はじめに

「EC2のIPが変わるたびに接続先を変えるのは面倒」「EC2を複数台に増やしてトラフィックを分散したい」——これを解決するのが ALB（Application Load Balancer） です。

この記事では、AWSコンソール（GUI）のみを使って、ALB・EC2（Tomcat）・RDS MySQLの3層構成をゼロから手動構築するハンズオンを紹介します。

インターネット
  ↓ HTTP(80)  ← ALB SGで全IPから許可
ALB（my-alb-alb）
  [パブリックサブネット1: 10.0.1.0/24 AZ-a]
  [パブリックサブネット2: 10.0.2.0/24 AZ-c]  ← ALBの2AZ要件
  ↓ HTTP(8080)  ← EC2 SGでALB SGからのみ許可（SG-to-SG）
EC2（my-alb-ap-instance）
  Tomcat（Javaアプリケーションサーバ）
  [パブリックサブネット1: 10.0.1.0/24 AZ-a]
  ↓ MySQL(3306)  ← RDS SGでEC2 SGからのみ許可（SG-to-SG）
RDS MySQL（my-alb-rds-mysql）
  [プライベートサブネット1: 10.0.3.0/24 AZ-a]

DBサブネットグループ
  ├── プライベートサブネット1（10.0.3.0/24）[AZ-a]
  └── プライベートサブネット2（10.0.4.0/24）[AZ-c]  ← 2AZ必須

このハンズオンで体験できること：

• ALBのリスナー・ターゲットグループ・ヘルスチェックの概念を理解
• EC2（Tomcat）をALBの後ろに隠して直接アクセスを遮断する設計
• SG-to-SGを2段階で使う3層制御（インターネット→ALB→EC2→RDS）
• ヘルスチェックで「Healthy」になるまでALBがトラフィックを転送しない仕組みを体験

このハンズオンのポイント：

前フェーズ（EC2 + RDS 2層構成）ではEC2に直接アクセスしていましたが、今回はALBを前段に追加します。ALBのDNS名でアクセスし、EC2のIPアドレスが変わっても影響を受けない設計になります。

この記事は CloudFormation版ハンズオン の比較記事です。
コンソール操作でALB・ターゲットグループ・ヘルスチェックを視覚的に学びたい方向けです。

-->

キーワード解説

前フェーズとの違い

使用するAWSサービス

注意: ALBは無料枠がありません。ハンズオン後は必ず削除してください。

構築するリソース一覧

全体の作業順序

⓪ 自分のIPアドレスを確認
      ↓
① キーペア作成
      ↓
② VPC作成
      ↓
③ サブネット作成（4つ）
      ↓
④ インターネットゲートウェイ作成・アタッチ
      ↓
⑤ ルートテーブル設定（IGWルート追加 → サブネット関連付け）
      ↓
⑥ セキュリティグループ作成（ALB用・EC2用・RDS用）
      ↓
⑦ IAMロール作成
      ↓
⑧ SSM Parameter Store作成
      ↓
⑨ RDS DBサブネットグループ作成
      ↓
⑩ RDS MySQL インスタンス作成（※約10〜15分かかる）
      ↓
⑪ EC2インスタンス起動（Tomcat）
      ↓
⑫ ターゲットグループ作成
      ↓
⑬ ALB作成・リスナー設定
      ↓
⑭ 動作確認（ALB → EC2 → RDS）
      ↓
⑮ リソース削除

⓪ 自分のIPアドレスの確認

ブラウザで以下のURLを開くか、コマンドで確認します。

https://checkip.amazonaws.com

控えておく情報: 自分のIPアドレス（例: 203.0.113.1）

セキュリティグループで 203.0.113.1/32 の形式（末尾に /32）で使用します。

① キーペアの作成

AWSコンソール → EC2 → キーペア → 「キーペアを作成」

「キーペアを作成」をクリック。ダウンロードされた .pem ファイルを保存します。

C:\Users\ユーザー名\.ssh\my-alb-key.pem

② VPCの作成

AWSコンソール → VPC → VPC → 「VPCを作成」

「VPCを作成」をクリック。

③ サブネットの作成（4つ）

AWSコンソール → VPC → サブネット → 「サブネットを作成」

VPCに my-alb-vpc を選択して、以下の4つを1回の操作で作成します（「新しいサブネットを追加」で追加できます）。

「サブネットを作成」をクリック。

ALBが2AZを必要とする理由: ALBは高可用性のため複数AZにまたがって配置されます。VPCを選択すると「少なくとも2つのAZのサブネットを指定してください」というバリデーションが入ります。

④ インターネットゲートウェイの作成・アタッチ

作成

AWSコンソール → VPC → インターネットゲートウェイ → 「インターネットゲートウェイを作成」

「インターネットゲートウェイを作成」をクリック。

VPCへのアタッチ

作成したIGWを選択 → 「アクション」→「VPCにアタッチ」→ my-alb-vpc を選択 → 「インターネットゲートウェイのアタッチ」

⑤ ルートテーブルの設定

注意: EC2を起動する前にこの手順を完了させてください。IGWルートがない状態でEC2を起動すると、UserDataのTomcatインストールが失敗します。

5-1. パブリック用ルートテーブル

AWSコンソール → VPC → ルートテーブル → 「ルートテーブルを作成」

作成後、my-alb-public-rt を選択 → 「ルート」タブ → 「ルートを編集」→「ルートを追加」

「変更を保存」をクリック。

次に「サブネットの関連付け」タブ → 「サブネットの関連付けを編集」→ パブリックサブネット2つにチェック → 保存

• my-alb-public-subnet-1
• my-alb-public-subnet-2

5-2. プライベート用ルートテーブル

同様に「ルートテーブルを作成」

「サブネットの関連付けを編集」→ プライベートサブネット2つにチェック → 保存

• my-alb-private-subnet-1
• my-alb-private-subnet-2

⑥ セキュリティグループの作成

6-1. ALB用セキュリティグループ

AWSコンソール → EC2 → セキュリティグループ → 「セキュリティグループを作成」

インバウンドルール:

「セキュリティグループを作成」をクリック。

なぜ 0.0.0.0/0（全開放）なのか: これまでのハンズオンではEC2が直接インターネットに露出していたため自分のIPだけに制限していました。今回はEC2の前にALBを置く3層構成のため、不特定多数のユーザーが使うWebサービスの入口であるALBは全開放が正しい設計です。

EC2（Tomcat）のセキュリティは次の6-2で設定するEC2 SGの「ALB SGからのみ8080を許可」によって守られます。

6-2. EC2用セキュリティグループ

インバウンドルール:

アウトバウンドルール（変更しない）:

アウトバウンドルールを変更してはいけない理由: EC2がTomcatのインストール（Javaのダウンロードなど）でインターネットにアクセスするために必要です。誤って削除するとEC2からの通信が遮断されます。

SG-to-SG制御: ポート8080のソースにIPアドレスではなく my-alb-sg のSGを指定します。ALBを経由したトラフィックのみEC2に到達でき、インターネットから直接8080番ポートへのアクセスは不可になります。

6-3. RDS用セキュリティグループ

インバウンドルール:

⑦ IAMロールの作成

AWSコンソール → IAM → ロール → 「ロールを作成」

信頼されたエンティティ

許可ポリシー

以下の2つのポリシーを検索して追加します。

ロール名

「ロールを作成」をクリック。

⑧ SSM Parameter Storeの作成

AWSコンソール → Systems Manager → パラメータストア → 「パラメータの作成」

「パラメータの作成」をクリック。

「安全な文字列」（SecureString）とは: パスワードなどの機密情報をKMSで暗号化して保存するタイプです。取得時は --with-decryption オプションが必要です。CloudFormation版はString型で作成しますが、コンソールではSecureStringを推奨します。

⑨ RDS DBサブネットグループの作成

AWSコンソール → Aurora and RDS → サブネットグループ → 「DBサブネットグループの作成」

アベイラビリティーゾーンとサブネットの追加:

「作成」をクリック。

⑩ RDS MySQL インスタンスの作成

AWSコンソール → Aurora and RDS → データベース → 「データベースの作成 ▲」→「フル設定」

注意: RDSの作成は約10〜15分かかります。

エンジンの選択

テンプレート

設定

インスタンスの設定

ストレージ

接続

追加設定

「追加設定」を開きます。

「データベースの作成」をクリック。

控えておく情報: 作成完了後に表示される「エンドポイント」のホスト名

my-alb-rds-mysql.xxxxxxxxxxxxxxxx.ap-northeast-1.rds.amazonaws.com

⑪ EC2インスタンスの起動

注意: EC2を起動する前に⑤のルートテーブル設定が完了していることを確認してください。IGWルートがない状態で起動するとTomcatのインストールが失敗します。

AWSコンソール → EC2 → インスタンス → 「インスタンスを起動」

基本設定

ネットワーク設定

「編集」をクリックして以下を設定します。

IAMロール

「高度な詳細」→「IAMインスタンスプロファイル」→ my-alb-ec2-role を選択

UserData

「高度な詳細」→「ユーザーデータ」に以下を貼り付けます。

Tomcatバージョンの確認: TOMCAT_VERSION の値は https://archive.apache.org/dist/tomcat/tomcat-10/ で利用可能なバージョンを確認して設定してください。

#!/bin/bash
set -xe
exec > >(tee /var/log/user-data.log) 2>&1

dnf update -y
dnf install -y java-17-amazon-corretto wget

# https://archive.apache.org/dist/tomcat/tomcat-10/
TOMCAT_VERSION="10.1.28"
cd /opt
wget -q https://archive.apache.org/dist/tomcat/tomcat-10/v${TOMCAT_VERSION}/bin/apache-tomcat-${TOMCAT_VERSION}.tar.gz
tar xzf apache-tomcat-${TOMCAT_VERSION}.tar.gz
mv apache-tomcat-${TOMCAT_VERSION} tomcat
chmod +x /opt/tomcat/bin/*.sh

# テスト用Webアプリのデプロイ
cat > /opt/tomcat/webapps/ROOT/index.html << 'HTMLEOF'
<!DOCTYPE html>
<html>
<body>
<h1>AP Server - Phase 2-2 ALB + Tomcat + RDS</h1>
<p>This server is load balanced by ALB and connects to RDS MySQL.</p>
</body>
</html>
HTMLEOF

# Tomcat起動
/opt/tomcat/bin/startup.sh

タグ

「インスタンスを起動」をクリック。起動完了まで約2〜3分待ちます。

Tomcatの起動について: EC2の「実行中」状態になった後、UserDataによるTomcatのインストール・起動にさらに約5〜10分かかります。ALBのヘルスチェックが「Healthy」になるまで待ってからアクセスしてください。

控えておく情報: インスタンスのパブリックIPアドレス

⑫ ターゲットグループの作成

AWSコンソール → EC2 → ターゲットグループ → 「ターゲットグループの作成」

ターゲットタイプとプロトコル

ヘルスチェック

「次へ」をクリック。

ターゲットの登録

「使用可能なインスタンス」から my-alb-ap-instance を選択します。

「保留中として以下を含める」をクリック → 下部の「ターゲットを確認」にインスタンスが表示されたことを確認して「次へ」をクリック。

「ターゲットグループの作成」をクリック。

ヘルスチェックとは: ALBが定期的にEC2のポート8080の / にHTTPリクエストを送り、正常（HTTP 200）が返るか確認する仕組みです。ステータスが「Healthy」になるまではALBはそのEC2にトラフィックを転送しません。

⑬ ALBの作成・リスナー設定

AWSコンソール → EC2 → ロードバランサー → 「ロードバランサーの作成」

「Application Load Balancer」の「作成」をクリック。

基本的な設定

ネットワークマッピング

ALBは必ず2つ以上のAZを選択します。 1つのAZだけを選ぶとエラーになります。

セキュリティグループ

my-alb-sg のみを選択（デフォルトSGは削除）。

リスナーとルーティング

「ロードバランサーの作成」をクリック。

控えておく情報: 「DNS名」（例: my-alb-alb-1234567890.ap-northeast-1.elb.amazonaws.com）

⑭ 動作確認

14-1. ALBのヘルスチェック確認

EC2 → ターゲットグループ → my-alb-tg → 「ターゲット」タブ

my-alb-ap-instance のステータスが 「Healthy」 になるまで待ちます（5〜10分）。

unhealthy が続く場合はEC2にSSH接続して sudo cat /var/log/user-data.log でUserDataのエラーを確認してください。

14-2. ALB経由でWebアクセス確認

ブラウザで以下のURLにアクセスします。

http://（⑬で控えたALBのDNS名）

「AP Server - Phase 2-2 ALB + Tomcat + RDS」と表示されれば正常です。

EC2のパブリックIPに直接アクセスしても表示されません（ポート8080はALB SGからのみ許可しているため）。これが3層構成のポイントです。

14-3. EC2にSSH接続する

ssh -i C:\Users\ユーザー名\.ssh\my-alb-key.pem ec2-user@（EC2パブリックIP）

14-4. Parameter StoreからDBパスワードを取得する

aws ssm get-parameter \
  --name "/my/alb/db-password" \
  --query "Parameter.Value" \
  --output text \
  --region ap-northeast-1 \
  --with-decryption

Handson1234! と表示されれば成功です。

--with-decryption について: コンソールでSecureStringとして作成した場合は必須です。このフラグがないと暗号化されたままの文字列が返ってきます。

14-5. RDSへのMySQL接続テスト

MySQLクライアントをインストールします（Amazon Linux 2023では mariadb105 を使います）。

sudo dnf install -y mariadb105

# 変数にエンドポイントを代入（⑩で控えた値に置き換える）
RDS_ENDPOINT="my-alb-rds-mysql.xxxxxxxxxxxxxxxx.ap-northeast-1.rds.amazonaws.com"

# Parameter StoreからDBパスワードを取得して接続
DB_PASSWORD=$(aws ssm get-parameter \
  --name "/my/alb/db-password" \
  --query "Parameter.Value" \
  --output text \
  --region ap-northeast-1 \
  --with-decryption)

mysql -h $RDS_ENDPOINT -u admin -p"$DB_PASSWORD" sampledb

接続成功後、SQL操作を確認します。

-- テーブル作成
CREATE TABLE items (
  id INT AUTO_INCREMENT PRIMARY KEY,
  name VARCHAR(100),
  created_at TIMESTAMP DEFAULT CURRENT_TIMESTAMP
);

-- データ挿入
INSERT INTO items (name) VALUES ('Apple'), ('Banana');

-- データ確認
SELECT * FROM items;

-- 後片付け
DROP TABLE items;

EXIT;

14-6. SSH接続を切断する

exit

⑮ リソースの削除

課金を止めるために、ハンズオン完了後は必ず削除します。

ALBの課金について: ALBはインスタンスが稼働している間は課金されます（約$0.008/時間 + LCU料金）。不要になったら必ず削除してください。

削除順序

依存関係があるため、必ずこの順番で削除します。

1. ALBを削除
2. ターゲットグループを削除
3. EC2インスタンスを終了
4. RDSインスタンスを削除（約10〜15分）
5. RDS DBサブネットグループを削除
6. SSM Parameter Storeのパラメータを削除
7. セキュリティグループを削除（RDS用 → EC2用 → ALB用の順）
8. ルートテーブルの関連付け解除・削除
9. インターネットゲートウェイをデタッチ・削除
10. サブネットを削除（4つ）
11. VPCを削除
12. IAMロールを削除
13. キーペアを削除（任意）

1. ALBを削除する

EC2 → ロードバランサー → my-alb-alb を選択 → 「アクション」→「削除」

確認フィールドに 確認 と入力 → 「削除」をクリック。

ALBを削除するとリスナーも一緒に削除されます。

2. ターゲットグループを削除する

EC2 → ターゲットグループ → my-alb-tg を選択 → 「アクション」→「削除」

3. EC2インスタンスを終了する

EC2 → インスタンス → my-alb-ap-instance を選択 → 「インスタンスの状態」→「インスタンスを終了」

「終了済み」になるまで待ちます（2〜5分）。

4. RDSインスタンスを削除する

Aurora and RDS → データベース → my-alb-rds-mysql を選択 → 「アクション」→「削除」

「削除」をクリック。削除完了まで約10〜15分かかります。

5. RDS DBサブネットグループを削除する

Aurora and RDS → サブネットグループ → my-alb-rds-subnet-group → 「削除」

RDSインスタンスが完全に削除されてから行います。

6. SSM Parameter Storeのパラメータを削除する

Systems Manager → パラメータストア → /my/alb/db-password → 「削除」

7. セキュリティグループを削除する

EC2 → セキュリティグループ

依存関係があるため以下の順番で削除します。

1. my-alb-rds-sg → 「アクション」→「セキュリティグループを削除」
2. my-alb-ec2-sg → 「アクション」→「セキュリティグループを削除」
3. my-alb-sg → 「アクション」→「セキュリティグループを削除」

8. ルートテーブルを削除する

VPC → ルートテーブル

1. my-alb-public-rt → 「サブネットの関連付け」→「編集」→ チェックを全て外す → 「保存」→「アクション」→「ルートテーブルの削除」
2. my-alb-private-rt → 同様に操作

9. インターネットゲートウェイをデタッチ・削除する

VPC → インターネットゲートウェイ

1. my-alb-igw を選択 → 「アクション」→「VPCからデタッチ」→「デタッチ」
2. 「アクション」→「インターネットゲートウェイの削除」

10. サブネットを削除する（4つ）

VPC → サブネット

4つのサブネットをすべて選択 → 「アクション」→「サブネットの削除」

• my-alb-public-subnet-1
• my-alb-public-subnet-2
• my-alb-private-subnet-1
• my-alb-private-subnet-2

11. VPCを削除する

VPC → お使いのVPC → my-alb-vpc を選択 → 「アクション」→「VPCの削除」

12. IAMロールを削除する

IAM → ロール → my-alb-ec2-role を選択 → 「削除」

13. キーペアを削除する（任意）

EC2 → キーペア → my-alb-key を選択 → 「アクション」→「削除」

トラブルシューティング

まとめ

前フェーズ（EC2 + RDS）との最大の違いは、EC2がインターネットに直接露出しない点です。ALBがHTTP:80のトラフィックを受け取り、EC2にはALBを経由したポート8080のみが開放されています。スケールアウト時はターゲットグループにEC2を追加するだけで負荷分散できます。

CloudFormationで同じ構成を自動化したい場合は、CloudFormation版ハンズオンを参照してください。コマンド1本で27リソースを一括デプロイできます。

The post AWSコンソールでALB + EC2(Tomcat) + RDS 3層構成を構築する手順【ヘルスチェック / SG-to-SG制御】 first appeared on CayTech Lab.

はじめに

「コンソールで40〜50分かかったALB + EC2(Tomcat) + RDS環境をコードで再現したい」——それを実現するのが AWS CloudFormation です。

この記事では、template.yaml 1ファイルにVPC・サブネット・セキュリティグループ・IAMロール・SSM Parameter Store・RDS・ALB・ターゲットグループ・EC2（約27リソース）を定義し、コマンド1本で3層構成を一括構築するハンズオンを紹介します。コンソール版（AWSコンソール版ハンズオン）と全く同じ構成をCloudFormationで自動化します。

ローカル環境（VSCode）
  ├── template.yaml（約27リソースを定義）
  └── AWS CLI コマンド
        ↓ スタック作成（コマンド1本）
AWS環境
  └── VPC（10.0.0.0/16）
        ├── パブリックサブネット1（10.0.1.0/24 / AZ-a）← ALB + EC2
        ├── パブリックサブネット2（10.0.2.0/24 / AZ-c）← ALB（2AZ必須）
        ├── プライベートサブネット1（10.0.3.0/24 / AZ-a）← RDS配置
        ├── プライベートサブネット2（10.0.4.0/24 / AZ-c）← DBサブネットグループ用
        ├── ALB SG → EC2 SG → RDS SG（3段階のSG-to-SG制御）
        ├── SSM Parameter Store: /my/alb/db-password
        ├── RDS MySQL 8.0（db.t3.micro）
        ├── ALB（HTTP:80 → ターゲットグループ → EC2:8080）
        └── EC2（t2.micro / Tomcat / UserDataで自動セットアップ）

このハンズオンで体験できること：

• ALB・ターゲットグループ・リスナーを template.yaml で一括定義する方法
• TomcatVersion パラメータでTomcatのバージョンを切り替える設計
• ALBの2AZ要件をCloudFormationでどう表現するか
• delete-stack 1本でALB・RDS・IAMなど27リソースを自動削除

このハンズオンの特徴：

• コンソール版では40〜50分・13ステップかかった作業が、コマンド1本（RDS待ち15〜20分込み）で完了
• delete-stack 1本でALBのリスナー含む全リソースの依存関係を自動解決して削除

この記事は AWSコンソール版ハンズオン の比較記事です。
コンソール版でALB・ターゲットグループ・ヘルスチェックを視覚的に学んだ後に読むと理解が深まります。

-->

CloudFormation vs コンソール：どれだけ違うか

キーワード解説

前提条件

AWS認証確認:

aws sts get-caller-identity

構築されるリソース（約27個）

template.yaml（完全版）

このファイルをそのまま使ってハンズオンを実施できます。C:\my-aws\aws-learning-projects\alb-ec2-rds\template.yaml として保存してください。

AWSTemplateFormatVersion: '2010-09-09'
Description: 'ALB + EC2(Tomcat) + RDS 3-tier architecture hands-on (Phase 2-2)'

Parameters:
  EmployeeId:
    Type: String
    Default: '123456'
    Description: Employee ID used as a prefix for resource names

  KeyName:
    Type: String
    Default: 'my-alb-key'
    Description: Name of an existing EC2 KeyPair

  MyIP:
    Type: String
    Default: '203.0.113.1/32'    # [IMPORTANT] Replace with your own IP (check: curl https://checkip.amazonaws.com)
    Description: Your IP address to allow SSH access (CIDR format)

  DBPassword:
    Type: String
    Default: 'Handson1234!'
    NoEcho: true
    Description: Master password for RDS MySQL (also stored in SSM Parameter Store)

  TomcatVersion:
    Type: String
    Default: '10.1.28'
    Description: Apache Tomcat version (check latest at https://archive.apache.org/dist/tomcat/tomcat-10/)

Resources:

  # VPC and Network
  # ============================================================

  VPC:
    Type: AWS::EC2::VPC
    Properties:
      CidrBlock: 10.0.0.0/16
      EnableDnsSupport: true
      EnableDnsHostnames: true
      Tags:
        - Key: Name
          Value: !Sub 'n${EmployeeId}-alb-vpc'
        - Key: Cost
          Value: !Ref EmployeeId

  InternetGateway:
    Type: AWS::EC2::InternetGateway
    Properties:
      Tags:
        - Key: Name
          Value: !Sub 'n${EmployeeId}-alb-igw'
        - Key: Cost
          Value: !Ref EmployeeId

  IGWAttachment:
    Type: AWS::EC2::VPCGatewayAttachment
    Properties:
      VpcId: !Ref VPC
      InternetGatewayId: !Ref InternetGateway

  # Public Subnet 1 (AZ-a): ALB + EC2 Tomcat
  PublicSubnet1:
    Type: AWS::EC2::Subnet
    Properties:
      VpcId: !Ref VPC
      CidrBlock: 10.0.1.0/24
      AvailabilityZone: !Select [0, !GetAZs '']
      MapPublicIpOnLaunch: true
      Tags:
        - Key: Name
          Value: !Sub 'n${EmployeeId}-alb-public-subnet-1'
        - Key: Cost
          Value: !Ref EmployeeId

  # Public Subnet 2 (AZ-b): ALB requires subnets in at least 2 AZs
  PublicSubnet2:
    Type: AWS::EC2::Subnet
    Properties:
      VpcId: !Ref VPC
      CidrBlock: 10.0.2.0/24
      AvailabilityZone: !Select [1, !GetAZs '']
      MapPublicIpOnLaunch: true
      Tags:
        - Key: Name
          Value: !Sub 'n${EmployeeId}-alb-public-subnet-2'
        - Key: Cost
          Value: !Ref EmployeeId

  # Private Subnet 1 (AZ-a): RDS instance is placed here
  PrivateSubnet1:
    Type: AWS::EC2::Subnet
    Properties:
      VpcId: !Ref VPC
      CidrBlock: 10.0.3.0/24
      AvailabilityZone: !Select [0, !GetAZs '']
      MapPublicIpOnLaunch: false
      Tags:
        - Key: Name
          Value: !Sub 'n${EmployeeId}-alb-private-subnet-1'
        - Key: Cost
          Value: !Ref EmployeeId

  # Private Subnet 2 (AZ-b): required for RDS Subnet Group (minimum 2 AZs)
  PrivateSubnet2:
    Type: AWS::EC2::Subnet
    Properties:
      VpcId: !Ref VPC
      CidrBlock: 10.0.4.0/24
      AvailabilityZone: !Select [1, !GetAZs '']
      MapPublicIpOnLaunch: false
      Tags:
        - Key: Name
          Value: !Sub 'n${EmployeeId}-alb-private-subnet-2'
        - Key: Cost
          Value: !Ref EmployeeId

  PublicRouteTable:
    Type: AWS::EC2::RouteTable
    Properties:
      VpcId: !Ref VPC
      Tags:
        - Key: Name
          Value: !Sub 'n${EmployeeId}-alb-public-rt'
        - Key: Cost
          Value: !Ref EmployeeId

  PublicRoute:
    Type: AWS::EC2::Route
    DependsOn: IGWAttachment
    Properties:
      RouteTableId: !Ref PublicRouteTable
      DestinationCidrBlock: 0.0.0.0/0
      GatewayId: !Ref InternetGateway

  PublicSubnet1RouteTableAssociation:
    Type: AWS::EC2::SubnetRouteTableAssociation
    Properties:
      SubnetId: !Ref PublicSubnet1
      RouteTableId: !Ref PublicRouteTable

  PublicSubnet2RouteTableAssociation:
    Type: AWS::EC2::SubnetRouteTableAssociation
    Properties:
      SubnetId: !Ref PublicSubnet2
      RouteTableId: !Ref PublicRouteTable

  PrivateRouteTable:
    Type: AWS::EC2::RouteTable
    Properties:
      VpcId: !Ref VPC
      Tags:
        - Key: Name
          Value: !Sub 'n${EmployeeId}-alb-private-rt'
        - Key: Cost
          Value: !Ref EmployeeId

  PrivateSubnet1RouteTableAssociation:
    Type: AWS::EC2::SubnetRouteTableAssociation
    Properties:
      SubnetId: !Ref PrivateSubnet1
      RouteTableId: !Ref PrivateRouteTable

  PrivateSubnet2RouteTableAssociation:
    Type: AWS::EC2::SubnetRouteTableAssociation
    Properties:
      SubnetId: !Ref PrivateSubnet2
      RouteTableId: !Ref PrivateRouteTable

  # S3 VPC Gateway Endpoint: free, allows EC2 to reach S3 for dnf package downloads
  S3VPCEndpoint:
    Type: AWS::EC2::VPCEndpoint
    Properties:
      VpcId: !Ref VPC
      ServiceName: !Sub 'com.amazonaws.${AWS::Region}.s3'
      VpcEndpointType: Gateway
      RouteTableIds:
        - !Ref PublicRouteTable
        - !Ref PrivateRouteTable

  # ============================================================
  # IAM
  # ============================================================

  EC2Role:
    Type: AWS::IAM::Role
    Properties:
      RoleName: !Sub 'n${EmployeeId}-alb-ec2-role'
      AssumeRolePolicyDocument:
        Version: '2012-10-17'
        Statement:
          - Effect: Allow
            Principal:
              Service: ec2.amazonaws.com
            Action: 'sts:AssumeRole'
      ManagedPolicyArns:
        - arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore
        - arn:aws:iam::aws:policy/AmazonSSMReadOnlyAccess
      Tags:
        - Key: Name
          Value: !Sub 'n${EmployeeId}-alb-ec2-role'
        - Key: Cost
          Value: !Ref EmployeeId

  EC2InstanceProfile:
    Type: AWS::IAM::InstanceProfile
    Properties:
      InstanceProfileName: !Sub 'n${EmployeeId}-alb-ec2-profile'
      Roles:
        - !Ref EC2Role

  # ============================================================
  # Security Groups
  # ============================================================

  # ALB Security Group: accept HTTP:80 from the internet
  ALBSecurityGroup:
    Type: AWS::EC2::SecurityGroup
    Properties:
      GroupDescription: !Sub 'n${EmployeeId} ALB SG - HTTP:80 from internet'
      VpcId: !Ref VPC
      SecurityGroupIngress:
        - IpProtocol: tcp
          FromPort: 80
          ToPort: 80
          CidrIp: 0.0.0.0/0
          Description: HTTP from internet
      Tags:
        - Key: Name
          Value: !Sub 'n${EmployeeId}-alb-sg'
        - Key: Cost
          Value: !Ref EmployeeId

  # EC2 Security Group: Tomcat:8080 from ALB SG only, SSH from MyIP
  EC2SecurityGroup:
    Type: AWS::EC2::SecurityGroup
    Properties:
      GroupDescription: !Sub 'n${EmployeeId} EC2 Tomcat SG'
      VpcId: !Ref VPC
      SecurityGroupIngress:
        - IpProtocol: tcp
          FromPort: 8080
          ToPort: 8080
          SourceSecurityGroupId: !GetAtt ALBSecurityGroup.GroupId
          Description: Tomcat from ALB SG only (SG-to-SG control)
        - IpProtocol: tcp
          FromPort: 22
          ToPort: 22
          CidrIp: !Ref MyIP
          Description: SSH from my IP
      Tags:
        - Key: Name
          Value: !Sub 'n${EmployeeId}-alb-ec2-sg'
        - Key: Cost
          Value: !Ref EmployeeId

  # RDS Security Group: MySQL:3306 from EC2 SG only
  RDSSecurityGroup:
    Type: AWS::EC2::SecurityGroup
    Properties:
      GroupDescription: !Sub 'n${EmployeeId} RDS MySQL SG (EC2-to-RDS only)'
      VpcId: !Ref VPC
      SecurityGroupIngress:
        - IpProtocol: tcp
          FromPort: 3306
          ToPort: 3306
          SourceSecurityGroupId: !GetAtt EC2SecurityGroup.GroupId
          Description: MySQL from EC2 SG only (SG-to-SG control)
      Tags:
        - Key: Name
          Value: !Sub 'n${EmployeeId}-alb-rds-sg'
        - Key: Cost
          Value: !Ref EmployeeId

  # ============================================================
  # SSM Parameter Store
  # NOTE: CloudFormation can only create String type, not SecureString.
  # ============================================================
  DBPasswordParam:
    Type: AWS::SSM::Parameter
    Properties:
      Name: !Sub '/n${EmployeeId}/alb/db-password'
      Type: String
      Value: !Ref DBPassword
      Description: !Sub 'RDS MySQL master password for n${EmployeeId} ALB hands-on'
      Tags:
        Cost: !Ref EmployeeId

  # ============================================================
  # RDS
  # ============================================================

  DBSubnetGroup:
    Type: AWS::RDS::DBSubnetGroup
    Properties:
      DBSubnetGroupDescription: !Sub 'n${EmployeeId} RDS subnet group (private subnets in 2 AZs)'
      SubnetIds:
        - !Ref PrivateSubnet1
        - !Ref PrivateSubnet2
      Tags:
        - Key: Name
          Value: !Sub 'n${EmployeeId}-alb-rds-subnet-group'
        - Key: Cost
          Value: !Ref EmployeeId

  RDSInstance:
    Type: AWS::RDS::DBInstance
    DeletionPolicy: Delete
    Properties:
      DBInstanceIdentifier: !Sub 'n${EmployeeId}-alb-rds-mysql'
      DBInstanceClass: db.t3.micro
      Engine: mysql
      EngineVersion: '8.0'
      MasterUsername: admin
      MasterUserPassword: !Ref DBPassword
      AllocatedStorage: '20'
      StorageType: gp2
      DBName: sampledb
      DBSubnetGroupName: !Ref DBSubnetGroup
      VPCSecurityGroups:
        - !GetAtt RDSSecurityGroup.GroupId
      MultiAZ: false
      PubliclyAccessible: false
      BackupRetentionPeriod: 0
      DeleteAutomatedBackups: true
      Tags:
        - Key: Name
          Value: !Sub 'n${EmployeeId}-alb-rds-mysql'
        - Key: Cost
          Value: !Ref EmployeeId

  # ============================================================
  # ALB (Application Load Balancer)
  # ============================================================

  # Target Group: routes traffic to EC2 Tomcat on port 8080
  TargetGroup:
    Type: AWS::ElasticLoadBalancingV2::TargetGroup
    Properties:
      Name: !Sub 'n${EmployeeId}-alb-tg'
      Protocol: HTTP
      Port: 8080
      VpcId: !Ref VPC
      TargetType: instance
      HealthCheckProtocol: HTTP
      HealthCheckPort: '8080'
      HealthCheckPath: /
      HealthyThresholdCount: 2
      UnhealthyThresholdCount: 3
      HealthCheckIntervalSeconds: 30
      HealthCheckTimeoutSeconds: 5
      Targets:
        - Id: !Ref EC2Instance
          Port: 8080
      Tags:
        - Key: Name
          Value: !Sub 'n${EmployeeId}-alb-tg'
        - Key: Cost
          Value: !Ref EmployeeId

  # ALB: internet-facing, spans 2 public subnets
  ALB:
    Type: AWS::ElasticLoadBalancingV2::LoadBalancer
    Properties:
      Name: !Sub 'n${EmployeeId}-alb-alb'
      Type: application
      Scheme: internet-facing
      IpAddressType: ipv4
      Subnets:
        - !Ref PublicSubnet1
        - !Ref PublicSubnet2
      SecurityGroups:
        - !GetAtt ALBSecurityGroup.GroupId
      Tags:
        - Key: Name
          Value: !Sub 'n${EmployeeId}-alb-alb'
        - Key: Cost
          Value: !Ref EmployeeId

  # Listener: HTTP:80 -> forward to TargetGroup
  ALBListener:
    Type: AWS::ElasticLoadBalancingV2::Listener
    Properties:
      LoadBalancerArn: !Ref ALB
      Protocol: HTTP
      Port: 80
      DefaultActions:
        - Type: forward
          TargetGroupArn: !Ref TargetGroup

  # ============================================================
  # EC2 (AP Server with Tomcat)
  # ============================================================

  EC2Instance:
    Type: AWS::EC2::Instance
    Properties:
      ImageId: '{{resolve:ssm:/aws/service/ami-amazon-linux-latest/al2023-ami-kernel-default-x86_64}}'
      InstanceType: t2.micro
      KeyName: !Ref KeyName
      SubnetId: !Ref PublicSubnet1
      SecurityGroupIds:
        - !GetAtt EC2SecurityGroup.GroupId
      IamInstanceProfile: !Ref EC2InstanceProfile
      UserData:
        Fn::Base64: !Sub |
          #!/bin/bash
          set -xe
          exec > >(tee /var/log/user-data.log) 2>&1

          dnf update -y
          dnf install -y java-17-amazon-corretto wget

          # Install Tomcat
          # Check latest version at: https://archive.apache.org/dist/tomcat/tomcat-10/
          TOMCAT_VERSION="${TomcatVersion}"
          cd /opt
          wget -q https://archive.apache.org/dist/tomcat/tomcat-10/v${!TOMCAT_VERSION}/bin/apache-tomcat-${!TOMCAT_VERSION}.tar.gz
          tar xzf apache-tomcat-${!TOMCAT_VERSION}.tar.gz
          mv apache-tomcat-${!TOMCAT_VERSION} tomcat
          chmod +x /opt/tomcat/bin/*.sh

          # Deploy simple web application to ROOT context
          cat > /opt/tomcat/webapps/ROOT/index.html << 'HTMLEOF'
          <!DOCTYPE html>
          <html>
          <body>
          <h1>AP Server - Phase 2-2 ALB + Tomcat + RDS</h1>
          <p>This server is load balanced by ALB and connects to RDS MySQL in the private subnet.</p>
          </body>
          </html>
          HTMLEOF

          # Start Tomcat
          /opt/tomcat/bin/startup.sh
      Tags:
        - Key: Name
          Value: !Sub 'n${EmployeeId}-alb-ap-instance'
        - Key: Cost
          Value: !Ref EmployeeId

Outputs:
  ALBEndpoint:
    Description: ALB DNS name - access via browser
    Value: !Sub 'http://${ALB.DNSName}'

  EC2PublicIP:
    Description: EC2 Tomcat server public IP (for SSH)
    Value: !GetAtt EC2Instance.PublicIp

  RDSEndpoint:
    Description: RDS MySQL endpoint hostname
    Value: !GetAtt RDSInstance.Endpoint.Address

  DBPasswordParamName:
    Description: SSM Parameter Store path for RDS password
    Value: !Ref DBPasswordParam

  SSHCommand:
    Description: SSH command to EC2 AP server
    Value: !Sub 'ssh -i C:\Users\username\.ssh\${KeyName}.pem ec2-user@${EC2Instance.PublicIp}'

  MySQLConnectCommand:
    Description: MySQL connect command (run FROM the EC2 AP server)
    Value: !Sub 'mysql -h ${RDSInstance.Endpoint.Address} -u admin -pHandson1234! sampledb'

作業順序

⓪ 自分のIPアドレスを確認する
      ↓
① キーペアを作成する（コンソールで実施）
      ↓
② プロジェクトフォルダに移動する
      ↓
③ スタックを作成する（aws cloudformation create-stack）
      ↓
④ 作成完了・Outputsを確認する（RDSは15〜20分かかる）
      ↓
⑤ 動作確認（ALBアクセス・SSH・RDS接続）
      ↓
⑥ スタックを削除する（aws cloudformation delete-stack）

【重要】⓪ 自分のIPアドレスを確認する

curl https://checkip.amazonaws.com

控えておく情報: 自分のIPアドレス（例: 203.0.113.1）

① キーペアの作成（コンソールで実施）

CloudFormationではキーペアのダウンロードができないため、コンソールで先に作成します。

AWSコンソール → EC2 → キーペア → 「キーペアを作成」

ダウンロードされた my-alb-key.pem を保存します。

C:\Users\ユーザー名\.ssh\my-alb-key.pem

② プロジェクトフォルダに移動する

VSCodeのターミナル（CMD）を開き、プロジェクトフォルダに移動します。

cd C:\my-aws\aws-learning-projects\alb-ec2-rds

template.yaml があることを確認します。

dir template.yaml

③ スタックの作成

以下のコマンドを実行します。203.0.113.1 は⓪で確認した自分のIPアドレスに置き換えます。

aws cloudformation create-stack ^
  --stack-name my-alb-stack ^
  --template-body file://template.yaml ^
  --region ap-northeast-1 ^
  --capabilities CAPABILITY_NAMED_IAM ^
  --parameters ^
    ParameterKey=EmployeeId,ParameterValue=123456 ^
    ParameterKey=KeyName,ParameterValue=my-alb-key ^
    ParameterKey=MyIP,ParameterValue=203.0.113.1/32 ^
    ParameterKey=DBPassword,ParameterValue=Handson1234!

TomcatVersion パラメータについて: デフォルト値は 10.1.28。変更する場合は ParameterKey=TomcatVersion,ParameterValue=10.1.xx を追加します。利用可能なバージョンは https://archive.apache.org/dist/tomcat/tomcat-10/ で確認します。

CAPABILITY_NAMED_IAM について: EC2Role のように名前を指定したIAMリソースを作成する場合に必要なフラグです。

成功すると以下のような StackId が表示されます。

{
    "StackId": "arn:aws:cloudformation:ap-northeast-1:123456789012:stack/my-alb-stack/xxxxx"
}

④ 作成完了・Outputsの確認

注意: RDSの作成には約15〜20分かかります。CREATE_IN_PROGRESS が続く間は正常です。

作成状況の確認

aws cloudformation describe-stacks ^
  --stack-name my-alb-stack ^
  --query "Stacks[0].StackStatus" ^
  --output text

Outputs（接続情報）の確認

CREATE_COMPLETE になったら以下を実行します。

aws cloudformation describe-stacks ^
  --stack-name my-alb-stack ^
  --query "Stacks[0].Outputs" ^
  --output table

+----------------------+------------------------------------------------------------------+
|  OutputKey           |  OutputValue                                                     |
+----------------------+------------------------------------------------------------------+
|  ALBEndpoint         |  http://my-alb-alb-1234567890.ap-northeast-1.elb.amazonaws.com  |
|  EC2PublicIP         |  x.x.x.x                                                        |
|  RDSEndpoint         |  my-alb-rds-mysql.xxxxx.ap-northeast-1.rds.amazonaws.com        |
|  DBPasswordParamName |  /my/alb/db-password                                             |
|  SSHCommand          |  ssh -i C:\Users\...\.ssh\my-alb-key.pem ec2-user@x.x.x.x       |
+----------------------+------------------------------------------------------------------+

控えておく情報: ALBEndpoint、EC2PublicIP、RDSEndpoint

⑤ 動作確認

ALBのヘルスチェック確認

EC2 → ターゲットグループ → my-alb-tg → 「ターゲット」タブ

EC2のステータスが 「healthy」 になるまで待ちます（EC2起動後5〜10分）。

Tomcatの起動はEC2が「実行中」になってからさらに数分かかります。initial や unhealthy が続く場合はしばらく待ちます。

ALB経由でWebアクセス確認

Outputsに表示された ALBEndpoint をブラウザで開きます。

http://（ALBEndpointのDNS名）

「AP Server - Phase 2-2 ALB + Tomcat + RDS」と表示されれば正常です。

EC2にSSH接続する

Outputsの SSHCommand を実行します（パスは実際のパスに修正します）。

ssh -i C:\Users\ユーザー名\.ssh\my-alb-key.pem ec2-user@（EC2PublicIP）

Parameter StoreからDBパスワードを取得する

EC2に接続した状態で実行します。

aws ssm get-parameter \
  --name "/my/alb/db-password" \
  --query "Parameter.Value" \
  --output text \
  --region ap-northeast-1

Handson1234! が表示されれば成功です。

--with-decryption が不要な理由: CloudFormationで作成したパラメータは Type: String（平文）のため、フラグなしでそのまま値が返ります。コンソールで SecureString として作成した場合は --with-decryption が必要です（コンソール版参照）。

RDSへのMySQL接続テスト

# RDSエンドポイントをOutputsの値に置き換える
RDS_ENDPOINT="my-alb-rds-mysql.xxxxxxxxxxxxxxxx.ap-northeast-1.rds.amazonaws.com"

# Parameter StoreからDBパスワードを取得して接続（String型のため--with-decryption不要）
DB_PASSWORD=$(aws ssm get-parameter \
  --name "/my/alb/db-password" \
  --query "Parameter.Value" \
  --output text \
  --region ap-northeast-1)

mysql -h $RDS_ENDPOINT -u admin -p"$DB_PASSWORD" sampledb

接続成功後、SQL操作を確認します。

-- テーブル作成
CREATE TABLE items (
  id INT AUTO_INCREMENT PRIMARY KEY,
  name VARCHAR(100),
  created_at TIMESTAMP DEFAULT CURRENT_TIMESTAMP
);

-- データ挿入
INSERT INTO items (name) VALUES ('Apple'), ('Banana');

-- データ確認
SELECT * FROM items;

-- 後片付け
DROP TABLE items;

EXIT;

EC2からSSH接続を切断します。

exit

⑥ スタックの削除

課金を止めるために、ハンズオン完了後は必ず削除します。

aws cloudformation delete-stack ^
  --stack-name my-alb-stack ^
  --region ap-northeast-1

注意: RDS削除には約10〜15分かかります。コマンド実行後もしばらく待つ必要があります。

削除状況の確認

aws cloudformation describe-stacks ^
  --stack-name my-alb-stack ^
  --query "Stacks[0].StackStatus" ^
  --output text

削除完了の確認（以下のエラーが表示されれば削除完了）:

aws cloudformation describe-stacks ^
  --stack-name my-alb-stack ^
  --region ap-northeast-1

An error occurred (ValidationError) when calling the DescribeStacks operation:
Stack with id my-alb-stack does not exist

キーペアの手動削除

キーペアはCloudFormationで管理していないため手動で削除します。

EC2 → キーペア → my-alb-key を選択 → 「アクション」→「削除」

コンソール版との比較

トラブルシューティング

失敗時の詳細確認コマンド

aws cloudformation describe-stack-events ^
  --stack-name my-alb-stack ^
  --query "StackEvents[?ResourceStatus=='CREATE_FAILED'].[ResourceType,ResourceStatusReason]" ^
  --output table

まとめ

CloudFormation版の最大のメリットは再現性と削除の簡単さです。コンソールでは40〜50分・13ステップかかった作業が、コマンド1本（待ち時間込みで約20分）で完了します。

コンソール操作でALB・ターゲットグループ・ヘルスチェックを視覚的に確認したい場合は、AWSコンソール版ハンズオンを参照してください。

The post CloudFormationでALB + EC2(Tomcat) + RDS 3層構成を自動構築する手順【27リソース一括デプロイ / コンソール版との比較付き】 first appeared on CayTech Lab.