・WebサイトはEC2上にWebサーバを立てる(S3は今回意識しない)
・SSL証明書は無料のものを使う
・サーバメンテナンスも考慮に入れた構成にする
①EC2構成
・SSL証明書は外部認証局(ここではLet'sEncrypt)で発行し、EC2内に組み込む
・サーバメンテナンスはSystemsManagerから行うことで、EC2のポート開放は最小限に留めている。
・EC2がパブリックIPを持つことになるので、セキュリティは低め
②CloudFront+EC2構成
・SSL証明書はCertificate Managerで発行し、CloudFrontに割り当てる
・サーバメンテナンスはSystemsManagerから行うことで、EC2のポート開放は最小限に留めている。
・EC2がパブリックIPを持つことになるが、手前にCloudFrontがあることでセキュリティは①よりはまし
・EC2のセキュリティグループでCloudFrontのIPレンジを指定することでセキュリティはやや向上するが
IPレンジは変わることがあるらしいので、メンテナンスが面倒になる。
・CloudFrontを配置することで、CDNの効果が見込まれる。
③ELB+EC2構成
・SSL証明書はCertificate Managerで発行し、ELBに割り当てる
・サーバメンテナンスは踏み台サーバにSystemsManagerで接続し、WebサーバにはSSH接続する構成
→メンテナンスは、VPC endpointでSystemsManagerとの通信する構成でも良い
・EC2がプライベートサブネットに配置されるので、セキュリティは高め
・ELBを配置することで負荷分散が可能
④CloudFront+ELB+EC2構成
・SSL証明書はCertificate Managerで発行し、CloudFrontに割り当てる
・サーバメンテナンスはVPC endpoint経由でSystemsManagerと接続する構成
→パブリックサブネットに踏み台を置いてSSH接続する構成でも良い
・EC2がプライベートサブネットに配置されるので、セキュリティは高め
・ELBを配置することで負荷分散が可能
・CloudFrontを配置することで、CDNの効果が見込まれる。
とりあえず立ててみる程度なら①、②で、商用なら③、④が良いと思います。
0 件のコメント:
コメントを投稿