クラウドジャーニー記録②
社内とAWSとのネットワーク設定作業
情報システム部と連携し、下記作業を実施。
■情報システム部と取り決めたこと
・IPアドレスについて(CIDR)
→ 社内とAWS上で、IPアクセスが重複しないようにAWSで利用するCIDR範囲を取り決める
・オンプレ側で利用しているIT資産管理ツールの導入可否
→ ハードが無いクラウド上のサーバ資産を管理することは困難であるため、クラウド上の資産はAWSのサービスで管理することに
→ ただし、ライセンス管理対象の製品「Office」を入れる場合は既存のIT資産管理ツールを入れて監視したい。
■社内
・疎通を許可するセグメント及びIPの調査と設定
・L3スイッチの経路情報追加
・Firewall(Fortigate)の設置
・VPNサーバ設置
■AWS側
・CustomerGatewayの作成
・Transit Gatewayの作成
対象のVPCをアタッチ、ルートテーブルへの経路情報追加
・Route53 Resolverの作成
社内AD(DNS)で名前解決できるように設定
・アウトバウンドエンドポイント作成
(参考)転送ルールの設定→アウトバウンドエンドポイントとVPCの関連付け
https://docs.aws.amazon.com/ja_jp/Route53/latest/DeveloperGuide/resolver-rules-managing.html#resolver-rules-managing-associating-rules
(参考)転送ルールを他のアカウントと共有
https://docs.aws.amazon.com/ja_jp/Route53/latest/DeveloperGuide/resolver-rules-managing.html#resolver-rules-managing-sharing
社内からAWS側のDNSを参照できるように設定
・インバウンドエンドポイントの作成
(参考)リモートネットワークからプライベートホストゾーンの DNS レコードを解決するように Route 53 リゾルバーのインバウンドエンドポイントを設定する方法を教えてください。
https://aws.amazon.com/jp/premiumsupport/knowledge-center/route53-resolve-with-inbound-endpoint/
その他、オンプレのサーバをSSMで管理できるよう対象サーバにSSMエージェントをインストールした。
メンテナンスウインドウ・パッチマネージャを利用することで、今後のWindowsUpdate作業を自動化し、運用負荷の削減を狙う。
社内ADを使ったSSOは今のところ考えていないため、連携については今回は実施せず。
今後、全社展開となったらコンソールアクセスをAD認証できるようにしたい。