[運用]
Amazon EC2/S3で作るWindows公開サーバ(前編)

4.インスタンスの起動とWindowsへの接続

デジタルアドバンテージ 島田 広道
2009/11/25

インスタンスの選択と起動

 それではWindowsのインスタンスを起動してみよう。AMCの左側メニューから[Instances]をクリックして[Launch Instance]ボタンをクリックすると、インスタンス起動のウィザードが始まる。最初は、SQL Server 2005 Express EditionやIISなどがセットアップ済みの「Getting Started on Microsoft Windows Server 2003」というOSイメージを選ぶとよいだろう。

インスタンス起動のウィザードを開く
ウィザードの最初ではOSイメージを選択する。Windowsの場合、OSはWindows Server 2003 R2 Datacenter Editionのみだが、SQL Serverの有無や32bit版/64bit版などが異なるいくつかのOSイメージから選択可能だ。
これをクリックする。
これをクリックするとウィザードが始まる。
これを選ぶと、AWS提供の標準的なOSイメージのリストが表示される。そのうちWindowsのOSイメージは4種類だ。ここにないOSイメージは@で[Community AMIs]を選んで検索することになる。
SQL Server 2005 Express EditionやIISなどがセットアップ済みのOSイメージ。セットアップが容易なので、最初はこれでいろいろと試すのがよいだろう。
これをクリックすると次へ進む。

 [Select]ボタンで次に進むと、ファイアウォールの設定画面が表示されるが、後で設定可能なので、下部にある「Skip this」というリンクをクリックして、設定せずに次に進む。この場合、外部に対しては、ほぼすべての通信ポートが閉じられるため、セキュリティ上、脆弱(ぜいじゃく)になるわけではない。

 次の画面ではインスタンスの数や種類、秘密鍵/公開鍵のペアなどを指定し、[Launch]ボタンをクリックすると、インスタンスの起動が始まる。

インスタンスを実際に起動する
ここではインスタンスの数や種類などを指定した後、実際にインスタンスを起動する。
インスタンス数。「1」と入力する。
インスタンスのタイプ。32bit版Windowsを選んだ場合、このほかにプロセッサ性能の高いタイプ(High-CPU Medium)も選択できるが、テスト目的ならこの「Small」で十分だ。64bit版のWindows OSを選んだ場合は「Large」や「Extra Large」など5種類のタイプから選択可能(各タイプの詳細は前述の表「EC2のインスタンスの料金体系」を参照)。
生成・取得しておいた秘密鍵/公開鍵のペアを指定する。
ファイアウォールの設定の選択。「default」のままでよい。
AWSのCloudWatchというインスタンスの監視サービス。テスト目的なら不要なのでオフのままにしておく。
これをクリックすると、インスタンスの起動が始まる。

 その次の画面がウィザードの最後で、「Your instances are now launching.」というメッセージが表示されれば、インスタンスは起動中のはずだ。[Close]ボタンをクリックしてウィザードを終了し、AMCの画面に戻ると、起動中のインスタンスが表示されるはずだ。

実行中のインスタンスの状態表示
ウィザードの終了直後、このように実行中のインスタンスの状態が表示される。左側メニューの[Instances]をクリックしても、この画面は表示できる。
インスタンスの一覧。ここで選択したインスタンスの詳細が下のに表示される。
「starting」はインスタンス(ここではWindows OS)が起動中であることを意味する。起動が終わると「running」に変わる。
で選んだインスタンスの詳細な状態が表示される。

 デフォルトのSmallインスタンスにWindowsのOSイメージを組み合わせた場合、起動開始からインスタンスの状態が「running」に変わるまでには、約3分掛かった。

ファイアウォールの設定

 Amazon EC2では、各インスタンスにファイアウォールが設けられており、パケット・フィルタリングによって不要な通信を遮断できる(Windows OS内蔵のファイアウォールとは独立している)。デフォルトではすべての通信が遮断されており、起動したWindows OSをまったく管理できない。管理用にリモート・デスクトップで接続できるようにRDP(Remote Desktop Protocol)を通過させるための設定を行う。このとき、全世界にRDPのポートを公開すると攻撃される危険性が高まるため、ソースIPアドレスは管理拠点に限定することをお勧めする(以下の画面でもソースIPアドレスは制限している)。

 Amazon EC2のファイアウォールを設定するには、AMCの左側メニューの[Security Groups]を選ぶ。Security Groupの各グループが、それぞれファイアウォールのパケット・フィルタリングの設定集に相当する。最初、Security Groupはデフォルトで作成された「default」のみで、インスタンスにもこれが自動的に割り当てられている。つまり「default」の設定を変更すれば、すぐインスタンスにも反映される。

ファイアウォールを設定する
リモート・デスクトップで接続できるようにするには、以下の手順でSecurity Groupの「default」の設定を変更する必要がある。
これをクリックする。
これを選択する。インスタンスにはこれがデフォルトで割り当てられている。
プルダウン・リストボックスから「RDP」を選ぶ。
これらの設定はにより自動的に設定される。一応、ポート3389/tcpが選択されていることを確認しておく。
通信を許可するソースIPアドレスを指定する。枠で設定する場合は「〜/24」のように、サブネット・マスクのビット数を末尾に指定する。
を終えたら、これをクリックすると設定が反映される。

インスタンスの管理者パスワードの取得

 次は、インスタンスすなわち実行中のWindows OSの管理者パスワードを取得する。AWS提供のOSイメージからWindows OSのインスタンスを起動した場合、初期の管理者パスワードは自動的に生成されるが、取得するには秘密鍵で復号化する必要がある。以下の手順を始める前に、前のページの「秘密鍵/公開鍵を生成・取得する」で説明した手順で、あらかじめ秘密鍵(PEMファイル)を用意しておく。

 管理者パスワードを取得するには、AMCの左側メニューの[Instances]をクリックして[Instance Actions]ボタンをクリックし、[Get Windows Admin Password]をクリックする。

管理者パスワードの取得画面を表示する
対象のインスタンスを選択してから、管理者パスワードの取得画面を呼び出す。
これをクリックする。
対象のインスタンスを選択する。
これをクリックする。
これをクリックすると、管理者パスワードを復号化する画面が表示される。

 次の画面が表示されたら、前述の秘密鍵をテキスト・エディタで開き、その全文を[Private Key]にペーストする。

管理者パスワードを復号化する
事前に生成した秘密鍵で、管理者パスワードの暗号を解く。
暗号化された管理者パスワードの一部。
対象のインスタンスに割り当てられた秘密鍵/公開鍵のペアの名前。このファイル名でダウンロードされた秘密鍵が必要になる。
の秘密鍵をテキスト・エディタで開き、先頭の「-----BEGIN RSA……」から末尾の「……PRIVATE KEY-----」までをコピーし、ここにペーストする。
これをクリックして数秒待つと、復号化された管理者パスワードが表示される。

 [Decrypt Password]ボタンをクリックすると、数秒後に復号化に成功した画面が表示されるはずだ。一番下の[Decrypted Password]に復号化済み管理者パスワード(ログオン・ダイアログで入力すべきパスワード)が表示されるので、メモしておく(リモート・デスクトップ接続時に指定する)。

インスタンスへのリモート・デスクトップ接続

 これで準備が完了したので、Windows OSのインスタンスにリモート・デスクトップで接続してみよう。まずは、インスタンスのホスト名が設定済みのリモート・デスクトップ接続用ファイル(RDPファイル)をダウンロードする。手動で設定してもよいが、インスタンスのホスト名は起動するたびに変わるため、ダウンロードしたRDPファイルを編集した方が簡単に接続できる(後編で解説する固定IPアドレスのオプションを利用すれば、ホスト名も固定できる)。

 RDPファイルをダウンロードするには、前述の管理者パスワードと同様、AMCの左側メニューの[Instances]をクリックして[Instance Actions]ボタンをクリックし、[Connect]をクリックする。次の画面が表示されたら、左下の「Download shortcut file」をクリックすると、RDPファイルがダウンロードできる。

専用のRDPファイルをダウンロードする。
[Instances]のクリック後、[Instance Actions]ボタンから[Instance Actions]を選ぶと、この画面が表示される。
これをクリックすると、対象のインスタンスに接続するためのRDPファイルがダウンロードされる。
ダウンロードが済んだら、これをクリックしてウィンドウを閉じる。

 ダウンロードしたRDPファイルをダブル・クリックすると、リモート・デスクトップの画面が表示されるはずだ。「このリモート接続の発行元を識別できません。接続しますか?」という警告が表示された場合は、[接続]ボタンをクリックして接続する。

Windows OSのインスタンスにリモート・デスクトップで接続したところ
ダウンロードしたRDPファイルをダブル・クリックして接続した。前述の手順で取得した管理者パスワードを入力すればログオンできる。以後は、描画が遅いことを除けば、ローカル設置のサーバと変わりなくリモート・デスクトップで管理できる。

 これで、インスタンス上のWindows OSを管理できるようになったが、インスタンスを終了するとローカル・ディスクの内容が失われることや、日本語の入力や表示ができない、インスタンスを起動するたびにIPアドレスが変わるなどの問題が残っている。後編では、こうした問題を解決する手順を中心に解説する。End of Article


 INDEX
  [運用]Amazon EC2/S3で作るWindows公開サーバ(前編)
    1.Amazon EC2/S3の概要
    2.AWSとの契約とEC2/S3利用申し込み
    3.アクセス・キーと秘密鍵/公開鍵ペアの取得
  4.インスタンスの起動とWindowsへの接続
 
  [運用]Amazon EC2/S3で作るWindows公開サーバ(後編)
    1.Windowsの日本語化とWebサイト公開
    2.OSイメージ保存とインスタンス終了、固定IPアドレス割り当て

 「 運用 」


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間
@IT