Upgrade to Pro — share decks privately, control downloads, hide ads and more …

[AWSあるある] 外部公開用FTPサーバ構築パターン

Avatar for AWS_Aruaru AWS_Aruaru
September 01, 2021
Technology
1
3.7k

[AWSあるある] 外部公開用FTPサーバ構築パターン

AWS上で外部公開用のFTPサーバ構築するパターンを紹介します
Avatar for AWS_Aruaru

AWS_Aruaru

September 01, 2021
Tweet

More Decks by AWS_Aruaru

See All by AWS_Aruaru
[AWSあるある] Microsoftライセンス②
Avatar for AWS_Aruaru aws_aruaru
0
38
[AWSあるある] Microsoftライセンス①
Avatar for AWS_Aruaru aws_aruaru
0
110
[AWSあるある] コスト削減パターン①
Avatar for AWS_Aruaru aws_aruaru
0
67
[AWSあるある] 複数拠点との接続パターン
Avatar for AWS_Aruaru aws_aruaru
0
600

Other Decks in Technology

See All in Technology
How Community Opened Global Doors
Avatar for hiroramos hiroramos4
PRO
1
130
Lambda Web Adapterについて自分なりに理解してみた
Avatar for Makky12 smt7174
5
130
無意味な開発生産性の議論から抜け出すための予兆検知とお金とAI
Avatar for Masato Ishigaki / 石垣雅人 i35_267
0
140
A2Aのクライアントを自作する
Avatar for Ryunosuke Iwai rynsuke
1
220
Snowflake Summit 2025全体振り返り / Snowflake Summit 2025 Overall Review
Avatar for k.muguruma mtpooh
2
420
生成AI活用の組織格差を解消する 〜ビジネス職のCursor導入が開発効率に与えた好循環〜 / Closing the Organizational Gap in AI Adoption
Avatar for upamune / Yu SERIZAWA upamune
5
4.2k
Witchcraft for Memory
Avatar for pocke pocke
1
580
強化されたAmazon Location Serviceによる新機能と開発者体験
Avatar for Yasunori Kirimoto dayjournal
3
230
ドメイン特化なCLIPモデルとデータセットの紹介
Avatar for tattaka tattaka
1
210
mrubyと micro-ROSが繋ぐロボットの世界
Avatar for Katsuhiko Kageyama kishima
2
360
2025-06-26_Lightning_Talk_for_Lightning_Talks
Avatar for hashimo2 _hashimo2
2
100
BrainPadプログラミングコンテスト記念LT会2025_社内イベント&問題解説
Avatar for BrainPad brainpadpr
1
170

Featured

See All Featured
Stop Working from a Prison Cell
Avatar for Chris Michel hatefulcrawdad
270
20k
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
Avatar for Kevin Liebholz kevinliebholz
34
5.9k
Intergalactic Javascript Robots from Outer Space
Avatar for Vicent Martí tanoku
271
27k
How to train your dragon (web standard)
Avatar for Monica Dinculescu notwaldorf
94
6.1k
Faster Mobile Websites
Avatar for Dean Hume deanohume
307
31k
Dealing with People You Can't Stand - Big Design 2015
Avatar for Cassini Nazir cassininazir
367
26k
Building Better People: How to give real-time feedback that sticks.
Avatar for Will Jessup wjessup
367
19k
Balancing Empowerment & Direction
Avatar for Lara Hogan lara
1
380
Statistics for Hackers
Avatar for Jake VanderPlas jakevdp
799
220k
How to Ace a Technical Interview
Avatar for Jacob Kaplan-Moss jacobian
277
23k
XXLCSS - How to scale CSS and keep your sanity
Avatar for Zaharenia Atzitzikaki sugarenia
248
1.3M
Visualizing Your Data: Incorporating Mongo into Loggly Infrastructure
Avatar for mongodb mongodb
46
9.6k

Transcript

  1. AWS あるある 外部公開⽤ FTPサーバの構築

  2. 前提 • Passive Mode (PASV) での構築です • Active Mode の場合は、データ転送はFTP側からクライアントに接続

    するため、外部公開⽤途だと現実的ではないからです • 暗号化されていないので外部公開⽤途で使うべきでないという 正論は、今回は無視しています • 本番環境で利⽤する際は、セキュリティ要件を確認しましょう

  3. ⽅法① EC2 インスタンスで構築

  4. Public subnet ⽅法① EC2 インスタンスで構築 v1 VPC FTP Server •

    EC2 インスタンスでFTPサーバを構築するパターン • Passive Modeのため負荷分散・冗⻑化不可 • やるなら Active/Standby 構成で、障害時はEIP 差し替えかDNS変更で対応 • 接続元のIP制限は セキュリティグループで実施 • なんらkの事情で、Public Subnet内にサーバを置け ない場合は、次のパターンを利⽤ Client

  5. Private subnet Public subnet ⽅法① EC2 インスタンスで構築 v2 VPC FTP

    Server • NLBをPublic Subnetに設置するパターン • EC2 インスタンスは Private Subnetに置ける • Passive Modeのため同様に負荷分散・冗⻑化不可 • やるなら Active/Standby 構成で、障害時は NLBに紐付いたEC2インスタンスを差し替える などいろいろパターンあり • IP制限が必要なら、NLBにはセキュリティグループ は使えないので、ターゲットグループが • インスタンス ターゲットなら、EC2インスタ ンス側のセキュリティグループでIP制限する • IPターゲットならPublic Subnet側にNACLを 設定してIP制限する Client Network Load Balancer

  6. 少し詳しく • Passive Modeのため同様に負荷分散・冗⻑化不可 • やるなら Active/Standby 構成で、障害時は NLBに紐付いたEC2インスタンスを差し替える などいろいろパターンあり

    Private subnet Public subnet VPC FTP Server A Network Load Balancer A Private subnet Public subnet Network Load Balancer B FTP Server B • NLBを2つ作っておくパターン(AとB) • それぞれ、FTP Server A と B を紐付ける • (2つのPublic Subnetを指定すれば、NLBは 1つでもいい) • NLBにそれぞれ異なるEIP(EIP A、EIP B とする)が 紐づく • EIP A に ftp1.example.com, EIP B に ftp2.example.com をDNS登録して、FTP利⽤者 にメイン時は ftp1を、繋がらない場合は ftp2を 使ってもらうように伝えておく • ドメインは1つで、DNS変更を障害時に⾏う⽅ 法もあり • データ置き場として共有ストレージ(EFS)を利⽤ EFS

  7. 少し詳しく IP制限が必要ならNLBにはセキュリティグループは使 えないので、ターゲットグループが • インスタンス ターゲットなら、EC2インスタ ンス側のセキュリティグループでIP制限する • IPターゲットならPublic Subnet側にNACLを

    設定してIP制限する Private subnet Public subnet VPC FTP Server Network Load Balancer Private subnet Public subnet VPC FTP Server Network Load Balancer インスタンス ターゲットの場合、 • FTP Serverから⾒たFTP通信の送信元IPはクライ アントのIPになるため、 EC2インスタンス側のセ キュリティグループでIP制限が可能 IPターゲットの場合、 • FTP Serverから⾒たFTP通信の送信元IPはNLBの Private IPになるため、 EC2インスタンス側のセ キュリティグループで制限できない。 • 代わりに、 Public Subnet側にNACLを設定してIP 制限する Client Client インスタンス ターゲット IP ターゲット セキュリティグループでIP制限 X X NACLでIP制限

  8. ⽅法② AWS Transfer Familyで構築

  9. ⽅法② AWS Transfer Familyで構築 • AWS Transfer Family(FTP) を作成 •

    VPC endpoint が作成されるタイプで作成 • NLBを作成し、ターゲットIPで VPC endpointのIPア ドレスを登録する • NLBは2つのPublic Subnetを指定して作成 • この結果、EIPが2つNLBに割り当てられる • ロードバランシングはできないので、AZ1側のEIPを main系、AZ1側のEIPをbackup系とする • それぞれドメイン登録しておくか、障害時にDNS 変更を⾏うかは要件次第で決める • IP制限が必要な場合は、前述の同じように、NACLを 設定する • FTPを作成する場合は、カスタム ID プロバイダーの 設定が必須 • API Gateway – Lambda – 何らかのデータスト ア(RDS, DynamoDB etc)で構築 Public subnet(AZ1) VPC Network Load Balancer Public subnet(AZ2) Transfer Family (FTP) Endpoints Endpoints Client Main Backup API Gateway Lambda ID/Passwordなどを 保存したデータストア

  10. ⽅法②の注意点 • 可⽤性 • Transfer Family⾃体はリージョンサービスなのでデフォルトで冗⻑化 されている • にもかかわらず、FTP Passive

    Modeの仕様上、Single AZ構成になら ざるをえない • 詳細は以下の「Trade-offs to consider」 • https://aws.amazon.com/blogs/storage/configuring-your-ftps-server- behind-a-firewall-or-nat-with-aws-transfer-family/ • ロギング • Transfer Familyからみたアクセス元IPは NLB のIPアドレスになるた め、クライアントのIPアドレスをロギングできない • IP制限⾃体は前述のNACLにより可能