用したメトリクス数やリクエスト数によって値段が変わります。基本的に数十円から数円単位の値段で加算されていきますが、データが多いほど高くなるのでEC2やS3といったサーバー構築のサービス枠を購入することでAmazonCloudWatchを無料枠にする方がお得です。

凡庸的にAmazonCloudWatchを利用しよう

natゲートウェイの監視方法としてAmazonCloudWatchを紹介しましたが、このサービスはaws上のほぼ全て監視することが出来ます。CPUの負荷状況だったり、メモリの使用状況、そしてアプリケーション上の監視も行うことが出来ます。

その為、natゲートウェイの監視以外にも凡庸的に使用することが出来る便利なサービスと言えます。

無料の対象外なので注意が必要

natゲートウェイについて設置方法やメリット、注意点を紹介しました。

natゲートウェイの監視を簡単に設置出来るのでとても便利なサービスです。

AmazonCloudWatchは会員登録による1年無料の対象外なので注意が必要です。EC2サービスのサーバー構築画面から間違えて作成してしまうと料金が発生してしまいます。

しかし料金は安く自由なカスタマイズが可能なので1から作るよりコスパが良いといえます。一度検討してみてはいかがでしょうか。

投稿日: