はじめに

「GitHub Actions は GitHub に依存してしまう。AWS だけで CI/CD を完結させたい」——そんなニーズに応えるのが AWS Code 4 兄弟（CodeCommit・CodeBuild・CodeDeploy・CodePipeline） です。さらに共通ライブラリは AWS CodeArtifact で管理するフルマネージドな AWS CI/CD パイプラインを構築します。

前のハンズオン（EC2 + GitHub Actions）との最大の違いは、すべてが AWS の中で完結することです。ソース管理・ビルド・ライブラリ管理・デプロイ、すべてを AWS サービスで担います。

[CodeCommit リポジトリ] ← git push
         ↓
[CodePipeline: my-cp-pipeline]
  Stage 1: Source  — CodeCommit からソースを取得
  Stage 2: Build   — CodeBuild で mvn package
                        ├─ CodeArtifact から認証トークン取得
                        ├─ common-lib を CodeArtifact に publish
                        ├─ CodeArtifact から common-lib を取得
                        └─ webapp.war を生成
  Stage 3: Deploy  — CodeDeploy で EC2 に配備
                        ├─ Tomcat を停止
                        ├─ WAR を配置
                        └─ Tomcat を再起動
         ↓
[EC2: Tomcat + Spring Boot]  my-cpapp
         ↓
[ALB: my-cp-alb] ← インターネット
         ↓
[RDS MySQL: my-cp-rds]

このハンズオンで体験できること：

• CodeCommit + CodeBuild + CodeDeploy + CodePipeline による完全 AWS CI/CD
• CodeArtifact による Maven ライブラリの社内管理（Maven Central のプロキシも体験）
• buildspec.yml でビルド手順をコード化する
• git-remote-codecommit で AWS CLI 認証のまま CodeCommit に push する
• CloudFormation で全リソース（パイプラインを含む）を一括構築

コード詳細は GitHub を参照してください。

-->

キーワード解説

① 全体構成を理解する

CodeArtifact とは

CodeArtifact は AWS が提供するマネージドな Maven リポジトリです。GitHub Packages との大きな違いの一つが Maven Central のプロキシ機能です。

mvn package
  └─ CodeArtifact (my-cp-libs)
       ├── 社内ライブラリ: com.example:common-utils:1.0.0  ← CodeBuild が publish
       └── 外部ライブラリ: org.springframework.boot:*      ← Maven Central から透過的に取得

外部依存関係も CodeArtifact 経由でキャッシュされるため、インターネット接続なしでも再現性の高いビルドが可能になります。

buildspec.yml の処理フロー

buildspec.yml は CodeBuild が実行するビルド手順を定義します：

phases:
  install:
    runtime-versions:
      java: corretto17    # Amazon Corretto 17 を使用

  pre_build:
    commands:
      # settings.xml に書き込んで Maven 認証を設定
      - CODEARTIFACT_TOKEN=$(aws codeartifact get-authorization-token ...)
      - CODEARTIFACT_URL=$(aws codeartifact get-repository-endpoint ...)

  build:
    commands:
      # common-lib を CodeArtifact に publish（すでに存在する場合はスキップ）
      - mvn deploy -f common-lib/pom.xml -Dcodeartifact.url="$CODEARTIFACT_URL"
      # app の WAR をビルド（CodeArtifact から common-lib を取得）
      - mvn package -f app/pom.xml -DskipTests -Dcodeartifact.url="$CODEARTIFACT_URL"
      - cp app/target/webapp.war webapp.war

artifacts:
  files:
    - webapp.war
    - appspec.yml
    - scripts/**/*   # CodeDeploy のフックスクリプト

ポイント：pom.xml の CodeArtifact URL はプレースホルダー（${codeartifact.url}）で、buildspec.yml が -Dcodeartifact.url= で実行時に渡します。pom.xml を事前に編集する必要はありません。

② CloudFormation スタックを作成する

自分の IP アドレスを確認し（curl https://checkip.amazonaws.com）、CloudFormation でインフラを一括作成します：

aws cloudformation deploy ^
  --template-file ec2-codepipeline/infra/template.yaml ^
  --stack-name my-cpapp-stack ^
  --parameter-overrides EmployeeId=my DBPassword=Handson1234! MyIP=123.456.78.901/32 ^
  --capabilities CAPABILITY_NAMED_IAM ^
  --region ap-northeast-1

所要時間：約 10〜15 分（VPC・EC2・RDS の作成に時間がかかります）

CloudFormation スタックが作成するリソース：

③ Outputs を確認する

aws cloudformation describe-stacks ^
  --stack-name my-cpapp-stack ^
  --query "Stacks[0].Outputs" ^
  --output table ^
  --region ap-northeast-1

CodeCommitCloneUrlHttp と ALBEndpoint の値を控えておきます。

④ git-remote-codecommit をインストールする

CodeCommit への push には git-remote-codecommit を使います。AWS CLI の認証情報をそのまま使えるため、Git 専用の認証情報を別途作成する必要がありません：

pip install git-remote-codecommit

インストール後、codecommit:: プレフィックスの URL で clone・push が可能になります。

⑤ ソースコードを CodeCommit に push する

⑤-1 CodeCommit リポジトリを clone する

git clone codecommit::ap-northeast-1://my-cpapp %TEMP%\my-cpapp

codecommit:: プレフィックスを使うことで、AWS CLI の認証情報が自動的に使われます（認証プロンプトは出ません）。

⑤-2 ソースコードをコピーして push する

xcopy ec2-codepipeline\* %TEMP%\my-cpapp\ /E /I /H /Y
cd %TEMP%\my-cpapp

git add .
git commit -m "initial commit"
git branch -M main
git push origin main

push が完了すると CodePipeline が自動的に起動します。

⑥ CodePipeline の動作を確認する

AWS コンソール → CodePipeline → my-cp-pipeline

3 つのステージが順番に実行されます：

合計：約 8〜10 分

⑦ CodeBuild のログを確認する

AWS コンソール → CodeBuild → my-cpapp-build → 「ビルド履歴」タブ

ビルド実行をクリックするとインラインログが確認できます。以下が表示されれば正常です：

=== CodeArtifact 認証トークン取得 ===
CodeArtifact URL = https://my-domain-XXXX.d.codeartifact.ap-northeast-1.amazonaws.com/maven/my-libs/
Maven settings.xml 生成完了
=== common-lib を CodeArtifact に publish ===
[INFO] BUILD SUCCESS
=== webapp WAR をビルド ===
[INFO] BUILD SUCCESS
=== デプロイパッケージを準備 ===
ビルド完了

CodeArtifact の認証トークンは 12 時間有効な一時トークンです。有効期限が切れても次のビルド時に自動取得されるため、管理の手間がありません。

⑧ CodeDeploy の状況を確認する

AWS コンソール → CodeDeploy → アプリケーション → my-cpapp → デプロイグループ → 最新のデプロイメント

各フックスクリプト（stop_server → install → start_server → validate_service）の実行結果が確認できます。デプロイが失敗した場合はここでエラー詳細を確認します。

⑨ アプリの動作確認をする

パイプラインが成功したら ALB 経由でアクセスします：

curl http://<ALBEndpoint の値>/api/health
rem → {"status":"ok","message":null,"data":"OK"}

curl http://<ALBEndpoint の値>/api/items
rem → {"status":"ok","message":null,"data":[]}

ブラウザで ALBEndpoint にアクセスするとアイテム管理 UI が表示されます。

⑩ CI/CD サイクルを体験する

CodeCommit にコードを push するだけでパイプラインが自動実行される CI/CD を体験します：

cd %TEMP%\my-cpapp

app\src\main\resources\templates\index.html を開いてタイトルを変更します：

<!-- 変更後 -->
<h1>Spring Boot + RDS Item Manager (EC2 v2) <span class="badge">CodePipeline</span></h1>

git add app\src\main\resources\templates\index.html
git commit -m "feat: update title to EC2 v2"
git push origin main

CodePipeline コンソール（my-cp-pipeline）で全ステージが成功になるまで待ちます（約 8〜10 分）。ALB にアクセスしてタイトルが変わっていることを確認します。

⑪ CodeArtifact のパッケージを確認する

AWS コンソール → CodeArtifact → ドメイン my-domain → リポジトリ my-libs → パッケージ一覧

com.example:common-utils:1.0.0 が登録されていることを確認します。CLI でも確認できます：

aws codeartifact list-packages ^
  --domain my-domain ^
  --domain-owner 123456789012 ^
  --repository my-libs ^
  --region ap-northeast-1

また、Maven Central のプロキシとして機能しているため、org.springframework.boot なども一覧に表示されます。これらは外部から初回取得時にキャッシュされたものです。

⑫ SSM Session Manager で EC2 に接続する（オプション）

キーペアなしで EC2 内部を確認できます：

aws ssm start-session ^
  --target i-xxxxxxxxxxxxxxxxx ^
  --region ap-northeast-1

# Tomcat のステータス確認
sudo systemctl status tomcat

# CodeDeploy エージェントのログ確認
sudo cat /var/log/aws/codedeploy-agent/codedeploy-agent.log

# SSM から取得した DB 接続情報の確認
sudo cat /opt/tomcat/current/bin/setenv.sh

# Tomcat ログの確認
sudo journalctl -u tomcat -n 50

⑬ リソースを削除する

CodeArtifact にパッケージが存在するとドメインが削除できないため、先にパッケージを手動削除します。

① CodeArtifact のパッケージを削除する

aws codeartifact delete-package-versions ^
  --domain my-domain ^
  --domain-owner 123456789012 ^
  --repository my-libs ^
  --format maven ^
  --namespace com.example ^
  --package common-utils ^
  --versions 1.0.0 ^
  --region ap-northeast-1

aws codeartifact delete-package ^
  --domain my-domain ^
  --domain-owner 123456789012 ^
  --repository my-libs ^
  --format maven ^
  --namespace com.example ^
  --package common-utils ^
  --region ap-northeast-1

② S3 バケットを空にする

aws cloudformation describe-stacks ^
  --stack-name my-cpapp-stack ^
  --query "Stacks[0].Outputs[?OutputKey=='ArtifactBucketName'].OutputValue" ^
  --output text ^
  --region ap-northeast-1

aws s3 rm s3://<ArtifactBucketName の値> --recursive

③ CloudFormation スタックを削除する

aws cloudformation delete-stack ^
  --stack-name my-cpapp-stack ^
  --region ap-northeast-1

aws cloudformation wait stack-delete-complete ^
  --stack-name my-cpapp-stack ^
  --region ap-northeast-1

echo 削除完了

④ ローカルの clone ディレクトリを削除する

rmdir /S /Q %TEMP%\my-cpapp

まとめ：学んだ概念

GitHub Actions を使った前のハンズオンと比較すると、CodePipeline は すべてが AWS 内で完結する一方、GitHub Actions は Git リポジトリと AWS の柔軟な組み合わせが強みです。どちらを使うかはチームの方針や既存インフラに合わせて選択しましょう。

次のステップとして、CDK + ECS Fargate ハンズオンで EC2 からコンテナ化への移行も体験してみましょう。

The post EC2 + CodePipeline（Code 3兄弟）で WebアプリをCI/CDデプロイする【完全 AWS CI/CD 体験】 first appeared on CayTech Lab.

はじめに

「インフラは AWS でいいけど、デプロイは GitHub Actions でやりたい」——クラウドと Git を組み合わせたハイブリッドな CI/CD 構成は、多くの現場で採用されています。このハンズオンでは、EC2（Tomcat）への自動デプロイを GitHub Actions + AWS CodeDeploy で実現します。

さらに実務でよく見かける「社内共通ライブラリを GitHub Packages で管理・共有する」仕組みも体験できます。Spring Boot WAR をビルドする際に共通ライブラリを GitHub Packages からフェッチし、CodeDeploy で EC2 にデプロイするまでの一連のフローです。

[GitHub リポジトリ]
  ├── common-lib/ → push → GitHub Actions → GitHub Packages に publish
  └── app/        → push → GitHub Actions
                               ├── GitHub Packages から common-utils を取得
                               ├── mvn package → webapp.war
                               ├── zip → S3 にアップロード
                               └── CodeDeploy を呼び出す
                                        ↓
                          [EC2: Tomcat + Spring Boot WAR]  my-ec2app
                                        ↓
                          [ALB: my-ec2app-alb] ← インターネット
                                        ↓
                          [RDS MySQL: my-ec2app-rds]

このハンズオンで体験できること：

• GitHub Packages を使った共通ライブラリの管理・共有
• GitHub Actions（OIDC 認証）で AWS にキーレスアクセス
• CodeDeploy + appspec.yml を使った EC2 へのデプロイ自動化
• SSM Parameter Store でデータベースパスワードを安全に管理
• CloudFormation によるインフラ一括構築（VPC / EC2 / ALB / RDS / CodeDeploy）

コード詳細は GitHub を参照してください。

-->

キーワード解説

① 全体構成を理解する

このハンズオンの主役は 2 つのワークフローです。

①-1 common-lib のパブリッシュ（ec2-publish-lib.yml）

common-lib/ が変更されると起動し、Maven ライブラリを GitHub Packages に publish します。actions/setup-java が settings.xml を自動生成するため、認証設定は不要です。

①-2 アプリのデプロイ（ec2-app-deploy.yml）

app/ が変更されると起動します。処理の流れは次の通りです：

① OIDC で AWS に認証
② GitHub Packages から common-utils を取得しながら mvn package で WAR をビルド
③ zip 化して S3 にアップロード（webapp.war + appspec.yml + scripts/）
④ CodeDeploy でローリングデプロイ（〜1〜2 分）

デプロイパッケージの構造：

deploy.zip
├── webapp.war         ← Tomcat の webapps/ に配置
├── appspec.yml        ← CodeDeploy の設定
└── scripts/
    ├── stop_server.sh      ← Tomcat を停止・古い WAR を削除
    ├── start_server.sh     ← SSM から DB 情報を取得・Tomcat 起動
    └── validate_service.sh ← /api/health を最大 60 秒リトライ確認

② OIDC 認証と IAM ロールを設定する

GitHub Actions が AWS に安全にアクセスするための OIDC（OpenID Connect）認証 を設定します。アクセスキーをリポジトリに保存せずに AWS を操作できる現代的な方式です。

②-1 OIDC プロバイダーを登録する（初回のみ）

AWS コンソール → IAM → 「IDプロバイダー」→「プロバイダーを追加」

ECS ハンズオン（cdk-ecs-webapp）完了済みの場合はスキップ可。

②-2 IAM ロールを作成する

AWS CloudShell で以下を実行します（GITHUB_OWNER と REPO は自分のリポジトリに合わせて変更）：

ACCOUNT_ID=$(aws sts get-caller-identity --query Account --output text)
GITHUB_OWNER="your-github-username"   # ← 自分の GitHub ユーザー名
REPO="your-github-repo"               # ← 自分の GitHub リポジトリ名
EMPLOYEE_ID="my"                      # ← 好きなプレフィックス（例: 123456）
ROLE_NAME="${EMPLOYEE_ID}-github-actions-role"

cat > /tmp/trust-policy.json << EOF
{
  "Version": "2012-10-17",
  "Statement": [{
    "Effect": "Allow",
    "Principal": {
      "Federated": "arn:aws:iam::${ACCOUNT_ID}:oidc-provider/token.actions.githubusercontent.com"
    },
    "Action": "sts:AssumeRoleWithWebIdentity",
    "Condition": {
      "StringEquals": {
        "token.actions.githubusercontent.com:aud": "sts.amazonaws.com"
      },
      "StringLike": {
        "token.actions.githubusercontent.com:sub": "repo:${GITHUB_OWNER}/${REPO}:ref:refs/heads/main"
      }
    }
  }]
}
EOF

aws iam create-role \
  --role-name $ROLE_NAME \
  --assume-role-policy-document file:///tmp/trust-policy.json

# 権限ポリシーを付与（S3 + CodeDeploy）
cat > /tmp/permissions.json << EOF
{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": ["s3:PutObject", "s3:GetObject"],
      "Resource": "arn:aws:s3:::${EMPLOYEE_ID}-ec2app-deploy-*/*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "codedeploy:CreateDeployment",
        "codedeploy:GetDeployment",
        "codedeploy:GetDeploymentConfig",
        "codedeploy:RegisterApplicationRevision"
      ],
      "Resource": "*"
    }
  ]
}
EOF

aws iam put-role-policy \
  --role-name $ROLE_NAME \
  --policy-name "${ROLE_NAME}-policy" \
  --policy-document file:///tmp/permissions.json

# ロール ARN を表示
aws iam get-role --role-name $ROLE_NAME --query Role.Arn --output text

出力された ロール ARN（arn:aws:iam::...）をコピーしておきます。

③ GitHub Variables を設定する

GitHub リポジトリ → Settings → Secrets and variables → Actions → 「Variables」タブ

「New repository variable」で以下を追加します：

Variables vs Secrets：ARN や ID は機密情報ではないため Variables に保存します（パスワード類は Secrets を使う）。

④ CloudFormation スタックを作成する

自分の IP アドレスを確認し（curl https://checkip.amazonaws.com）、CloudFormation でインフラを一括作成します：

aws cloudformation deploy ^
  --template-file ec2-github-actions/infra/template.yaml ^
  --stack-name my-ec2app ^
  --parameter-overrides EmployeeId=my DBPassword=Handson1234! MyIP=123.456.78.901/32 ^
  --capabilities CAPABILITY_NAMED_IAM ^
  --region ap-northeast-1

所要時間：約 10〜15 分（RDS の作成に時間がかかります）

CloudFormation スタックが作成するリソース：

⑤ スタックの Outputs を確認する

aws cloudformation describe-stacks ^
  --stack-name my-ec2app ^
  --region ap-northeast-1 ^
  --query "Stacks[0].Outputs" ^
  --output table

⑥ common-lib を GitHub Packages に publish する

common-lib/pom.xml と app/pom.xml にある GitHub ユーザー名・リポジトリ名のプレースホルダーを自分のものに変更してから push します：

<!-- common-lib/pom.xml と app/pom.xml の両方を変更 -->
<url>https://maven.pkg.github.com/your-github-username/your-github-repo</url>

変更を push すると Publish common-utils to GitHub Packages ワークフローが自動起動します：

cd C:\my-aws\aws-learning-projects
git add ec2-github-actions/common-lib/ ec2-github-actions/app/pom.xml
git commit -m "feat: configure GitHub Packages URL for ec2-github-actions"
git push

GitHub リポジトリ → Actions タブ → Publish common-utils to GitHub Packages の実行を確認します。完了後、Packages タブに common-utils 1.0.0 が表示されます。

ResponseWrapper クラスとは：このハンズオンの共通ライブラリは API レスポンスを {"status":"ok","data":{...}} の統一形式にラップするユーティリティです。チーム開発でレスポンス形式を統一する際によく使われるパターンです。

⑦ アプリを初回デプロイする

app/ の変更を push して Deploy App to EC2 ワークフローを起動します：

cd C:\my-aws\aws-learning-projects
git add ec2-github-actions/app/
git commit -m "feat: initial deploy via GitHub Actions (EC2)"
git push

nothing to commit と表示された場合：index.html に空白行を追加して変更を作ります：

echo. >> ec2-github-actions\app\src\main\resources\templates\index.html
git add ec2-github-actions/app/src/main/resources/templates/index.html
git commit -m "chore: trigger initial deploy"
git push

⑧ GitHub Actions の進行を確認する

GitHub → Actions タブ → Deploy App to EC2 で各ステップの実行状況を確認します：

合計：約 3〜5 分

ポイントは 「Set up Java」ステップです。actions/setup-java に server-id: github を指定するだけで、GitHub Packages の認証情報を含む settings.xml が自動生成されます。Maven のパスワード設定を手書きする必要はありません。

⑨ ブラウザで動作確認する

ALBEndpoint の URL にアクセスすると「Spring Boot + RDS Item Manager (EC2)」が表示されます。

/api/health にアクセスして以下が返ることも確認します：

{"status":"ok","message":null,"data":"OK"}

このレスポンス形式こそが common-utils の ResponseWrapper が GitHub Packages 経由で取得・ビルドされた証拠です。

⑩ CI/CD サイクルを体験する

index.html のタイトルを変更して push すると、約 3〜5 分でブラウザに反映されます：

<!-- 変更後 -->
<h1>Spring Boot + RDS Item Manager (EC2 v2) <span class="badge">GitHub Actions</span></h1>

git add ec2-github-actions/app/src/main/resources/templates/index.html
git commit -m "feat: update title to EC2 v2"
git push

これが CI/CD の醍醐味です。コードを push するだけで自動的にデプロイが完了します。

⑪ SSM Session Manager で EC2 に接続する（オプション）

キーペアなしで EC2 内部を確認できます：

aws ssm start-session ^
  --target i-xxxxxxxxxxxxxxxxx ^
  --region ap-northeast-1

# Tomcat のステータス確認
sudo systemctl status tomcat

# デプロイログの確認
sudo cat /var/log/aws/codedeploy-agent/codedeploy-agent.log

# SSM から取得した DB 接続情報の確認
sudo cat /opt/tomcat/current/bin/setenv.sh

# Tomcat ログの確認
sudo journalctl -u tomcat -n 50

setenv.sh を確認すると、SSM Parameter Store から取得した DB ホスト名とパスワードが環境変数としてセットされていることがわかります。パスワードをコードに書かずに安全に注入できています。

⑫ リソースを削除する

① S3 バケットを空にする（デプロイアーティファクトが蓄積されているため先に削除）

aws s3 rm s3://my-ec2app-deploy-123456789012 --recursive

② CloudFormation スタックを削除する

aws cloudformation delete-stack ^
  --stack-name my-ec2app ^
  --region ap-northeast-1

aws cloudformation wait stack-delete-complete ^
  --stack-name my-ec2app ^
  --region ap-northeast-1

echo スタック削除完了

まとめ：学んだ概念

GitHub Actions と AWS を組み合わせることで、Git push だけでインフラから独立してアプリをデプロイできる柔軟な CI/CD パイプラインを構築できます。次のステップとして、EC2 + CodePipeline ハンズオンで完全 AWS ネイティブな CI/CD も体験してみましょう。

The post EC2 + GitHub Actions で WebアプリをCI/CDデプロイする【GitHub Packages + CodeDeploy 体験】 first appeared on CayTech Lab.

はじめに

「CDKで書いたインフラコードをdev環境とprod環境で使い回したい」「スタックがどんどん肥大化してきた」——これを解決するのが CDK カスタム Construct です。

この記事では、CDK版ハンズオンで構築した ALB + EC2(Tomcat) + RDS の3層構成を、カスタム L3 Construct（ThreeTierWebConstruct） に切り出します。同じインフラを「再利用可能な部品」として定義することで、スタックのコード量が約170行 → 約30行に削減されることを体験します。

インターネット
  ↓ HTTP(80)
[ALB: my-cdk2-alb]
  ↓ HTTP(8080)  ← SG-to-SG 制御
[EC2: my-cdk2-ap-instance]  ← Tomcat
  ↓ MySQL(3306)  ← SG-to-SG 制御
[RDS: my-cdk2-rds-mysql]  ← MySQL 8.0

┌─ ThreeTierWebConstruct ────────────────────────────────────────┐
│  VPC / SG / SSM / RDS / EC2 Role / EC2 / ALB をすべて内包    │
└────────────────────────────────────────────────────────────────┘

このハンズオンで体験できること：

• Construct クラスを継承して独自の L3 Construct を自作する方法
• @dataclass で設定値（Props）を型安全にまとめる CDK の慣習を理解
• スタックを「Construct を呼ぶだけの30行」に削減し、インフラ定義とデプロイ単位を分離する設計を体験
• 同じ Construct を dev/prod など複数環境で使い回す拡張イメージをつかむ

このハンズオンの特徴：

• CDK版（cdk-alb-ec2-rds）の約170行スタックが 約30行に削減される
• インフラの構成はまったく同じ（ALB + EC2 + RDS）でコード構造だけが変わる
• ThreeTierWebConstruct を複数スタックから呼び出すだけで環境を増やせる設計になる

この記事は CDK版ハンズオン（cdk-alb-ec2-rds） の発展記事です。
CDK の基本（Bootstrap・synth・deploy）を体験済みの方向けです。コード詳細は GitHub を参照してください。

-->

キーワード解説

cdk-alb-ec2-rds との比較

インフラの構成は cdk-alb-ec2-rds と完全に同等です。変わるのはコードの書き方（設計）だけです。

ファイル構成と役割

cdk-custom-constructs/
├── app.py                          ← CDK アプリ エントリポイント
├── cdk.json                        ← CDK 設定・Context 変数
├── requirements.txt
├── components/
│   └── three_tier_web.py           ← カスタム L3 Construct（本ハンズオンの主役）
│       ├── ThreeTierWebProps       ←   Construct に渡す設定値（dataclass）
│       └── ThreeTierWebConstruct  ←   ALB + EC2 + RDS をカプセル化した Construct
└── stacks/
    └── three_tier_stack.py         ← Props を組み立て、Construct を呼ぶだけの約30行スタック

詳細なコードは GitHub を参照してください。

使用するAWSサービス

注意: ALBは無料枠がありません。ハンズオン後は必ず cdk destroy で削除してください。

前提条件

AWS 認証確認:

aws sts get-caller-identity

CDK Bootstrap 確認（CDKToolkit スタックが存在すれば実施済み）:

aws cloudformation describe-stacks ^
  --stack-name CDKToolkit ^
  --query "Stacks[0].StackStatus" ^
  --output text ^
  --region ap-northeast-1

作業順序

⓪ 自分のIPアドレスを確認する
      ↓
① キーペアを作成する（AWS CLI で実施）
      ↓
② プロジェクトのセットアップ（Python 仮想環境）
      ↓
③ cdk.json を設定する
      ↓
④ コードの構造を理解する（デプロイ前に読む）
      ↓
⑤ CDK Synth（テンプレート確認）
      ↓
⑥ デプロイ（cdk deploy）
      ↓
⑦ 動作確認（ALBアクセス・SSH・RDS接続）
      ↓
⑧ Construct の再利用性を確認する（参考）
      ↓
⑨ CDK diff（参考）
      ↓
⑩ リソース削除（cdk destroy）

【重要】⓪ 自分のIPアドレスを確認する

curl https://checkip.amazonaws.com

控えておく情報: 自分のIPアドレス（例: 203.0.113.1）

① キーペアの作成

aws ec2 create-key-pair ^
  --key-name my-cdk2-key ^
  --query KeyMaterial ^
  --output text ^
  --region ap-northeast-1 > %USERPROFILE%\.ssh\my-cdk2-key.pem

%USERPROFILE%\.ssh\ が存在しない場合は先に mkdir %USERPROFILE%\.ssh を実行してください。

② プロジェクトのセットアップ

cd C:\my-aws\aws-learning-projects\cdk-custom-constructs

python -m venv .venv

.venv\Scripts\activate

pip install -r requirements.txt

プロンプトの先頭に (.venv) が表示されれば仮想環境が有効になっています。

重要: CDK コマンド（synth / deploy / diff / destroy）はすべてこの仮想環境が有効な状態で実行する必要があります。
ターミナルを開き直した際は必ず最初に以下を実行してください。

cd C:\my-aws\aws-learning-projects\cdk-custom-constructs
.venv\Scripts\activate

③ cdk.json の設定

cdk.json の context セクションを自分の環境に合わせて編集します。

{
  "context": {
    "employee_id": "my",
    "my_ip": "203.0.113.1/32",
    "db_password": "Handson1234!",
    "key_name": "my-cdk2-key",
    "tomcat_version": "10.1.28"
  }
}

cdk-alb-ec2-rds（前回）と同時にデプロイしてもリソース名が競合しません。前回は my-cdk-xxx、今回は my-cdk2-xxx というプレフィックスになります。

④ コードの構造を理解する（デプロイ前に読む）

このハンズオンの主役は コードの設計です。デプロイ前にファイルの役割を確認しておきます。

Props クラス（components/three_tier_web.py）

@dataclass
class ThreeTierWebProps:
    employee_id: str
    my_ip: str
    db_password: str
    key_name: str
    tomcat_version: str = field(default="10.1.28")  # 省略可能

@dataclass で設定値の型と省略時デフォルトを明示しています。スタック側から ThreeTierWebProps(employee_id=..., ...) として渡します。

Props とは: Construct に「何を作るか」を伝える設定値のまとまりです。型ヒントがあることで、どんな値が必要かが一目で分かります。

Construct クラス（components/three_tier_web.py）

class ThreeTierWebConstruct(Construct):
    def __init__(self, scope, id, *, props: ThreeTierWebProps):
        super().__init__(scope, id)
        self.vpc = ec2.Vpc(...)          # ← self に保存 → スタックから参照可能
        self.alb = elbv2.ApplicationLoadBalancer(...)
        self.instance = ec2.Instance(...)
        self.db_instance = rds.DatabaseInstance(...)

self.alb のように self 属性に保存した値はスタックから参照できます。ローカル変数に代入した場合はスタックから見えません。

スタック（stacks/three_tier_stack.py）

class ThreeTierStack(Stack):
    def __init__(self, scope, id, **kwargs):
        super().__init__(scope, id, **kwargs)

        props = ThreeTierWebProps(employee_id=..., my_ip=..., ...)

        # ← この1行で VPC / SG / RDS / EC2 / ALB が全部できる
        web = ThreeTierWebConstruct(self, "Web", props=props)

        CfnOutput(self, "ALBEndpoint",
            value=f"http://{web.alb.load_balancer_dns_name}")

スタックは Props の組み立てと Outputs の定義だけに集中できます。インフラの詳細は Construct にすべて委譲されています。

cdk-alb-ec2-rds との比較:

⑤ CDK Synth（テンプレート確認）

cdk synth

cdk.out/ に CloudFormation テンプレートが生成されます。この段階では AWS へのデプロイは行われません。

cdk-alb-ec2-rds の cdk synth と同じ CloudFormation テンプレートが生成されることを確認できます。Construct を使っても最終的な CloudFormation リソース数は変わりません。CDK の抽象化はコードの書き方を変えますが、生成されるインフラは同等です。

⑥ デプロイ

cdk deploy

「Do you wish to deploy these changes?」に y を入力します。

所要時間: RDS の作成に 15〜20 分かかります。

デプロイ完了後、Outputs が表示されます:

Outputs:
CdkCustomConstructsStack.ALBEndpoint = http://my-cdk2-alb-xxxx.ap-northeast-1.elb.amazonaws.com
CdkCustomConstructsStack.EC2PublicIP = x.x.x.x
CdkCustomConstructsStack.RDSEndpoint = my-cdk2-rds-mysql.xxxx.ap-northeast-1.rds.amazonaws.com
CdkCustomConstructsStack.SSHCommand = ssh -i %USERPROFILE%\.ssh\my-cdk2-key.pem ec2-user@x.x.x.x
CdkCustomConstructsStack.MySQLConnectCommand = mysql -h my-cdk2-rds-mysql.xxxx... -u admin -pHandson1234! sampledb

控えておく情報: ALBEndpoint、EC2PublicIP、RDSEndpoint

⑦ 動作確認

7-1. ALB のヘルスチェック確認

EC2 → ターゲットグループ → 「ターゲット」タブ

EC2 のステータスが 「healthy」 になるまで待ちます（EC2 起動後 5〜10 分）。

7-2. ALB 経由でWebアクセス確認

Outputs の ALBEndpoint をブラウザで開きます。

http://（ALBEndpoint の DNS 名）

以下が表示されれば正常です:

AP Server - my-cdk2 3-Tier Web
Deployed via AWS CDK Custom Construct (ThreeTierWebConstruct).

7-3. EC2 に SSH 接続する

ssh -i %USERPROFILE%\.ssh\my-cdk2-key.pem ec2-user@（EC2PublicIP）

7-4. EC2 から RDS への接続確認

EC2 に SSH 接続後（以下は EC2 上での操作）:

sudo dnf install -y mariadb105

DB_PASSWORD=$(aws ssm get-parameter \
  --name /my/cdk2/db-password \
  --query Parameter.Value \
  --output text \
  --region ap-northeast-1)

mysql -h <RDSEndpoint> -u admin -p${DB_PASSWORD} sampledb

-- テーブル作成
CREATE TABLE items (
  id INT AUTO_INCREMENT PRIMARY KEY,
  name VARCHAR(100),
  created_at TIMESTAMP DEFAULT CURRENT_TIMESTAMP
);

-- データ挿入
INSERT INTO items (name) VALUES ('Apple'), ('Banana');

-- データ確認
SELECT * FROM items;

-- 後片付け
DROP TABLE items;

EXIT;

7-5. SSH 接続を切断する

exit

⑧ Construct の再利用性を確認する（参考）

カスタム Construct の最大の利点は 同じ定義を複数回使い回せる ことです。
app.py を以下のように書き換えると、同じインフラを dev / prod の2環境同時にデプロイできます。

# app.py（参考: 複数環境デプロイの例）
ThreeTierStack(app, "CdkConstructsDevStack",
    env=cdk.Environment(region="ap-northeast-1"),
    # cdk deploy CdkConstructsDevStack -c employee_id=dev01 ...
)
ThreeTierStack(app, "CdkConstructsProdStack",
    env=cdk.Environment(region="ap-northeast-1"),
    # cdk deploy CdkConstructsProdStack -c employee_id=prod01 ...
)

CloudFormation では同じ YAML を2つコピーするか、パラメータで分岐させる必要がありました。CDK では Construct を使うことでコードの重複なしに複数環境を管理できます。

⑨ CDK の差分確認（参考）

cdk diff

コードを変更した後、デプロイ前に差分を確認できます。

⑩ リソース削除

課金を止めるために、ハンズオン完了後は必ず削除します。

cdk destroy

「Are you sure you want to delete?」に y を入力します。

所要時間: RDS の削除に 10〜15 分かかります。

削除されるリソース一覧

キーペアの削除（手動）

CDK が管理していないリソースは手動で削除します:

aws ec2 delete-key-pair ^
  --key-name my-cdk2-key ^
  --region ap-northeast-1

del %USERPROFILE%\.ssh\my-cdk2-key.pem

仮想環境の終了

deactivate

(.venv) が消えて通常のプロンプトに戻れば完了です。

削除完了の確認

aws cloudformation describe-stacks ^
  --stack-name CdkCustomConstructsStack ^
  --region ap-northeast-1

「Stack with id CdkCustomConstructsStack does not exist」エラーが出れば削除完了です。

Construct のポイント解説

なぜ self.alb のように属性に保存するのか

Construct 内のリソースをスタックから参照するには self 属性に保存する必要があります。

# Construct 内（three_tier_web.py）
self.alb = elbv2.ApplicationLoadBalancer(...)   # ← self に保存 → スタックから参照可能
listener  = alb.add_listener(...)               # ← ローカル変数  → スタックからは見えない

スタック側では web.alb.load_balancer_dns_name のようにアクセスできます。

props パターン

Construct の設定値は @dataclass で Props クラスにまとめるのが CDK の慣習です。型ヒントでどんな値が必要か一目で分かります。

@dataclass
class ThreeTierWebProps:
    employee_id: str        # 必須（型ヒントあり）
    my_ip: str              # 必須
    tomcat_version: str = field(default="10.1.28")  # 省略可能（デフォルト値あり）

Construct ID の役割

ThreeTierWebConstruct(self, "Web", props=props)
#                           ^^^^
#                           Construct ID（同じスタック内で一意にする）

CDK はこの ID を使って CloudFormation リソース名を自動生成します。同じスタックに同じ Construct を複数配置する場合は ID を変えます（例: "DevWeb", "ProdWeb"）。

トラブルシューティング

デプロイ失敗時のログ確認:

aws cloudformation describe-stack-events ^
  --stack-name CdkCustomConstructsStack ^
  --region ap-northeast-1 ^
  --query "StackEvents[?ResourceStatus=='CREATE_FAILED'].[ResourceType,ResourceStatusReason]" ^
  --output table

まとめ

カスタム Construct の最大のメリットは インフラを「部品」として設計できる 点です。今回の ThreeTierWebConstruct は1行で3層構成のすべてを生成します。同じ Construct を dev/prod で呼ぶだけで環境を増やせ、スタックのコードは Props の組み立てと Outputs のみの約30行に収まります。

コンソールで3層構成を視覚的に学びたい場合は AWSコンソール版ハンズオン、CloudFormation での自動化は CloudFormation版ハンズオン、CDK の基本（CloudFormation との比較）は CDK版ハンズオン（cdk-alb-ec2-rds） を参照してください。

The post AWS CDK カスタム Construct でALB + EC2 + RDS 3層構成を再利用可能な部品に切り出す【スタック170行 → 30行】 first appeared on CayTech Lab.

はじめに

「CloudFormation の YAML 460行をもっとシンプルに書けないか」——それを実現するのが AWS CDK（Cloud Development Kit） です。

この記事では、CloudFormation版ハンズオンで構築した ALB + EC2(Tomcat) + RDS の3層構成を、AWS CDK（Python） で再現します。YAML を Python コードで書き直すことで、460行 → 約200行に削減できることを体験します。

インターネット
  ↓ HTTP(80)
[ALB: my-cdk-alb-alb]  ← インターネット向け / パブリックサブネット 2AZ
  ↓ HTTP(8080)  ← ALB SG → EC2 SG（SG-to-SG 制御）
[EC2: my-cdk-alb-ap-instance]  ← Tomcat / パブリックサブネット AZ-a
  ↓ MySQL(3306)  ← EC2 SG → RDS SG（SG-to-SG 制御）
[RDS: my-cdk-alb-rds-mysql]  ← MySQL 8.0 / プライベートサブネット AZ-a

[VPC: my-cdk-alb-vpc (10.0.0.0/16)]
  ├── パブリックサブネット (10.0.0.0/24) [AZ-a]  ← ALB + EC2
  ├── パブリックサブネット (10.0.1.0/24) [AZ-b]  ← ALB（2AZ 必須）
  ├── プライベートサブネット (10.0.2.0/24) [AZ-a]  ← RDS 配置
  └── プライベートサブネット (10.0.3.0/24) [AZ-b]  ← DBサブネットグループ用

このハンズオンで体験できること：

• Python コードで AWS インフラを定義する CDK の世界観を理解
• ec2.Vpc 1つでVPC・IGW・ルートテーブルを自動生成する L2 Construct の威力を体験
• cdk synth で CloudFormation テンプレートを生成・確認
• cdk diff でデプロイ前の差分確認（CloudFormation の変更セット相当）
• cdk deploy / cdk destroy でワンコマンドデプロイ・削除

このハンズオンの特徴：

• CloudFormation 版で460行必要だった YAML が Python コード約200行で記述できる
• cdk destroy 1本でALB・RDS・IAMなど全リソースを自動削除
• コードの変更差分を cdk diff で即確認できる（CloudFormation の変更セットより簡単）

この記事は CloudFormation版ハンズオン の発展記事です。
同じ構成を CDK で再現し、IaC の進化を体験したい方向けです。CDK のコード詳細は GitHub を参照してください。

-->

キーワード解説

CloudFormation vs CDK：どれだけ違うか

使用するAWSサービス

注意: ALBは無料枠がありません。ハンズオン後は必ず cdk destroy で削除してください。

前提条件

AWS 認証確認:

aws sts get-caller-identity

構築されるリソース

CDK が cdk deploy 時に自動生成するリソース一覧です。

CloudFormation 版では約27リソースを YAML に個別定義しましたが、CDK では ec2.Vpc 1つがVPC・IGW・ルートテーブル等を自動生成するため、Python コードとして書くのは主要リソースのみです。

作業順序

⓪ 自分のIPアドレスを確認する
      ↓
① キーペアを作成する（AWS CLI で実施）
      ↓
② プロジェクトのセットアップ（Python 仮想環境）
      ↓
③ cdk.json を設定する
      ↓
④ CDK Bootstrap（初回のみ）
      ↓
⑤ CDK Synth（テンプレート確認）
      ↓
⑥ デプロイ（cdk deploy）
      ↓
⑦ 動作確認（ALBアクセス・SSH・RDS接続）
      ↓
⑧ CDK diff（参考）
      ↓
⑨ リソース削除（cdk destroy）

【重要】⓪ 自分のIPアドレスを確認する

curl https://checkip.amazonaws.com

控えておく情報: 自分のIPアドレス（例: 203.0.113.1）

セキュリティグループで 203.0.113.1/32 の形式（末尾に /32）で使用します。

① キーペアの作成

CDK では cdk deploy 時にキーペアのダウンロードができないため、事前に AWS CLI で作成します。

%USERPROFILE%\.ssh\ が存在しない場合は先に mkdir %USERPROFILE%\.ssh を実行してください。

aws ec2 create-key-pair ^
  --key-name my-cdk-alb-key ^
  --query KeyMaterial ^
  --output text ^
  --region ap-northeast-1 > %USERPROFILE%\.ssh\my-cdk-alb-key.pem

控えておく情報: キーペア名 my-cdk-alb-key

② プロジェクトのセットアップ

CDK の Python プロジェクトを実行するために、Python 仮想環境（venv）を作成してパッケージをインストールします。

cd C:\my-aws\aws-learning-projects\cdk-alb-ec2-rds

python -m venv .venv

.venv\Scripts\activate

pip install -r requirements.txt

仮想環境が有効になると、プロンプトの先頭に (.venv) が表示されます。

重要: CDK のコマンド（synth / deploy / diff / destroy）はすべてこの仮想環境が有効な状態で実行する必要があります。
ターミナルを閉じると仮想環境の有効化が解除されるため、ターミナルを開き直した際は必ず最初に以下を実行してください。

cd C:\my-aws\aws-learning-projects\cdk-alb-ec2-rds
.venv\Scripts\activate

プロンプトに (.venv) が付いていることを確認してから CDK コマンドを実行してください。

③ cdk.json の設定

cdk.json の context セクションを自分の環境に合わせて編集します。

{
  "context": {
    "employee_id": "my",
    "my_ip": "203.0.113.1/32",
    "db_password": "Handson1234!",
    "key_name": "my-cdk-alb-key",
    "tomcat_version": "10.1.28"
  }
}

cdk.json はバージョン管理に含めます（cdk.context.json は .gitignore 対象）。

CDK の詳細なコード（stacks/alb_ec2_rds_stack.py など）は GitHub を参照してください。

④ CDK Bootstrap（初回のみ）

CDK が AWS 環境にデプロイするために必要なリソース（S3 バケット等）を事前にセットアップします。
同じアカウント・リージョンで一度だけ実行すれば以降は不要です。

cdk bootstrap は app.py を実行しないため、仮想環境の有効・無効に関わらず実行できます。② で有効にした仮想環境はそのままで進めてください。

rem アカウントIDを確認
aws sts get-caller-identity --query Account --output text

rem Bootstrap を実行（アカウントIDを置き換えて実行）
cdk bootstrap aws://123456789012/ap-northeast-1

正常完了すると「CDKToolkit」という CloudFormation スタックが作成されます。

⑤ CDK Synth（テンプレート確認）

デプロイ前に CDK が生成する CloudFormation テンプレートを確認します。この段階では AWS へのデプロイは行われません。

cdk synth

cdk.out/ ディレクトリに CloudFormation テンプレート（JSON）が生成されます。

CloudFormation 版との比較ポイント:

• CDK が自動生成したVPC・ルートテーブル等のリソースが含まれていることを確認
• Python コード（約200行）から生成されたテンプレートの行数を確認（はるかに多い）

なぜテンプレートは増えるのか: CDK の Python コードは「人間が書く量」を減らすための抽象化です。実際に AWS に渡される CloudFormation テンプレートは CDK が自動生成するため、行数は多くなります。

rem 生成されたテンプレートをテキストエディタで確認
notepad cdk.out\CdkAlbEc2RdsStack.template.json

⑥ デプロイ

cdk deploy

実行中に「Do you wish to deploy these changes?」と表示されたら y を入力します。

所要時間: RDS の作成に 15〜20 分かかります。

デプロイ完了後、Outputs が表示されます:

Outputs:
CdkAlbEc2RdsStack.ALBEndpoint = http://my-cdk-alb-alb-xxxx.ap-northeast-1.elb.amazonaws.com
CdkAlbEc2RdsStack.EC2PublicIP = x.x.x.x
CdkAlbEc2RdsStack.RDSEndpoint = my-cdk-alb-rds-mysql.xxxx.ap-northeast-1.rds.amazonaws.com
CdkAlbEc2RdsStack.SSHCommand = ssh -i %USERPROFILE%\.ssh\my-cdk-alb-key.pem ec2-user@x.x.x.x
CdkAlbEc2RdsStack.MySQLConnectCommand = mysql -h my-cdk-alb-rds-mysql.xxxx... -u admin -pHandson1234! sampledb

控えておく情報: ALBEndpoint、EC2PublicIP、RDSEndpoint

⑦ 動作確認

7-1. ALB のヘルスチェック確認

EC2 → ターゲットグループ → my-cdk-alb-tg → 「ターゲット」タブ

EC2 のステータスが 「healthy」 になるまで待ちます（EC2 起動後 5〜10 分）。

Tomcat の起動はEC2が「実行中」になってからさらに 3〜5 分かかります。

ターゲットグループの ARN を CLI で確認する場合:

aws elbv2 describe-target-groups ^
  --names my-cdk-alb-tg ^
  --query TargetGroups[0].TargetGroupArn ^
  --output text ^
  --region ap-northeast-1

7-2. ALB 経由でWebアクセス確認

Outputs の ALBEndpoint の URL をブラウザで開きます。

http://（ALBEndpoint の DNS 名）

以下が表示されれば正常です:

AP Server - my-cdk ALB + EC2 + RDS
Deployed via AWS CDK (Python). Connects to RDS MySQL in the private subnet.

EC2 のパブリック IP に直接アクセスしても表示されません（ポート 8080 は ALB SG からのみ許可しているため）。

7-3. EC2 に SSH 接続する

Outputs の SSHCommand を実行します（パスは実際のパスに修正します）。

ssh -i %USERPROFILE%\.ssh\my-cdk-alb-key.pem ec2-user@（EC2PublicIP）

7-4. EC2 から RDS への接続確認

EC2 に SSH 接続後（以下は EC2 上での操作）:

sudo dnf install -y mariadb105

# SSM Parameter Store からパスワードを取得
DB_PASSWORD=$(aws ssm get-parameter \
  --name /my/cdk-alb/db-password \
  --query Parameter.Value \
  --output text \
  --region ap-northeast-1)

# RDS に接続（Outputs の RDSEndpoint を使用）
mysql -h <RDSEndpoint> -u admin -p${DB_PASSWORD} sampledb

-- テーブル作成
CREATE TABLE items (
  id INT AUTO_INCREMENT PRIMARY KEY,
  name VARCHAR(100),
  created_at TIMESTAMP DEFAULT CURRENT_TIMESTAMP
);

-- データ挿入
INSERT INTO items (name) VALUES ('Apple'), ('Banana');

-- データ確認
SELECT * FROM items;

-- 後片付け
DROP TABLE items;

EXIT;

7-5. SSH 接続を切断する

exit

7-6. UserData の実行ログ確認

EC2 に SSH 接続後（以下は EC2 上での操作）:

sudo cat /var/log/user-data.log

エラーなく最後まで実行されていれば正常です。

⑧ CDK の差分確認（参考）

コードを変更した後、デプロイ前に差分を確認できます。これが CDK の強力な機能の1つです。

cdk diff

CloudFormation の変更セット相当の情報が自動で表示されます。

Stack CdkAlbEc2RdsStack
Resources
[~] AWS::EC2::Instance EC2Instance
 └─ [~] UserData
     └─ [~] .Fn::Base64
         └─ ...

⑨ リソース削除

課金を止めるために、ハンズオン完了後は必ず削除します。

cdk destroy

「Are you sure you want to delete?」に y を入力します。

所要時間: RDS の削除に 10〜15 分かかります。

削除されるリソース一覧

キーペアの削除（手動）

CDK が管理していないリソースは手動で削除します:

aws ec2 delete-key-pair ^
  --key-name my-cdk-alb-key ^
  --region ap-northeast-1

del %USERPROFILE%\.ssh\my-cdk-alb-key.pem

仮想環境の終了

ハンズオンが終わったらプロンプトの (.venv) を外します。

deactivate

(.venv) が消えて通常のプロンプトに戻れば完了です。

(.venv) が付いている状態とは: このプロジェクト専用の Python 環境（venv）が有効な状態です。deactivate しなくてもターミナルを閉じれば自動的に解除されます。次回 CDK コマンドを使う際は再度 .venv\Scripts\activate が必要です。

削除完了の確認

aws cloudformation describe-stacks ^
  --stack-name CdkAlbEc2RdsStack ^
  --region ap-northeast-1

「Stack with id CdkAlbEc2RdsStack does not exist」エラーが出れば削除完了です。

CDK Bootstrap リソースの削除（任意）

CDK を今後も使う場合は残したままでよいです。
削除する場合は AWS コンソールで CDKToolkit スタックを手動削除します。

CDK のポイント解説

L1 / L2 / L3 Construct の違い

このハンズオンでは主に L2 Construct を使用しています。ec2.Vpc 1つを書くだけで、CloudFormation では15+ リソースが必要だったVPC・IGW・ルートテーブル・サブネット設定を自動生成します。

CDK Context 変数

cdk.json の context に設定した値は self.node.try_get_context("key") で取得できます。
デプロイ時に -c key=value で上書きも可能です:

cdk deploy -c my_ip=1.2.3.4/32 -c db_password=MyPass123!

cdk synth で CloudFormation テンプレートを確認

rem cdk.out/ に生成されたテンプレートをテキストエディタで確認
notepad cdk.out\CdkAlbEc2RdsStack.template.json

CDK コードの詳細（stacks/alb_ec2_rds_stack.py 全文）は GitHub を参照してください。

トラブルシューティング

デプロイ失敗時のログ確認:

aws cloudformation describe-stack-events ^
  --stack-name CdkAlbEc2RdsStack ^
  --region ap-northeast-1 ^
  --query "StackEvents[?ResourceStatus=='CREATE_FAILED'].[ResourceType,ResourceStatusReason]" ^
  --output table

コンソール版・CloudFormation版との比較

まとめ

CDK の最大の魅力は プログラミング言語でインフラを書ける点です。CloudFormation の460行の YAML が Python 約200行に削減されただけでなく、cdk diff による差分確認や L2 Construct による抽象化など、開発者体験が大きく向上します。

コンソールで3層構成の概念を視覚的に学びたい場合は AWSコンソール版ハンズオン、まずCloudFormationで同じ構成を試したい場合は CloudFormation版ハンズオン を参照してください。

The post AWS CDK（Python）でALB + EC2(Tomcat) + RDS 3層構成を構築する手順【CloudFormation 460行 → CDK 200行】 first appeared on CayTech Lab.

はじめに

前回のAWSコンソール版ハンズオン（ALB + EC2 + RDS）では、Tomcatに静的HTMLを配置して3層構成を体験しました。

今回はそこからさらに一歩進め、Spring Boot + Maven で作成したWebアプリケーションをWARファイルとしてビルドし、EC2（Tomcat）にデプロイして RDS MySQLにJDBCで接続するCRUDアプリを動かすハンズオンを紹介します。

インターネット
  ↓ HTTP(80)  ← ALB SGで全IPから許可
ALB（my-webapp-alb）
  [パブリックサブネット1: 10.0.1.0/24 AZ-a]
  [パブリックサブネット2: 10.0.2.0/24 AZ-c]  ← ALBの2AZ要件
  ↓ HTTP(8080)  ← EC2 SGでALB SGからのみ許可（SG-to-SG）
EC2（my-webapp-ap-instance）
  Tomcat 10 + webapp.war（Spring Boot）
  [パブリックサブネット1: 10.0.1.0/24 AZ-a]
  ↓ JDBC/MySQL(3306)  ← RDS SGでEC2 SGからのみ許可（SG-to-SG）
RDS MySQL（my-webapp-rds-mysql）← sampledb / items テーブル
  [プライベートサブネット1: 10.0.3.0/24 AZ-a]

このハンズオンで体験できること：

• Spring Boot WebアプリをMavenでWARファイルにビルドする方法
• SCPでWARをEC2に転送してTomcatにデプロイする手順
• SSM Parameter StoreのDB接続情報をEC2上の環境変数として注入する方法
• JdbcTemplateでRDS MySQLにCRUD操作するSpring Bootアプリの動作

アプリのソースコード・CloudFormationテンプレートはGitHubで公開しています：

aws-handson/alb-ec2-rds-webapp at main · caymezon/aws-handson

AWS HANDSON. Contribute to caymezon/aws-handson development by creating an account on GitHub.

github.com

この記事は CloudFormation版ハンズオン の比較記事です。
コンソール操作でWARのデプロイ手順を手を動かして確認したい方向けです。

-->

キーワード解説

前フェーズとの違い

使用するAWSサービス

注意: ALBは無料枠がありません。ハンズオン後は必ず削除してください。

構築するリソース一覧

全体の作業順序

⓪ Webアプリをビルドする（mvn package）
      ↓
⓪-2 自分のIPアドレスを確認する
      ↓
① キーペア作成
      ↓
② VPC作成
      ↓
③ サブネット作成（4つ）
      ↓
④ インターネットゲートウェイ作成・アタッチ
      ↓
⑤ ルートテーブル設定
      ↓
⑥ セキュリティグループ作成（ALB用・EC2用・RDS用）
      ↓
⑦ IAMロール作成
      ↓
⑧ SSM Parameter Store作成
      ↓
⑨ RDS DBサブネットグループ作成
      ↓
⑩ RDS MySQL インスタンス作成（※約10〜15分かかる）
      ↓
⑪ EC2インスタンス起動（Tomcat）
      ↓
⑫ ターゲットグループ作成
      ↓
⑬ ALB作成・リスナー設定
      ↓
⑭ Webアプリのデプロイ（WAR転送・Tomcat起動）
      ↓
⑮ 動作確認（ALB → EC2 → RDS CRUD）
      ↓
⑯ リソース削除

⓪ Webアプリのビルド

Webアプリのソースコードはこちら：

aws-handson/alb-ec2-rds-webapp/app at main ?? caymezon/aws-handson

AWS HANDSON. Contribute to caymezon/aws-handson development by creating an account on GitHub.

github.com

GitHubからクローンするか、ローカルにすでにあるソースコードを使います。

ビルド前の確認：

java -version
mvn -version

Java 17以上、Maven 3.x が表示されることを確認します。

WARファイルをビルドする：

cd C:\（プロジェクトフォルダ）\alb-ec2-rds-webapp\app
mvn package -DskipTests

-DskipTests はローカルにDBがないためテストをスキップします。初回は依存ライブラリのダウンロードで数分かかります。

[INFO] BUILD SUCCESS

ビルド成果物を確認する：

dir target\webapp.war

webapp.war（約20〜30MB）が生成されていれば成功です。

アプリの機能: アイテム一覧表示・追加・削除の3機能。Spring Boot + JdbcTemplate + Thymeleaf で構成されています。DB接続情報は環境変数（DB_HOST・DB_PASSWORD）から読み込みます。

⓪-2 自分のIPアドレスの確認

https://checkip.amazonaws.com

控えておく情報: 自分のIPアドレス（例: 203.0.113.1）

セキュリティグループで 203.0.113.1/32 の形式（末尾に /32）で使用します。

① キーペアの作成

AWSコンソール → EC2 → キーペア → 「キーペアを作成」

「キーペアを作成」をクリック。ダウンロードされた .pem ファイルを保存します。

C:\Users\ユーザー名\.ssh\my-webapp-key.pem

② VPCの作成

AWSコンソール → VPC → 「VPCを作成」

「VPCを作成」をクリック。

③ サブネットの作成（4つ）

AWSコンソール → VPC → サブネット → 「サブネットを作成」

VPCに my-webapp-vpc を選択して、以下の4つを1回の操作で作成します（「新しいサブネットを追加」で追加できます）。

「サブネットを作成」をクリック。

パブリックサブネットのIPv4自動割り当てを有効化

my-webapp-public-subnet-1 と my-webapp-public-subnet-2 それぞれに対して：

サブネットを選択 → 「アクション」→「サブネットの設定を編集」→ 「パブリックIPv4アドレスの自動割り当てを有効化」 にチェック → 「保存」

④ インターネットゲートウェイの作成・アタッチ

作成

AWSコンソール → VPC → インターネットゲートウェイ → 「インターネットゲートウェイを作成」

「インターネットゲートウェイを作成」をクリック。

VPCへのアタッチ

作成したIGWを選択 → 「アクション」→「VPCにアタッチ」→ my-webapp-vpc を選択 → 「インターネットゲートウェイのアタッチ」

⑤ ルートテーブルの設定

注意: EC2を起動する前にこの手順を完了させてください。IGWルートがない状態でEC2を起動すると、UserDataのTomcatインストールが失敗します。

5-1. パブリック用ルートテーブル

AWSコンソール → VPC → ルートテーブル → 「ルートテーブルを作成」

作成後、「ルート」タブ → 「ルートを編集」→「ルートを追加」

「変更を保存」をクリック。

「サブネットの関連付け」タブ → 「サブネットの関連付けを編集」→ パブリックサブネット2つにチェック → 保存

• my-webapp-public-subnet-1
• my-webapp-public-subnet-2

5-2. プライベート用ルートテーブル

「サブネットの関連付けを編集」→ プライベートサブネット2つにチェック → 保存

• my-webapp-private-subnet-1
• my-webapp-private-subnet-2

⑥ セキュリティグループの作成

6-1. ALB用セキュリティグループ

AWSコンソール → EC2 → セキュリティグループ → 「セキュリティグループを作成」

インバウンドルール:

なぜ全開放か: ALBはWebサービスの入口なので不特定多数を許可。EC2はALB SGからのみ8080番を受け付けるSG-to-SG制御で守られています。

6-2. EC2用セキュリティグループ

インバウンドルール:

アウトバウンドルール（変更しない）:

アウトバウンドルールを削除してはいけない: EC2からのTomcatインストール（パッケージダウンロード）に必要です。

6-3. RDS用セキュリティグループ

インバウンドルール:

⑦ IAMロールの作成

AWSコンソール → IAM → ロール → 「ロールを作成」

信頼されたエンティティ

許可ポリシー

ロール名

「ロールを作成」をクリック。

⑧ SSM Parameter Storeの作成

AWSコンソール → Systems Manager → パラメータストア → 「パラメータの作成」

「パラメータの作成」をクリック。

SecureStringとは: KMSで暗号化して保存するタイプです。取得時は --with-decryption オプションが必要です。CloudFormation版はString型になりますが、コンソールではSecureStringを推奨します。

⑨ RDS DBサブネットグループの作成

AWSコンソール → Aurora and RDS → サブネットグループ → 「DBサブネットグループの作成」

アベイラビリティーゾーンとサブネットの追加:

「作成」をクリック。

⑩ RDS MySQL インスタンスの作成

AWSコンソール → Aurora and RDS → データベース → 「データベースの作成 ▲」→「フル設定」

「フル設定」を選ぶ: VPC・サブネットグループ・SGなどを細かく指定するため、必ず「フル設定」を選択します。

注意: RDSの作成は約10〜15分かかります。

エンジンの選択

テンプレート

設定

インスタンスの設定

ストレージ

接続

追加設定

「追加設定」を開きます。

「データベースの作成」をクリック。

控えておく情報: 作成完了後の「エンドポイント」ホスト名

my-webapp-rds-mysql.xxxxxxxxxxxxxxxx.ap-northeast-1.rds.amazonaws.com

⑪ EC2インスタンスの起動（Tomcat）

注意: EC2を起動する前に⑤のルートテーブル設定が完了していることを確認してください。

AWSコンソール → EC2 → インスタンス → 「インスタンスを起動」

基本設定

ネットワーク設定

「編集」をクリックして以下を設定します。

IAMロール

「高度な詳細」→「IAMインスタンスプロファイル」→ my-webapp-ec2-role を選択

UserData

「高度な詳細」→「ユーザーデータ」に以下を貼り付けます。

このUserDataではTomcatをインストールするのみです。アプリのデプロイは⑭で手動で行います。

#!/bin/bash
set -xe
exec > >(tee /var/log/user-data.log) 2>&1

dnf install -y java-17-amazon-corretto wget

TOMCAT_VERSION="10.1.28"
cd /opt
wget -q https://archive.apache.org/dist/tomcat/tomcat-10/v${TOMCAT_VERSION}/bin/apache-tomcat-${TOMCAT_VERSION}.tar.gz
tar xzf apache-tomcat-${TOMCAT_VERSION}.tar.gz
mv apache-tomcat-${TOMCAT_VERSION} tomcat
chmod +x /opt/tomcat/bin/*.sh

cat > /opt/tomcat/webapps/ROOT/index.html << 'HTMLEOF'
<html><body><h1>Tomcat is ready. Deploy webapp.war to complete setup.</h1></body></html>
HTMLEOF

/opt/tomcat/bin/startup.sh

「インスタンスを起動」をクリック。

控えておく情報: インスタンスのパブリックIPアドレス

⑫ ターゲットグループの作成

AWSコンソール → EC2 → ターゲットグループ → 「ターゲットグループの作成」

ヘルスチェック

「次へ」をクリック。

ターゲットの登録

一覧から my-webapp-ap-instance を選択 → ポートが 8080 であることを確認 → 「保留中として以下を含める」をクリック → 「ターゲットグループの作成」

⑬ ALBの作成・リスナー設定

AWSコンソール → EC2 → ロードバランサー → 「ロードバランサーの作成」

「Application Load Balancer」の「作成」をクリック。

基本的な設定

ネットワークマッピング

セキュリティグループ

my-webapp-alb-sg のみを選択（デフォルトSGは削除）。

リスナーとルーティング

「ロードバランサーの作成」をクリック。

控えておく情報: 「DNS名」（例: my-webapp-alb-1234567890.ap-northeast-1.elb.amazonaws.com）

⑭ Webアプリのデプロイ

これが前回のハンズオンとの最大の違いです。WARファイルをEC2に転送してTomcatにデプロイします。

14-1. EC2にSSH接続する

ssh -i C:\Users\ユーザー名\.ssh\my-webapp-key.pem ec2-user@（EC2のパブリックIP）

14-2. setenv.sh を作成してDB接続情報を注入する

TomcatはEC2起動時に /opt/tomcat/bin/setenv.sh を読み込み、環境変数をJVMに渡します。Spring Bootアプリは DB_HOST と DB_PASSWORD 環境変数からDB接続情報を取得します。

DB_PASSWORD=$(aws ssm get-parameter \
  --name "/my/webapp/db-password" \
  --query "Parameter.Value" \
  --output text \
  --region ap-northeast-1 \
  --with-decryption)

# setenv.shを作成（RDSエンドポイントは⑩で控えた値に置き換える）
sudo tee /opt/tomcat/bin/setenv.sh << EOF
export DB_HOST=my-webapp-rds-mysql.xxxxxxxxxxxxxxxx.ap-northeast-1.rds.amazonaws.com
export DB_PASSWORD=$DB_PASSWORD
EOF

sudo chmod +x /opt/tomcat/bin/setenv.sh

内容を確認します。

sudo cat /opt/tomcat/bin/setenv.sh

export DB_HOST=my-webapp-rds-mysql.xxxxx.ap-northeast-1.rds.amazonaws.com
export DB_PASSWORD=（設定したパスワード）

14-3. WARファイルをEC2に転送する

**ローカルの別ターミナル（SSH接続していないターミナル）**で実行します。

scp -i C:\Users\ユーザー名\.ssh\my-webapp-key.pem ^
  C:\（プロジェクトフォルダ）\alb-ec2-rds-webapp\app\target\webapp.war ^
  ec2-user@（EC2のパブリックIP）:/home/ec2-user/

転送完了後、SSH接続中のターミナルで確認します。

ls -lh ~/webapp.war

14-4. Tomcatを停止してWARをデプロイする

# Tomcatを停止
sudo /opt/tomcat/bin/shutdown.sh
sleep 3

# 既存のROOTアプリを削除してWARをデプロイ
sudo rm -rf /opt/tomcat/webapps/ROOT /opt/tomcat/webapps/ROOT.war
sudo cp ~/webapp.war /opt/tomcat/webapps/ROOT.war

# Tomcatを起動（setenv.shが読み込まれる）
sudo /opt/tomcat/bin/startup.sh

14-5. デプロイを確認する

Tomcatは ROOT.war を自動展開してアプリを起動します。1〜2分待ってから確認します。

# Tomcatログを確認
sudo tail -50 /opt/tomcat/logs/catalina.out

以下のログが表示されれば成功です。

INFO: Starting ProtocolHandler ["http-nio-8080"]
INFO: Server startup in [XXXX] milliseconds

# EC2内からの疎通確認
curl -s http://localhost:8080/ | head -5

HTMLが返ってくればデプロイ成功です。

exit

⑮ 動作確認

15-1. ALBのヘルスチェック確認

EC2 → ターゲットグループ → my-webapp-tg → 「ターゲット」タブ

EC2のステータスが 「healthy」 になるまで待ちます（Tomcat起動後1〜3分）。

15-2. ALB経由でWebアプリにアクセスする

⑬で控えたALBのDNS名をブラウザで開きます。

http://（ALBのDNS名）

以下の画面が表示されれば成功です。

Spring Boot + RDS Item Manager
ALB → EC2(Tomcat) → RDS MySQL の3層構成で動作しています。
アイテムの追加・削除がRDSに永続化されます。

15-3. アイテムの追加・削除を試す

1. テキストボックスにアイテム名（例: Apple）を入力して「追加」をクリック
2. アイテムが一覧に表示されることを確認
3. 「削除」ボタンでアイテムが削除されることを確認

ブラウザをリロードしてもデータが保持されていれば、RDSへの永続化が成功しています。

15-4. RDSのデータをSQLで直接確認する（任意）

ssh -i C:\Users\ユーザー名\.ssh\my-webapp-key.pem ec2-user@（EC2のパブリックIP）

sudo dnf install -y mariadb105

DB_PASSWORD=$(aws ssm get-parameter \
  --name "/my/webapp/db-password" \
  --query "Parameter.Value" \
  --output text \
  --region ap-northeast-1 \
  --with-decryption)

mysql -h （RDSエンドポイント） -u admin -p"$DB_PASSWORD" sampledb

SELECT * FROM items;
EXIT;

Webアプリで追加したデータが表示されれば完全成功です。

exit

⑯ リソースの削除

課金を止めるために、ハンズオン完了後は必ず削除します。

ALBの課金: インスタンスが稼働中は課金されます（約$0.008/時間 + LCU料金）。

削除順序

1. ALBを削除
2. ターゲットグループを削除
3. EC2インスタンスを終了
4. RDSインスタンスを削除（約10〜15分）
5. RDS DBサブネットグループを削除
6. SSM Parameter Storeのパラメータを削除
7. IAMロールを削除
8. セキュリティグループを削除（RDS用 → EC2用 → ALB用の順）
9. VPCを削除（サブネット・ルートテーブルも一括削除）
10. キーペアを削除（任意）

1. ALBを削除する

EC2 → ロードバランサー → my-webapp-alb を選択 → 「アクション」→「削除」

2. ターゲットグループを削除する

EC2 → ターゲットグループ → my-webapp-tg を選択 → 「アクション」→「削除」

3. EC2インスタンスを終了する

EC2 → インスタンス → my-webapp-ap-instance を選択 → 「インスタンスの状態」→「インスタンスを終了」

4. RDSインスタンスを削除する

Aurora and RDS → データベース → my-webapp-rds-mysql を選択 → 「アクション」→「削除」

5. RDS DBサブネットグループを削除する

Aurora and RDS → サブネットグループ → my-webapp-rds-subnet-group → 「削除」

6. SSM Parameter Storeを削除する

Systems Manager → パラメータストア → /my/webapp/db-password → 「削除」

7. IAMロールを削除する

IAM → ロール → my-webapp-ec2-role を選択 → 「削除」

8. セキュリティグループを削除する

依存関係があるため以下の順番で削除します。

1. my-webapp-rds-sg
2. my-webapp-ec2-sg
3. my-webapp-alb-sg

9. VPCを削除する

VPC → お使いのVPC → my-webapp-vpc を選択 → 「アクション」→「VPCの削除」

VPCを削除するとサブネット・ルートテーブルも一括削除されます。IGWのデタッチが必要な場合は先に行います。

10. キーペアを削除する（任意）

EC2 → キーペア → my-webapp-key を選択 → 「アクション」→「削除」

トラブルシューティング

まとめ

前回（静的HTML）との最大の違いは、⑭のWARデプロイです。setenv.sh でSSMから取得したDB接続情報を環境変数としてTomcatに渡し、Spring BootアプリがRDS MySQLに接続してCRUD操作できる本格的なWebアプリになりました。

CloudFormationでインフラ構築からWARデプロイまで自動化したい場合は、CloudFormation版ハンズオンを参照してください。S3にWARをアップロードするだけで、UserDataが自動デプロイまで行います。

The post AWSコンソールでSpring Boot WebアプリをALB + EC2(Tomcat) + RDS にデプロイする手順【WAR / JdbcTemplate / CRUD】 first appeared on CayTech Lab.

はじめに

前回のAWSコンソール版ハンズオン（Spring Boot Webアプリ）では、コンソールでインフラを手動構築してSCPでWARをデプロイしました。

この記事では、同じ構成を CloudFormation で自動化します。template.yaml 1ファイルにVPC・SG・IAM・SSM・RDS・ALB・EC2（約30リソース）を定義し、さらに EC2のUserDataがS3からWARを自動取得してTomcatにデプロイするため、コマンド数本でWebアプリが動く状態まで一気に構築できます。

ローカル環境（VSCode）
  ├── app/target/webapp.war（mvn packageでビルド済み）
  ├── template.yaml（約30リソースを定義）
  └── AWS CLI コマンド
        ↓ スタック作成（コマンド1本）
AWS環境
  ├── S3バケット（webapp.war置き場）
  └── VPC（10.0.0.0/16）
        ├── パブリックサブネット1・2（ALB + EC2）
        ├── プライベートサブネット1・2（RDS）
        ├── IGW + ルートテーブル
        ├── IAMロール（SSM + S3読み取り権限）
        ├── ALB SG → EC2 SG → RDS SG（SG-to-SG制御）
        ├── SSM Parameter Store（/my/webapp/db-password）
        ├── RDS MySQL 8.0（db.t3.micro / sampledb）
        ├── ALB（HTTP:80）→ TG（HTTP:8080）
        └── EC2（t2.micro）
              UserDataが自動実行:
              1. Java + Tomcat インストール
              2. SSMからDBパスワード取得 → setenv.sh作成
              3. S3からwebapp.warをダウンロード → ROOT.warとして配置
              4. Tomcat起動（Spring Bootアプリが自動展開）

このハンズオンで体験できること：

• WARのデプロイをS3 + UserDataで完全自動化する設計
• SSMからDB接続情報を取得してsetenv.shを自動作成する仕組み
• delete-stack 1本でALB・RDS・IAMなど全リソースを自動削除

テンプレートとアプリのソースコードはGitHubで公開しています：

aws-handson/alb-ec2-rds-webapp at main · caymezon/aws-handson

AWS HANDSON. Contribute to caymezon/aws-handson development by creating an account on GitHub.

github.com

この記事は AWSコンソール版ハンズオン の比較記事です。
コンソール版でSCPデプロイの仕組みを理解した後に読むと理解が深まります。

-->

CloudFormation vs コンソール：どれだけ違うか

キーワード解説

前提条件

aws sts get-caller-identity
aws --version
java -version
mvn -version

構築されるリソース（約30個）

template.yaml の詳細はGitHubを参照してください：

aws-handson/alb-ec2-rds-webapp/template.yaml at main ?? caymezon/aws-handson

AWS HANDSON. Contribute to caymezon/aws-handson development by creating an account on GitHub.

github.com

作業順序

⓪ Webアプリをビルドする（mvn package）
      ↓
⓪-2 自分のIPアドレスを確認する
      ↓
① キーペアを作成する（コンソールで実施）
      ↓
② S3バケットを作成してWARをアップロードする
      ↓
③ スタックを作成する（aws cloudformation create-stack）
      ↓
④ 作成完了・Outputsを確認する（RDS待ち15〜20分）
      ↓
⑤ 動作確認（ALBアクセス・アイテム追加削除）
      ↓
⑥ スタックを削除する（S3バケットも忘れず削除）

⓪ Webアプリのビルド

アプリのソースコードはGitHubで公開しています：

aws-handson/alb-ec2-rds-webapp/app at main ?? caymezon/aws-handson

AWS HANDSON. Contribute to caymezon/aws-handson development by creating an account on GitHub.

github.com

cd C:\（プロジェクトフォルダ）\alb-ec2-rds-webapp\app
mvn package -DskipTests
dir target\webapp.war

webapp.war（約20〜30MB）が生成されていれば成功です。

⓪-2 自分のIPアドレスを確認する

curl https://checkip.amazonaws.com

控えておく情報: 自分のIPアドレス（例: 203.0.113.1）

① キーペアの作成（コンソールで実施）

CloudFormationではキーペアのダウンロードができないため、コンソールで先に作成します。

AWSコンソール → EC2 → キーペア → 「キーペアを作成」

ダウンロードされた my-webapp-key.pem を保存します。

C:\Users\ユーザー名\.ssh\my-webapp-key.pem

② S3バケットの作成とWARのアップロード

EC2のUserDataがS3から webapp.war をダウンロードするため、スタック作成より前にアップロードしておく必要があります。

プロジェクトフォルダに移動する

cd C:\（プロジェクトフォルダ）\alb-ec2-rds-webapp

S3バケットを作成する

バケット名はグローバルで一意である必要があります。末尾に任意の識別子を加えてユニークにしてください。

aws s3 mb s3://my-webapp-bucket-（任意の識別子） --region ap-northeast-1

WARをS3にアップロードする

aws s3 cp app\target\webapp.war s3://my-webapp-bucket-（任意の識別子）/webapp.war

アップロードを確認します。

aws s3 ls s3://my-webapp-bucket-（任意の識別子）/

2026-04-18 10:00:00   26214400 webapp.war

③ スタックの作成

以下のコマンドを実行します。各パラメータを自分の値に置き換えます。

aws cloudformation create-stack ^
  --stack-name my-webapp-stack ^
  --template-body file://template.yaml ^
  --region ap-northeast-1 ^
  --capabilities CAPABILITY_NAMED_IAM ^
  --parameters ^
    ParameterKey=KeyName,ParameterValue=my-webapp-key ^
    ParameterKey=MyIP,ParameterValue=（⓪-2で確認したIP）/32 ^
    ParameterKey=DBPassword,ParameterValue=（任意のパスワード） ^
    ParameterKey=WARBucketName,ParameterValue=my-webapp-bucket-（任意の識別子）

CAPABILITY_NAMED_IAM について: 名前を指定したIAMリソース（EC2ロールなど）を作成する場合に必要なフラグです。

TomcatVersion パラメータについて: デフォルト値は 10.1.28。変更する場合は ParameterKey=TomcatVersion,ParameterValue=10.1.xx を追加します。利用可能なバージョンは https://archive.apache.org/dist/tomcat/tomcat-10/ で確認します。

成功すると以下のような StackId が表示されます。

{
    "StackId": "arn:aws:cloudformation:ap-northeast-1:123456789012:stack/my-webapp-stack/xxxxx"
}

④ 作成完了・Outputsの確認

注意: RDSの作成には約15〜20分かかります。EC2のUserDataでWARのデプロイも行うため、さらに数分かかります。

作成状況の確認

aws cloudformation describe-stacks ^
  --stack-name my-webapp-stack ^
  --query "Stacks[0].StackStatus" ^
  --output text

Outputs（接続情報）の確認

CREATE_COMPLETE になったら以下を実行します。

aws cloudformation describe-stacks ^
  --stack-name my-webapp-stack ^
  --query "Stacks[0].Outputs" ^
  --output table

+--------------------+-------------------------------------------------------------------+
|  OutputKey         |  OutputValue                                                      |
+--------------------+-------------------------------------------------------------------+
|  ALBEndpoint       |  http://my-webapp-alb-1234567890.ap-northeast-1.elb.amazonaws.com |
|  EC2PublicIP       |  x.x.x.x                                                         |
|  RDSEndpoint       |  my-webapp-rds-mysql.xxxxx.ap-northeast-1.rds.amazonaws.com      |
|  DBPasswordParamName |  /my/webapp/db-password                                         |
|  SSHCommand        |  ssh -i ~/.ssh/my-webapp-key.pem ec2-user@x.x.x.x               |
+--------------------+-------------------------------------------------------------------+

控えておく情報: ALBEndpoint、EC2PublicIP、RDSEndpoint

⑤ 動作確認

ALBのヘルスチェック確認

EC2 → ターゲットグループ → my-webapp-tg → 「ターゲット」タブ

EC2のステータスが 「healthy」 になるまで待ちます（EC2起動後5〜10分）。

Tomcatの起動 + WARのデプロイはEC2「実行中」からさらに数分かかります。initial や unhealthy が続く場合はしばらく待ちます。

ALB経由でWebアプリにアクセスする

Outputsに表示された ALBEndpoint をブラウザで開きます。

http://（ALBEndpointのDNS名）

Spring Boot + RDS Item Manager
ALB → EC2(Tomcat) → RDS MySQL の3層構成で動作しています。

が表示されれば成功です。

アイテムの追加・削除を試す

1. テキストボックスにアイテム名を入力して「追加」をクリック
2. アイテムが一覧に表示されることを確認
3. 「削除」ボタンでアイテムが削除されることを確認

ブラウザをリロードしてもデータが保持されていれば、RDSへの永続化が成功しています。

（任意）ログでデプロイ過程を確認する

OutputsのSSHCommandでEC2に接続して確認します。

sudo cat /var/log/user-data.log

# Tomcatのログ（Spring Bootのスタートアップログ）
sudo tail -50 /opt/tomcat/logs/catalina.out

# setenv.shの内容確認（DB接続情報が正しく設定されているか）
sudo cat /opt/tomcat/bin/setenv.sh

exit

⑥ スタックの削除

課金を止めるために、ハンズオン完了後は必ず削除します。

スタックを削除する

aws cloudformation delete-stack ^
  --stack-name my-webapp-stack ^
  --region ap-northeast-1

注意: RDS削除には約10〜15分かかります。

削除状況の確認

aws cloudformation describe-stacks ^
  --stack-name my-webapp-stack ^
  --query "Stacks[0].StackStatus" ^
  --output text

削除完了の確認（以下のエラーが表示されれば削除完了）:

An error occurred (ValidationError) when calling the DescribeStacks operation:
Stack with id my-webapp-stack does not exist

S3バケットを削除する

S3バケットはCloudFormationで管理していないため手動で削除します。

aws s3 rm s3://my-webapp-bucket-（任意の識別子） --recursive
aws s3 rb s3://my-webapp-bucket-（任意の識別子）

キーペアを削除する（任意）

EC2 → キーペア → my-webapp-key を選択 → 「アクション」→「削除」

コンソール版との比較

トラブルシューティング

失敗時の詳細確認コマンド

aws cloudformation describe-stack-events ^
  --stack-name my-webapp-stack ^
  --query "StackEvents[?ResourceStatus=='CREATE_FAILED'].[ResourceType,ResourceStatusReason]" ^
  --output table

まとめ

CloudFormation版の最大のポイントはWARデプロイの自動化です。コンソール版ではSCPでWARを転送してSSHでsetenv.shを作成する必要がありましたが、今回はS3にWARをアップロードするだけでUserDataが全て自動で行います。

コンソール操作でSCPデプロイの仕組みを手を動かして確認したい場合は、AWSコンソール版ハンズオンを参照してください。

The post CloudFormationでSpring Boot WebアプリをALB + EC2(Tomcat) + RDS に自動デプロイする手順【S3 + UserData / WAR自動配布】 first appeared on CayTech Lab.

はじめに

「EC2のIPが変わるたびに接続先を変えるのは面倒」「EC2を複数台に増やしてトラフィックを分散したい」——これを解決するのが ALB（Application Load Balancer） です。

この記事では、AWSコンソール（GUI）のみを使って、ALB・EC2（Tomcat）・RDS MySQLの3層構成をゼロから手動構築するハンズオンを紹介します。

インターネット
  ↓ HTTP(80)  ← ALB SGで全IPから許可
ALB（my-alb-alb）
  [パブリックサブネット1: 10.0.1.0/24 AZ-a]
  [パブリックサブネット2: 10.0.2.0/24 AZ-c]  ← ALBの2AZ要件
  ↓ HTTP(8080)  ← EC2 SGでALB SGからのみ許可（SG-to-SG）
EC2（my-alb-ap-instance）
  Tomcat（Javaアプリケーションサーバ）
  [パブリックサブネット1: 10.0.1.0/24 AZ-a]
  ↓ MySQL(3306)  ← RDS SGでEC2 SGからのみ許可（SG-to-SG）
RDS MySQL（my-alb-rds-mysql）
  [プライベートサブネット1: 10.0.3.0/24 AZ-a]

DBサブネットグループ
  ├── プライベートサブネット1（10.0.3.0/24）[AZ-a]
  └── プライベートサブネット2（10.0.4.0/24）[AZ-c]  ← 2AZ必須

このハンズオンで体験できること：

• ALBのリスナー・ターゲットグループ・ヘルスチェックの概念を理解
• EC2（Tomcat）をALBの後ろに隠して直接アクセスを遮断する設計
• SG-to-SGを2段階で使う3層制御（インターネット→ALB→EC2→RDS）
• ヘルスチェックで「Healthy」になるまでALBがトラフィックを転送しない仕組みを体験

このハンズオンのポイント：

前フェーズ（EC2 + RDS 2層構成）ではEC2に直接アクセスしていましたが、今回はALBを前段に追加します。ALBのDNS名でアクセスし、EC2のIPアドレスが変わっても影響を受けない設計になります。

この記事は CloudFormation版ハンズオン の比較記事です。
コンソール操作でALB・ターゲットグループ・ヘルスチェックを視覚的に学びたい方向けです。

-->

キーワード解説

前フェーズとの違い

使用するAWSサービス

注意: ALBは無料枠がありません。ハンズオン後は必ず削除してください。

構築するリソース一覧

全体の作業順序

⓪ 自分のIPアドレスを確認
      ↓
① キーペア作成
      ↓
② VPC作成
      ↓
③ サブネット作成（4つ）
      ↓
④ インターネットゲートウェイ作成・アタッチ
      ↓
⑤ ルートテーブル設定（IGWルート追加 → サブネット関連付け）
      ↓
⑥ セキュリティグループ作成（ALB用・EC2用・RDS用）
      ↓
⑦ IAMロール作成
      ↓
⑧ SSM Parameter Store作成
      ↓
⑨ RDS DBサブネットグループ作成
      ↓
⑩ RDS MySQL インスタンス作成（※約10〜15分かかる）
      ↓
⑪ EC2インスタンス起動（Tomcat）
      ↓
⑫ ターゲットグループ作成
      ↓
⑬ ALB作成・リスナー設定
      ↓
⑭ 動作確認（ALB → EC2 → RDS）
      ↓
⑮ リソース削除

⓪ 自分のIPアドレスの確認

ブラウザで以下のURLを開くか、コマンドで確認します。

https://checkip.amazonaws.com

控えておく情報: 自分のIPアドレス（例: 203.0.113.1）

セキュリティグループで 203.0.113.1/32 の形式（末尾に /32）で使用します。

① キーペアの作成

AWSコンソール → EC2 → キーペア → 「キーペアを作成」

「キーペアを作成」をクリック。ダウンロードされた .pem ファイルを保存します。

C:\Users\ユーザー名\.ssh\my-alb-key.pem

② VPCの作成

AWSコンソール → VPC → VPC → 「VPCを作成」

「VPCを作成」をクリック。

③ サブネットの作成（4つ）

AWSコンソール → VPC → サブネット → 「サブネットを作成」

VPCに my-alb-vpc を選択して、以下の4つを1回の操作で作成します（「新しいサブネットを追加」で追加できます）。

「サブネットを作成」をクリック。

ALBが2AZを必要とする理由: ALBは高可用性のため複数AZにまたがって配置されます。VPCを選択すると「少なくとも2つのAZのサブネットを指定してください」というバリデーションが入ります。

④ インターネットゲートウェイの作成・アタッチ

作成

AWSコンソール → VPC → インターネットゲートウェイ → 「インターネットゲートウェイを作成」

「インターネットゲートウェイを作成」をクリック。

VPCへのアタッチ

作成したIGWを選択 → 「アクション」→「VPCにアタッチ」→ my-alb-vpc を選択 → 「インターネットゲートウェイのアタッチ」

⑤ ルートテーブルの設定

注意: EC2を起動する前にこの手順を完了させてください。IGWルートがない状態でEC2を起動すると、UserDataのTomcatインストールが失敗します。

5-1. パブリック用ルートテーブル

AWSコンソール → VPC → ルートテーブル → 「ルートテーブルを作成」

作成後、my-alb-public-rt を選択 → 「ルート」タブ → 「ルートを編集」→「ルートを追加」

「変更を保存」をクリック。

次に「サブネットの関連付け」タブ → 「サブネットの関連付けを編集」→ パブリックサブネット2つにチェック → 保存

• my-alb-public-subnet-1
• my-alb-public-subnet-2

5-2. プライベート用ルートテーブル

同様に「ルートテーブルを作成」

「サブネットの関連付けを編集」→ プライベートサブネット2つにチェック → 保存

• my-alb-private-subnet-1
• my-alb-private-subnet-2

⑥ セキュリティグループの作成

6-1. ALB用セキュリティグループ

AWSコンソール → EC2 → セキュリティグループ → 「セキュリティグループを作成」

インバウンドルール:

「セキュリティグループを作成」をクリック。

なぜ 0.0.0.0/0（全開放）なのか: これまでのハンズオンではEC2が直接インターネットに露出していたため自分のIPだけに制限していました。今回はEC2の前にALBを置く3層構成のため、不特定多数のユーザーが使うWebサービスの入口であるALBは全開放が正しい設計です。

EC2（Tomcat）のセキュリティは次の6-2で設定するEC2 SGの「ALB SGからのみ8080を許可」によって守られます。

6-2. EC2用セキュリティグループ

インバウンドルール:

アウトバウンドルール（変更しない）:

アウトバウンドルールを変更してはいけない理由: EC2がTomcatのインストール（Javaのダウンロードなど）でインターネットにアクセスするために必要です。誤って削除するとEC2からの通信が遮断されます。

SG-to-SG制御: ポート8080のソースにIPアドレスではなく my-alb-sg のSGを指定します。ALBを経由したトラフィックのみEC2に到達でき、インターネットから直接8080番ポートへのアクセスは不可になります。

6-3. RDS用セキュリティグループ

インバウンドルール:

⑦ IAMロールの作成

AWSコンソール → IAM → ロール → 「ロールを作成」

信頼されたエンティティ

許可ポリシー

以下の2つのポリシーを検索して追加します。

ロール名

「ロールを作成」をクリック。

⑧ SSM Parameter Storeの作成

AWSコンソール → Systems Manager → パラメータストア → 「パラメータの作成」

「パラメータの作成」をクリック。

「安全な文字列」（SecureString）とは: パスワードなどの機密情報をKMSで暗号化して保存するタイプです。取得時は --with-decryption オプションが必要です。CloudFormation版はString型で作成しますが、コンソールではSecureStringを推奨します。

⑨ RDS DBサブネットグループの作成

AWSコンソール → Aurora and RDS → サブネットグループ → 「DBサブネットグループの作成」

アベイラビリティーゾーンとサブネットの追加:

「作成」をクリック。

⑩ RDS MySQL インスタンスの作成

AWSコンソール → Aurora and RDS → データベース → 「データベースの作成 ▲」→「フル設定」

注意: RDSの作成は約10〜15分かかります。

エンジンの選択

テンプレート

設定

インスタンスの設定

ストレージ

接続

追加設定

「追加設定」を開きます。

「データベースの作成」をクリック。

控えておく情報: 作成完了後に表示される「エンドポイント」のホスト名

my-alb-rds-mysql.xxxxxxxxxxxxxxxx.ap-northeast-1.rds.amazonaws.com

⑪ EC2インスタンスの起動

注意: EC2を起動する前に⑤のルートテーブル設定が完了していることを確認してください。IGWルートがない状態で起動するとTomcatのインストールが失敗します。

AWSコンソール → EC2 → インスタンス → 「インスタンスを起動」

基本設定

ネットワーク設定

「編集」をクリックして以下を設定します。

IAMロール

「高度な詳細」→「IAMインスタンスプロファイル」→ my-alb-ec2-role を選択

UserData

「高度な詳細」→「ユーザーデータ」に以下を貼り付けます。

Tomcatバージョンの確認: TOMCAT_VERSION の値は https://archive.apache.org/dist/tomcat/tomcat-10/ で利用可能なバージョンを確認して設定してください。

#!/bin/bash
set -xe
exec > >(tee /var/log/user-data.log) 2>&1

dnf update -y
dnf install -y java-17-amazon-corretto wget

# https://archive.apache.org/dist/tomcat/tomcat-10/
TOMCAT_VERSION="10.1.28"
cd /opt
wget -q https://archive.apache.org/dist/tomcat/tomcat-10/v${TOMCAT_VERSION}/bin/apache-tomcat-${TOMCAT_VERSION}.tar.gz
tar xzf apache-tomcat-${TOMCAT_VERSION}.tar.gz
mv apache-tomcat-${TOMCAT_VERSION} tomcat
chmod +x /opt/tomcat/bin/*.sh

# テスト用Webアプリのデプロイ
cat > /opt/tomcat/webapps/ROOT/index.html << 'HTMLEOF'
<!DOCTYPE html>
<html>
<body>
<h1>AP Server - Phase 2-2 ALB + Tomcat + RDS</h1>
<p>This server is load balanced by ALB and connects to RDS MySQL.</p>
</body>
</html>
HTMLEOF

# Tomcat起動
/opt/tomcat/bin/startup.sh

タグ

「インスタンスを起動」をクリック。起動完了まで約2〜3分待ちます。

Tomcatの起動について: EC2の「実行中」状態になった後、UserDataによるTomcatのインストール・起動にさらに約5〜10分かかります。ALBのヘルスチェックが「Healthy」になるまで待ってからアクセスしてください。

控えておく情報: インスタンスのパブリックIPアドレス

⑫ ターゲットグループの作成

AWSコンソール → EC2 → ターゲットグループ → 「ターゲットグループの作成」

ターゲットタイプとプロトコル

ヘルスチェック

「次へ」をクリック。

ターゲットの登録

「使用可能なインスタンス」から my-alb-ap-instance を選択します。

「保留中として以下を含める」をクリック → 下部の「ターゲットを確認」にインスタンスが表示されたことを確認して「次へ」をクリック。

「ターゲットグループの作成」をクリック。

ヘルスチェックとは: ALBが定期的にEC2のポート8080の / にHTTPリクエストを送り、正常（HTTP 200）が返るか確認する仕組みです。ステータスが「Healthy」になるまではALBはそのEC2にトラフィックを転送しません。

⑬ ALBの作成・リスナー設定

AWSコンソール → EC2 → ロードバランサー → 「ロードバランサーの作成」

「Application Load Balancer」の「作成」をクリック。

基本的な設定

ネットワークマッピング

ALBは必ず2つ以上のAZを選択します。 1つのAZだけを選ぶとエラーになります。

セキュリティグループ

my-alb-sg のみを選択（デフォルトSGは削除）。

リスナーとルーティング

「ロードバランサーの作成」をクリック。

控えておく情報: 「DNS名」（例: my-alb-alb-1234567890.ap-northeast-1.elb.amazonaws.com）

⑭ 動作確認

14-1. ALBのヘルスチェック確認

EC2 → ターゲットグループ → my-alb-tg → 「ターゲット」タブ

my-alb-ap-instance のステータスが 「Healthy」 になるまで待ちます（5〜10分）。

unhealthy が続く場合はEC2にSSH接続して sudo cat /var/log/user-data.log でUserDataのエラーを確認してください。

14-2. ALB経由でWebアクセス確認

ブラウザで以下のURLにアクセスします。

http://（⑬で控えたALBのDNS名）

「AP Server - Phase 2-2 ALB + Tomcat + RDS」と表示されれば正常です。

EC2のパブリックIPに直接アクセスしても表示されません（ポート8080はALB SGからのみ許可しているため）。これが3層構成のポイントです。

14-3. EC2にSSH接続する

ssh -i C:\Users\ユーザー名\.ssh\my-alb-key.pem ec2-user@（EC2パブリックIP）

14-4. Parameter StoreからDBパスワードを取得する

aws ssm get-parameter \
  --name "/my/alb/db-password" \
  --query "Parameter.Value" \
  --output text \
  --region ap-northeast-1 \
  --with-decryption

Handson1234! と表示されれば成功です。

--with-decryption について: コンソールでSecureStringとして作成した場合は必須です。このフラグがないと暗号化されたままの文字列が返ってきます。

14-5. RDSへのMySQL接続テスト

MySQLクライアントをインストールします（Amazon Linux 2023では mariadb105 を使います）。

sudo dnf install -y mariadb105

# 変数にエンドポイントを代入（⑩で控えた値に置き換える）
RDS_ENDPOINT="my-alb-rds-mysql.xxxxxxxxxxxxxxxx.ap-northeast-1.rds.amazonaws.com"

# Parameter StoreからDBパスワードを取得して接続
DB_PASSWORD=$(aws ssm get-parameter \
  --name "/my/alb/db-password" \
  --query "Parameter.Value" \
  --output text \
  --region ap-northeast-1 \
  --with-decryption)

mysql -h $RDS_ENDPOINT -u admin -p"$DB_PASSWORD" sampledb

接続成功後、SQL操作を確認します。

-- テーブル作成
CREATE TABLE items (
  id INT AUTO_INCREMENT PRIMARY KEY,
  name VARCHAR(100),
  created_at TIMESTAMP DEFAULT CURRENT_TIMESTAMP
);

-- データ挿入
INSERT INTO items (name) VALUES ('Apple'), ('Banana');

-- データ確認
SELECT * FROM items;

-- 後片付け
DROP TABLE items;

EXIT;

14-6. SSH接続を切断する

exit

⑮ リソースの削除

課金を止めるために、ハンズオン完了後は必ず削除します。

ALBの課金について: ALBはインスタンスが稼働している間は課金されます（約$0.008/時間 + LCU料金）。不要になったら必ず削除してください。

削除順序

依存関係があるため、必ずこの順番で削除します。

1. ALBを削除
2. ターゲットグループを削除
3. EC2インスタンスを終了
4. RDSインスタンスを削除（約10〜15分）
5. RDS DBサブネットグループを削除
6. SSM Parameter Storeのパラメータを削除
7. セキュリティグループを削除（RDS用 → EC2用 → ALB用の順）
8. ルートテーブルの関連付け解除・削除
9. インターネットゲートウェイをデタッチ・削除
10. サブネットを削除（4つ）
11. VPCを削除
12. IAMロールを削除
13. キーペアを削除（任意）

1. ALBを削除する

EC2 → ロードバランサー → my-alb-alb を選択 → 「アクション」→「削除」

確認フィールドに 確認 と入力 → 「削除」をクリック。

ALBを削除するとリスナーも一緒に削除されます。

2. ターゲットグループを削除する

EC2 → ターゲットグループ → my-alb-tg を選択 → 「アクション」→「削除」

3. EC2インスタンスを終了する

EC2 → インスタンス → my-alb-ap-instance を選択 → 「インスタンスの状態」→「インスタンスを終了」

「終了済み」になるまで待ちます（2〜5分）。

4. RDSインスタンスを削除する

Aurora and RDS → データベース → my-alb-rds-mysql を選択 → 「アクション」→「削除」

「削除」をクリック。削除完了まで約10〜15分かかります。

5. RDS DBサブネットグループを削除する

Aurora and RDS → サブネットグループ → my-alb-rds-subnet-group → 「削除」

RDSインスタンスが完全に削除されてから行います。

6. SSM Parameter Storeのパラメータを削除する

Systems Manager → パラメータストア → /my/alb/db-password → 「削除」

7. セキュリティグループを削除する

EC2 → セキュリティグループ

依存関係があるため以下の順番で削除します。

1. my-alb-rds-sg → 「アクション」→「セキュリティグループを削除」
2. my-alb-ec2-sg → 「アクション」→「セキュリティグループを削除」
3. my-alb-sg → 「アクション」→「セキュリティグループを削除」

8. ルートテーブルを削除する

VPC → ルートテーブル

1. my-alb-public-rt → 「サブネットの関連付け」→「編集」→ チェックを全て外す → 「保存」→「アクション」→「ルートテーブルの削除」
2. my-alb-private-rt → 同様に操作

9. インターネットゲートウェイをデタッチ・削除する

VPC → インターネットゲートウェイ

1. my-alb-igw を選択 → 「アクション」→「VPCからデタッチ」→「デタッチ」
2. 「アクション」→「インターネットゲートウェイの削除」

10. サブネットを削除する（4つ）

VPC → サブネット

4つのサブネットをすべて選択 → 「アクション」→「サブネットの削除」

• my-alb-public-subnet-1
• my-alb-public-subnet-2
• my-alb-private-subnet-1
• my-alb-private-subnet-2

11. VPCを削除する

VPC → お使いのVPC → my-alb-vpc を選択 → 「アクション」→「VPCの削除」

12. IAMロールを削除する

IAM → ロール → my-alb-ec2-role を選択 → 「削除」

13. キーペアを削除する（任意）

EC2 → キーペア → my-alb-key を選択 → 「アクション」→「削除」

トラブルシューティング

まとめ

前フェーズ（EC2 + RDS）との最大の違いは、EC2がインターネットに直接露出しない点です。ALBがHTTP:80のトラフィックを受け取り、EC2にはALBを経由したポート8080のみが開放されています。スケールアウト時はターゲットグループにEC2を追加するだけで負荷分散できます。

CloudFormationで同じ構成を自動化したい場合は、CloudFormation版ハンズオンを参照してください。コマンド1本で27リソースを一括デプロイできます。

The post AWSコンソールでALB + EC2(Tomcat) + RDS 3層構成を構築する手順【ヘルスチェック / SG-to-SG制御】 first appeared on CayTech Lab.

はじめに

「コンソールで40〜50分かかったALB + EC2(Tomcat) + RDS環境をコードで再現したい」——それを実現するのが AWS CloudFormation です。

この記事では、template.yaml 1ファイルにVPC・サブネット・セキュリティグループ・IAMロール・SSM Parameter Store・RDS・ALB・ターゲットグループ・EC2（約27リソース）を定義し、コマンド1本で3層構成を一括構築するハンズオンを紹介します。コンソール版（AWSコンソール版ハンズオン）と全く同じ構成をCloudFormationで自動化します。

ローカル環境（VSCode）
  ├── template.yaml（約27リソースを定義）
  └── AWS CLI コマンド
        ↓ スタック作成（コマンド1本）
AWS環境
  └── VPC（10.0.0.0/16）
        ├── パブリックサブネット1（10.0.1.0/24 / AZ-a）← ALB + EC2
        ├── パブリックサブネット2（10.0.2.0/24 / AZ-c）← ALB（2AZ必須）
        ├── プライベートサブネット1（10.0.3.0/24 / AZ-a）← RDS配置
        ├── プライベートサブネット2（10.0.4.0/24 / AZ-c）← DBサブネットグループ用
        ├── ALB SG → EC2 SG → RDS SG（3段階のSG-to-SG制御）
        ├── SSM Parameter Store: /my/alb/db-password
        ├── RDS MySQL 8.0（db.t3.micro）
        ├── ALB（HTTP:80 → ターゲットグループ → EC2:8080）
        └── EC2（t2.micro / Tomcat / UserDataで自動セットアップ）

このハンズオンで体験できること：

• ALB・ターゲットグループ・リスナーを template.yaml で一括定義する方法
• TomcatVersion パラメータでTomcatのバージョンを切り替える設計
• ALBの2AZ要件をCloudFormationでどう表現するか
• delete-stack 1本でALB・RDS・IAMなど27リソースを自動削除

このハンズオンの特徴：

• コンソール版では40〜50分・13ステップかかった作業が、コマンド1本（RDS待ち15〜20分込み）で完了
• delete-stack 1本でALBのリスナー含む全リソースの依存関係を自動解決して削除

この記事は AWSコンソール版ハンズオン の比較記事です。
コンソール版でALB・ターゲットグループ・ヘルスチェックを視覚的に学んだ後に読むと理解が深まります。

-->

CloudFormation vs コンソール：どれだけ違うか

キーワード解説

前提条件

AWS認証確認:

aws sts get-caller-identity

構築されるリソース（約27個）

template.yaml（完全版）

このファイルをそのまま使ってハンズオンを実施できます。C:\my-aws\aws-learning-projects\alb-ec2-rds\template.yaml として保存してください。

AWSTemplateFormatVersion: '2010-09-09'
Description: 'ALB + EC2(Tomcat) + RDS 3-tier architecture hands-on (Phase 2-2)'

Parameters:
  EmployeeId:
    Type: String
    Default: '123456'
    Description: Employee ID used as a prefix for resource names

  KeyName:
    Type: String
    Default: 'my-alb-key'
    Description: Name of an existing EC2 KeyPair

  MyIP:
    Type: String
    Default: '203.0.113.1/32'    # [IMPORTANT] Replace with your own IP (check: curl https://checkip.amazonaws.com)
    Description: Your IP address to allow SSH access (CIDR format)

  DBPassword:
    Type: String
    Default: 'Handson1234!'
    NoEcho: true
    Description: Master password for RDS MySQL (also stored in SSM Parameter Store)

  TomcatVersion:
    Type: String
    Default: '10.1.28'
    Description: Apache Tomcat version (check latest at https://archive.apache.org/dist/tomcat/tomcat-10/)

Resources:

  # VPC and Network
  # ============================================================

  VPC:
    Type: AWS::EC2::VPC
    Properties:
      CidrBlock: 10.0.0.0/16
      EnableDnsSupport: true
      EnableDnsHostnames: true
      Tags:
        - Key: Name
          Value: !Sub 'n${EmployeeId}-alb-vpc'
        - Key: Cost
          Value: !Ref EmployeeId

  InternetGateway:
    Type: AWS::EC2::InternetGateway
    Properties:
      Tags:
        - Key: Name
          Value: !Sub 'n${EmployeeId}-alb-igw'
        - Key: Cost
          Value: !Ref EmployeeId

  IGWAttachment:
    Type: AWS::EC2::VPCGatewayAttachment
    Properties:
      VpcId: !Ref VPC
      InternetGatewayId: !Ref InternetGateway

  # Public Subnet 1 (AZ-a): ALB + EC2 Tomcat
  PublicSubnet1:
    Type: AWS::EC2::Subnet
    Properties:
      VpcId: !Ref VPC
      CidrBlock: 10.0.1.0/24
      AvailabilityZone: !Select [0, !GetAZs '']
      MapPublicIpOnLaunch: true
      Tags:
        - Key: Name
          Value: !Sub 'n${EmployeeId}-alb-public-subnet-1'
        - Key: Cost
          Value: !Ref EmployeeId

  # Public Subnet 2 (AZ-b): ALB requires subnets in at least 2 AZs
  PublicSubnet2:
    Type: AWS::EC2::Subnet
    Properties:
      VpcId: !Ref VPC
      CidrBlock: 10.0.2.0/24
      AvailabilityZone: !Select [1, !GetAZs '']
      MapPublicIpOnLaunch: true
      Tags:
        - Key: Name
          Value: !Sub 'n${EmployeeId}-alb-public-subnet-2'
        - Key: Cost
          Value: !Ref EmployeeId

  # Private Subnet 1 (AZ-a): RDS instance is placed here
  PrivateSubnet1:
    Type: AWS::EC2::Subnet
    Properties:
      VpcId: !Ref VPC
      CidrBlock: 10.0.3.0/24
      AvailabilityZone: !Select [0, !GetAZs '']
      MapPublicIpOnLaunch: false
      Tags:
        - Key: Name
          Value: !Sub 'n${EmployeeId}-alb-private-subnet-1'
        - Key: Cost
          Value: !Ref EmployeeId

  # Private Subnet 2 (AZ-b): required for RDS Subnet Group (minimum 2 AZs)
  PrivateSubnet2:
    Type: AWS::EC2::Subnet
    Properties:
      VpcId: !Ref VPC
      CidrBlock: 10.0.4.0/24
      AvailabilityZone: !Select [1, !GetAZs '']
      MapPublicIpOnLaunch: false
      Tags:
        - Key: Name
          Value: !Sub 'n${EmployeeId}-alb-private-subnet-2'
        - Key: Cost
          Value: !Ref EmployeeId

  PublicRouteTable:
    Type: AWS::EC2::RouteTable
    Properties:
      VpcId: !Ref VPC
      Tags:
        - Key: Name
          Value: !Sub 'n${EmployeeId}-alb-public-rt'
        - Key: Cost
          Value: !Ref EmployeeId

  PublicRoute:
    Type: AWS::EC2::Route
    DependsOn: IGWAttachment
    Properties:
      RouteTableId: !Ref PublicRouteTable
      DestinationCidrBlock: 0.0.0.0/0
      GatewayId: !Ref InternetGateway

  PublicSubnet1RouteTableAssociation:
    Type: AWS::EC2::SubnetRouteTableAssociation
    Properties:
      SubnetId: !Ref PublicSubnet1
      RouteTableId: !Ref PublicRouteTable

  PublicSubnet2RouteTableAssociation:
    Type: AWS::EC2::SubnetRouteTableAssociation
    Properties:
      SubnetId: !Ref PublicSubnet2
      RouteTableId: !Ref PublicRouteTable

  PrivateRouteTable:
    Type: AWS::EC2::RouteTable
    Properties:
      VpcId: !Ref VPC
      Tags:
        - Key: Name
          Value: !Sub 'n${EmployeeId}-alb-private-rt'
        - Key: Cost
          Value: !Ref EmployeeId

  PrivateSubnet1RouteTableAssociation:
    Type: AWS::EC2::SubnetRouteTableAssociation
    Properties:
      SubnetId: !Ref PrivateSubnet1
      RouteTableId: !Ref PrivateRouteTable

  PrivateSubnet2RouteTableAssociation:
    Type: AWS::EC2::SubnetRouteTableAssociation
    Properties:
      SubnetId: !Ref PrivateSubnet2
      RouteTableId: !Ref PrivateRouteTable

  # S3 VPC Gateway Endpoint: free, allows EC2 to reach S3 for dnf package downloads
  S3VPCEndpoint:
    Type: AWS::EC2::VPCEndpoint
    Properties:
      VpcId: !Ref VPC
      ServiceName: !Sub 'com.amazonaws.${AWS::Region}.s3'
      VpcEndpointType: Gateway
      RouteTableIds:
        - !Ref PublicRouteTable
        - !Ref PrivateRouteTable

  # ============================================================
  # IAM
  # ============================================================

  EC2Role:
    Type: AWS::IAM::Role
    Properties:
      RoleName: !Sub 'n${EmployeeId}-alb-ec2-role'
      AssumeRolePolicyDocument:
        Version: '2012-10-17'
        Statement:
          - Effect: Allow
            Principal:
              Service: ec2.amazonaws.com
            Action: 'sts:AssumeRole'
      ManagedPolicyArns:
        - arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore
        - arn:aws:iam::aws:policy/AmazonSSMReadOnlyAccess
      Tags:
        - Key: Name
          Value: !Sub 'n${EmployeeId}-alb-ec2-role'
        - Key: Cost
          Value: !Ref EmployeeId

  EC2InstanceProfile:
    Type: AWS::IAM::InstanceProfile
    Properties:
      InstanceProfileName: !Sub 'n${EmployeeId}-alb-ec2-profile'
      Roles:
        - !Ref EC2Role

  # ============================================================
  # Security Groups
  # ============================================================

  # ALB Security Group: accept HTTP:80 from the internet
  ALBSecurityGroup:
    Type: AWS::EC2::SecurityGroup
    Properties:
      GroupDescription: !Sub 'n${EmployeeId} ALB SG - HTTP:80 from internet'
      VpcId: !Ref VPC
      SecurityGroupIngress:
        - IpProtocol: tcp
          FromPort: 80
          ToPort: 80
          CidrIp: 0.0.0.0/0
          Description: HTTP from internet
      Tags:
        - Key: Name
          Value: !Sub 'n${EmployeeId}-alb-sg'
        - Key: Cost
          Value: !Ref EmployeeId

  # EC2 Security Group: Tomcat:8080 from ALB SG only, SSH from MyIP
  EC2SecurityGroup:
    Type: AWS::EC2::SecurityGroup
    Properties:
      GroupDescription: !Sub 'n${EmployeeId} EC2 Tomcat SG'
      VpcId: !Ref VPC
      SecurityGroupIngress:
        - IpProtocol: tcp
          FromPort: 8080
          ToPort: 8080
          SourceSecurityGroupId: !GetAtt ALBSecurityGroup.GroupId
          Description: Tomcat from ALB SG only (SG-to-SG control)
        - IpProtocol: tcp
          FromPort: 22
          ToPort: 22
          CidrIp: !Ref MyIP
          Description: SSH from my IP
      Tags:
        - Key: Name
          Value: !Sub 'n${EmployeeId}-alb-ec2-sg'
        - Key: Cost
          Value: !Ref EmployeeId

  # RDS Security Group: MySQL:3306 from EC2 SG only
  RDSSecurityGroup:
    Type: AWS::EC2::SecurityGroup
    Properties:
      GroupDescription: !Sub 'n${EmployeeId} RDS MySQL SG (EC2-to-RDS only)'
      VpcId: !Ref VPC
      SecurityGroupIngress:
        - IpProtocol: tcp
          FromPort: 3306
          ToPort: 3306
          SourceSecurityGroupId: !GetAtt EC2SecurityGroup.GroupId
          Description: MySQL from EC2 SG only (SG-to-SG control)
      Tags:
        - Key: Name
          Value: !Sub 'n${EmployeeId}-alb-rds-sg'
        - Key: Cost
          Value: !Ref EmployeeId

  # ============================================================
  # SSM Parameter Store
  # NOTE: CloudFormation can only create String type, not SecureString.
  # ============================================================
  DBPasswordParam:
    Type: AWS::SSM::Parameter
    Properties:
      Name: !Sub '/n${EmployeeId}/alb/db-password'
      Type: String
      Value: !Ref DBPassword
      Description: !Sub 'RDS MySQL master password for n${EmployeeId} ALB hands-on'
      Tags:
        Cost: !Ref EmployeeId

  # ============================================================
  # RDS
  # ============================================================

  DBSubnetGroup:
    Type: AWS::RDS::DBSubnetGroup
    Properties:
      DBSubnetGroupDescription: !Sub 'n${EmployeeId} RDS subnet group (private subnets in 2 AZs)'
      SubnetIds:
        - !Ref PrivateSubnet1
        - !Ref PrivateSubnet2
      Tags:
        - Key: Name
          Value: !Sub 'n${EmployeeId}-alb-rds-subnet-group'
        - Key: Cost
          Value: !Ref EmployeeId

  RDSInstance:
    Type: AWS::RDS::DBInstance
    DeletionPolicy: Delete
    Properties:
      DBInstanceIdentifier: !Sub 'n${EmployeeId}-alb-rds-mysql'
      DBInstanceClass: db.t3.micro
      Engine: mysql
      EngineVersion: '8.0'
      MasterUsername: admin
      MasterUserPassword: !Ref DBPassword
      AllocatedStorage: '20'
      StorageType: gp2
      DBName: sampledb
      DBSubnetGroupName: !Ref DBSubnetGroup
      VPCSecurityGroups:
        - !GetAtt RDSSecurityGroup.GroupId
      MultiAZ: false
      PubliclyAccessible: false
      BackupRetentionPeriod: 0
      DeleteAutomatedBackups: true
      Tags:
        - Key: Name
          Value: !Sub 'n${EmployeeId}-alb-rds-mysql'
        - Key: Cost
          Value: !Ref EmployeeId

  # ============================================================
  # ALB (Application Load Balancer)
  # ============================================================

  # Target Group: routes traffic to EC2 Tomcat on port 8080
  TargetGroup:
    Type: AWS::ElasticLoadBalancingV2::TargetGroup
    Properties:
      Name: !Sub 'n${EmployeeId}-alb-tg'
      Protocol: HTTP
      Port: 8080
      VpcId: !Ref VPC
      TargetType: instance
      HealthCheckProtocol: HTTP
      HealthCheckPort: '8080'
      HealthCheckPath: /
      HealthyThresholdCount: 2
      UnhealthyThresholdCount: 3
      HealthCheckIntervalSeconds: 30
      HealthCheckTimeoutSeconds: 5
      Targets:
        - Id: !Ref EC2Instance
          Port: 8080
      Tags:
        - Key: Name
          Value: !Sub 'n${EmployeeId}-alb-tg'
        - Key: Cost
          Value: !Ref EmployeeId

  # ALB: internet-facing, spans 2 public subnets
  ALB:
    Type: AWS::ElasticLoadBalancingV2::LoadBalancer
    Properties:
      Name: !Sub 'n${EmployeeId}-alb-alb'
      Type: application
      Scheme: internet-facing
      IpAddressType: ipv4
      Subnets:
        - !Ref PublicSubnet1
        - !Ref PublicSubnet2
      SecurityGroups:
        - !GetAtt ALBSecurityGroup.GroupId
      Tags:
        - Key: Name
          Value: !Sub 'n${EmployeeId}-alb-alb'
        - Key: Cost
          Value: !Ref EmployeeId

  # Listener: HTTP:80 -> forward to TargetGroup
  ALBListener:
    Type: AWS::ElasticLoadBalancingV2::Listener
    Properties:
      LoadBalancerArn: !Ref ALB
      Protocol: HTTP
      Port: 80
      DefaultActions:
        - Type: forward
          TargetGroupArn: !Ref TargetGroup

  # ============================================================
  # EC2 (AP Server with Tomcat)
  # ============================================================

  EC2Instance:
    Type: AWS::EC2::Instance
    Properties:
      ImageId: '{{resolve:ssm:/aws/service/ami-amazon-linux-latest/al2023-ami-kernel-default-x86_64}}'
      InstanceType: t2.micro
      KeyName: !Ref KeyName
      SubnetId: !Ref PublicSubnet1
      SecurityGroupIds:
        - !GetAtt EC2SecurityGroup.GroupId
      IamInstanceProfile: !Ref EC2InstanceProfile
      UserData:
        Fn::Base64: !Sub |
          #!/bin/bash
          set -xe
          exec > >(tee /var/log/user-data.log) 2>&1

          dnf update -y
          dnf install -y java-17-amazon-corretto wget

          # Install Tomcat
          # Check latest version at: https://archive.apache.org/dist/tomcat/tomcat-10/
          TOMCAT_VERSION="${TomcatVersion}"
          cd /opt
          wget -q https://archive.apache.org/dist/tomcat/tomcat-10/v${!TOMCAT_VERSION}/bin/apache-tomcat-${!TOMCAT_VERSION}.tar.gz
          tar xzf apache-tomcat-${!TOMCAT_VERSION}.tar.gz
          mv apache-tomcat-${!TOMCAT_VERSION} tomcat
          chmod +x /opt/tomcat/bin/*.sh

          # Deploy simple web application to ROOT context
          cat > /opt/tomcat/webapps/ROOT/index.html << 'HTMLEOF'
          <!DOCTYPE html>
          <html>
          <body>
          <h1>AP Server - Phase 2-2 ALB + Tomcat + RDS</h1>
          <p>This server is load balanced by ALB and connects to RDS MySQL in the private subnet.</p>
          </body>
          </html>
          HTMLEOF

          # Start Tomcat
          /opt/tomcat/bin/startup.sh
      Tags:
        - Key: Name
          Value: !Sub 'n${EmployeeId}-alb-ap-instance'
        - Key: Cost
          Value: !Ref EmployeeId

Outputs:
  ALBEndpoint:
    Description: ALB DNS name - access via browser
    Value: !Sub 'http://${ALB.DNSName}'

  EC2PublicIP:
    Description: EC2 Tomcat server public IP (for SSH)
    Value: !GetAtt EC2Instance.PublicIp

  RDSEndpoint:
    Description: RDS MySQL endpoint hostname
    Value: !GetAtt RDSInstance.Endpoint.Address

  DBPasswordParamName:
    Description: SSM Parameter Store path for RDS password
    Value: !Ref DBPasswordParam

  SSHCommand:
    Description: SSH command to EC2 AP server
    Value: !Sub 'ssh -i C:\Users\username\.ssh\${KeyName}.pem ec2-user@${EC2Instance.PublicIp}'

  MySQLConnectCommand:
    Description: MySQL connect command (run FROM the EC2 AP server)
    Value: !Sub 'mysql -h ${RDSInstance.Endpoint.Address} -u admin -pHandson1234! sampledb'

作業順序

⓪ 自分のIPアドレスを確認する
      ↓
① キーペアを作成する（コンソールで実施）
      ↓
② プロジェクトフォルダに移動する
      ↓
③ スタックを作成する（aws cloudformation create-stack）
      ↓
④ 作成完了・Outputsを確認する（RDSは15〜20分かかる）
      ↓
⑤ 動作確認（ALBアクセス・SSH・RDS接続）
      ↓
⑥ スタックを削除する（aws cloudformation delete-stack）

【重要】⓪ 自分のIPアドレスを確認する

curl https://checkip.amazonaws.com

控えておく情報: 自分のIPアドレス（例: 203.0.113.1）

① キーペアの作成（コンソールで実施）

CloudFormationではキーペアのダウンロードができないため、コンソールで先に作成します。

AWSコンソール → EC2 → キーペア → 「キーペアを作成」

ダウンロードされた my-alb-key.pem を保存します。

C:\Users\ユーザー名\.ssh\my-alb-key.pem

② プロジェクトフォルダに移動する

VSCodeのターミナル（CMD）を開き、プロジェクトフォルダに移動します。

cd C:\my-aws\aws-learning-projects\alb-ec2-rds

template.yaml があることを確認します。

dir template.yaml

③ スタックの作成

以下のコマンドを実行します。203.0.113.1 は⓪で確認した自分のIPアドレスに置き換えます。

aws cloudformation create-stack ^
  --stack-name my-alb-stack ^
  --template-body file://template.yaml ^
  --region ap-northeast-1 ^
  --capabilities CAPABILITY_NAMED_IAM ^
  --parameters ^
    ParameterKey=EmployeeId,ParameterValue=123456 ^
    ParameterKey=KeyName,ParameterValue=my-alb-key ^
    ParameterKey=MyIP,ParameterValue=203.0.113.1/32 ^
    ParameterKey=DBPassword,ParameterValue=Handson1234!

TomcatVersion パラメータについて: デフォルト値は 10.1.28。変更する場合は ParameterKey=TomcatVersion,ParameterValue=10.1.xx を追加します。利用可能なバージョンは https://archive.apache.org/dist/tomcat/tomcat-10/ で確認します。

CAPABILITY_NAMED_IAM について: EC2Role のように名前を指定したIAMリソースを作成する場合に必要なフラグです。

成功すると以下のような StackId が表示されます。

{
    "StackId": "arn:aws:cloudformation:ap-northeast-1:123456789012:stack/my-alb-stack/xxxxx"
}

④ 作成完了・Outputsの確認

注意: RDSの作成には約15〜20分かかります。CREATE_IN_PROGRESS が続く間は正常です。

作成状況の確認

aws cloudformation describe-stacks ^
  --stack-name my-alb-stack ^
  --query "Stacks[0].StackStatus" ^
  --output text

Outputs（接続情報）の確認

CREATE_COMPLETE になったら以下を実行します。

aws cloudformation describe-stacks ^
  --stack-name my-alb-stack ^
  --query "Stacks[0].Outputs" ^
  --output table

+----------------------+------------------------------------------------------------------+
|  OutputKey           |  OutputValue                                                     |
+----------------------+------------------------------------------------------------------+
|  ALBEndpoint         |  http://my-alb-alb-1234567890.ap-northeast-1.elb.amazonaws.com  |
|  EC2PublicIP         |  x.x.x.x                                                        |
|  RDSEndpoint         |  my-alb-rds-mysql.xxxxx.ap-northeast-1.rds.amazonaws.com        |
|  DBPasswordParamName |  /my/alb/db-password                                             |
|  SSHCommand          |  ssh -i C:\Users\...\.ssh\my-alb-key.pem ec2-user@x.x.x.x       |
+----------------------+------------------------------------------------------------------+

控えておく情報: ALBEndpoint、EC2PublicIP、RDSEndpoint

⑤ 動作確認

ALBのヘルスチェック確認

EC2 → ターゲットグループ → my-alb-tg → 「ターゲット」タブ

EC2のステータスが 「healthy」 になるまで待ちます（EC2起動後5〜10分）。

Tomcatの起動はEC2が「実行中」になってからさらに数分かかります。initial や unhealthy が続く場合はしばらく待ちます。

ALB経由でWebアクセス確認

Outputsに表示された ALBEndpoint をブラウザで開きます。

http://（ALBEndpointのDNS名）

「AP Server - Phase 2-2 ALB + Tomcat + RDS」と表示されれば正常です。

EC2にSSH接続する

Outputsの SSHCommand を実行します（パスは実際のパスに修正します）。

ssh -i C:\Users\ユーザー名\.ssh\my-alb-key.pem ec2-user@（EC2PublicIP）

Parameter StoreからDBパスワードを取得する

EC2に接続した状態で実行します。

aws ssm get-parameter \
  --name "/my/alb/db-password" \
  --query "Parameter.Value" \
  --output text \
  --region ap-northeast-1

Handson1234! が表示されれば成功です。

--with-decryption が不要な理由: CloudFormationで作成したパラメータは Type: String（平文）のため、フラグなしでそのまま値が返ります。コンソールで SecureString として作成した場合は --with-decryption が必要です（コンソール版参照）。

RDSへのMySQL接続テスト

# RDSエンドポイントをOutputsの値に置き換える
RDS_ENDPOINT="my-alb-rds-mysql.xxxxxxxxxxxxxxxx.ap-northeast-1.rds.amazonaws.com"

# Parameter StoreからDBパスワードを取得して接続（String型のため--with-decryption不要）
DB_PASSWORD=$(aws ssm get-parameter \
  --name "/my/alb/db-password" \
  --query "Parameter.Value" \
  --output text \
  --region ap-northeast-1)

mysql -h $RDS_ENDPOINT -u admin -p"$DB_PASSWORD" sampledb

接続成功後、SQL操作を確認します。

-- テーブル作成
CREATE TABLE items (
  id INT AUTO_INCREMENT PRIMARY KEY,
  name VARCHAR(100),
  created_at TIMESTAMP DEFAULT CURRENT_TIMESTAMP
);

-- データ挿入
INSERT INTO items (name) VALUES ('Apple'), ('Banana');

-- データ確認
SELECT * FROM items;

-- 後片付け
DROP TABLE items;

EXIT;

EC2からSSH接続を切断します。

exit

⑥ スタックの削除

課金を止めるために、ハンズオン完了後は必ず削除します。

aws cloudformation delete-stack ^
  --stack-name my-alb-stack ^
  --region ap-northeast-1

注意: RDS削除には約10〜15分かかります。コマンド実行後もしばらく待つ必要があります。

削除状況の確認

aws cloudformation describe-stacks ^
  --stack-name my-alb-stack ^
  --query "Stacks[0].StackStatus" ^
  --output text

削除完了の確認（以下のエラーが表示されれば削除完了）:

aws cloudformation describe-stacks ^
  --stack-name my-alb-stack ^
  --region ap-northeast-1

An error occurred (ValidationError) when calling the DescribeStacks operation:
Stack with id my-alb-stack does not exist

キーペアの手動削除

キーペアはCloudFormationで管理していないため手動で削除します。

EC2 → キーペア → my-alb-key を選択 → 「アクション」→「削除」

コンソール版との比較

トラブルシューティング

失敗時の詳細確認コマンド

aws cloudformation describe-stack-events ^
  --stack-name my-alb-stack ^
  --query "StackEvents[?ResourceStatus=='CREATE_FAILED'].[ResourceType,ResourceStatusReason]" ^
  --output table

まとめ

CloudFormation版の最大のメリットは再現性と削除の簡単さです。コンソールでは40〜50分・13ステップかかった作業が、コマンド1本（待ち時間込みで約20分）で完了します。

コンソール操作でALB・ターゲットグループ・ヘルスチェックを視覚的に確認したい場合は、AWSコンソール版ハンズオンを参照してください。

The post CloudFormationでALB + EC2(Tomcat) + RDS 3層構成を自動構築する手順【27リソース一括デプロイ / コンソール版との比較付き】 first appeared on CayTech Lab.

はじめに

「EC2にMariaDBをインストールしてDBサーバを自分で管理するのは大変……」——その悩みを解決するのが Amazon RDS（マネージド型データベースサービス） です。

この記事では、AWSコンソール（GUI）のみを使って、RDS MySQL 8.0インスタンスとEC2（APサーバ）をゼロから構築し、EC2からRDSへMySQL接続を確認するハンズオンを紹介します。

インターネット
  ↓ HTTP(80) / SSH(22)  ← 自分のIPのみ
インターネットゲートウェイ（my-rds-igw）
  ↓
[VPC: 10.0.0.0/16]
  ├── パブリックサブネット（10.0.1.0/24）[AZ-a]
  │     └── EC2 APサーバ（Apache + mariadb client）
  │           └── IAMロール → SSM Parameter Store からパスワード取得
  │                     ↓ MySQL:3306（SG-to-SG制御）
  ├── DBサブネットグループ
  │     ├── プライベートサブネット1（10.0.2.0/24）[AZ-a]  ← RDS配置
  │     │     └── RDS MySQL 8.0（db.t3.micro）
  │     └── プライベートサブネット2（10.0.3.0/24）[AZ-c]  ← 2AZ要件用
  └── SSM Parameter Store: /my/rds/db-password

このハンズオンで体験できること：

• EC2にDBをインストールする方式との違いを体感
• RDS DBサブネットグループが「2AZ以上必須」な理由を理解
• SSM Parameter Storeでパスワードをコードに書かずに安全に管理する方法
• SG-to-SG制御でRDSをEC2からのみ許可する設計

このハンズオンのポイント：

前フェーズ（EC2 + MariaDB）では自分でDBを管理していましたが、今回はAWSがOSのメンテナンス・パッチ・バックアップを自動管理するRDSに置き換えます。ネットワーク設計はカスタムVPC（3サブネット）で実際の本番環境に近い構成になります。

この記事は CloudFormation版ハンズオン の比較記事です。
コンソール操作でRDS・DBサブネットグループ・Parameter Storeを視覚的に学びたい方向けです。

-->

キーワード解説

前フェーズとの違い

使用するAWSサービス

注意: RDSを稼働させたままにすると課金されます。ハンズオン後は必ず削除してください。

構築するリソース一覧

全体の作業順序

⓪ IPアドレス確認
      ↓
① キーペア作成
      ↓
② VPC作成
      ↓
③ サブネット作成（パブリック1 + プライベート2）
      ↓
④ インターネットゲートウェイ作成・アタッチ
      ↓
⑤ ルートテーブル設定
      ↓
⑥ セキュリティグループ作成（EC2用 → RDS用）
      ↓
⑦ IAMロール作成
      ↓
⑧ SSM Parameter Store にパスワードを登録
      ↓
⑨ RDS DBサブネットグループ作成
      ↓
⑩ RDS MySQL インスタンス作成（※約10〜15分かかる）
      ↓
⑪ EC2インスタンス起動
      ↓
⑫ 動作確認（EC2 → RDS接続）
      ↓
⑬ リソース削除

【重要】⓪ 自分のIPアドレスを確認する

curl https://checkip.amazonaws.com

またはブラウザで https://checkip.amazonaws.com にアクセスして確認します。

控えておく情報: 自分のIPアドレス（例: 203.0.113.1）

セキュリティグループで 203.0.113.1/32 の形式（末尾に /32）で使用します。

① キーペアの作成

AWSコンソール → EC2 → ネットワーク＆セキュリティ → キーペア → 「キーペアを作成」

「キーペアを作成」をクリックすると my-rds-mysql-key.pem がダウンロードされます。

C:\Users\ユーザー名\.ssh\my-rds-mysql-key.pem

② VPCの作成

AWSコンソール → VPC → お使いのVPC → 「VPCを作成」

「VPCを作成」をクリック。

VPCとは: AWS内に作る仮想的なプライベートネットワーク。10.0.0.0/16 は「10.0.0.0〜10.0.255.255」の65,536個のIPアドレスを使える範囲です。

③ サブネットの作成（3つ）

AWSコンソール → VPC → サブネット → 「サブネットを作成」

「VPC ID」に my-rds-vpc を選択してから、以下の3つを作成します。

「新しいサブネットを追加」ボタンで複数まとめて作成できます。

サブネット1: パブリックサブネット（EC2用）

サブネット2: プライベートサブネット1（RDS配置先）

サブネット3: プライベートサブネット2（DBサブネットグループ用）

なぜプライベートサブネットが2つ必要か: RDS DBサブネットグループは「2つ以上の異なるAZ」にあるサブネットを登録する必要があります。RDSインスタンス自体はAZ-aの private-subnet-1 に置きますが、グループ定義にはAZ-cの private-subnet-2 も必要です。これはRDSのMulti-AZフェイルオーバーに備えた仕様です。

「サブネットを作成」をクリック。

④ インターネットゲートウェイの作成・アタッチ

作成

AWSコンソール → VPC → インターネットゲートウェイ → 「インターネットゲートウェイを作成」

「インターネットゲートウェイを作成」をクリック。

VPCへのアタッチ

作成したIGWを選択 → 「アクション」→「VPCにアタッチ」→ my-rds-vpc を選択 → 「インターネットゲートウェイのアタッチ」

ステータスが 「Attached」 になることを確認します。

⑤ ルートテーブルの設定

5-1. パブリック用ルートテーブルの作成

AWSコンソール → VPC → ルートテーブル → 「ルートテーブルを作成」

作成後、my-public-rt を選択 → 「ルート」タブ → 「ルートを編集」→「ルートを追加」

「変更を保存」をクリック。

次に「サブネットの関連付け」タブ → 「サブネットの関連付けを編集」→ my-public-subnet にチェック → 「関連付けを保存」

5-2. プライベート用ルートテーブルの作成

同様に「ルートテーブルを作成」

「サブネットの関連付けを編集」→ my-private-subnet-1 と my-private-subnet-2 の両方にチェック → 「関連付けを保存」

プライベートルートテーブルにはインターネットへのルートを追加しません。RDSはインターネットに出る必要がないため、VPC内のローカル通信のみで十分です。

⑥ セキュリティグループの作成

6-1. EC2用セキュリティグループ

AWSコンソール → EC2 → セキュリティグループ → 「セキュリティグループを作成」

インバウンドルール:

アウトバウンドルール:

「セキュリティグループを作成」をクリック。

6-2. RDS用セキュリティグループ

同様に「セキュリティグループを作成」

インバウンドルール:

ポイント（SG-to-SG制御）: ソースにIPアドレスではなくセキュリティグループを指定します。my-rds-ec2-sg に所属するEC2インスタンスからの通信のみ許可でき、インターネットからのアクセスを完全に遮断できます。

「セキュリティグループを作成」をクリック。

⑦ IAMロールの作成

AWSコンソール → IAM → ロール → 「ロールを作成」

ステップ1

ステップ2: ポリシーのアタッチ

以下の2つを検索してチェックを入れます。

ステップ3

タグを追加: Cost = 123456

「ロールを作成」をクリック。

⑧ SSM Parameter Store にDBパスワードを登録する

Parameter Storeは、DBパスワードなどの設定値をコードに書かずに安全に管理するサービスです。EC2上のアプリケーションは実行時にParameter Storeから値を取得して使用します。

AWSコンソール → Systems Manager → パラメータストア → 「パラメータの作成」

「パラメータの作成」をクリック。

SecureStringとは: KMSで暗号化して保管するタイプです。通常の String と違い、値を取得する際に適切なIAM権限が必要です。パスワードやAPIキーなどの機密情報はSecureStringを使いましょう。

⑨ RDS DBサブネットグループの作成

AWSコンソール → Aurora and RDS → サブネットグループ → 「DBサブネットグループを作成」

サブネットの追加:

「作成」をクリック。

DBサブネットグループとは: RDSインスタンスを配置できるサブネットを登録した論理グループです。RDSはこのグループ内のサブネットにインスタンスを配置します。最低2つの異なるAZのサブネットが必要な理由は、RDSがMulti-AZフェイルオーバーに対応するための仕様です。

⑩ RDS MySQL インスタンスの作成

AWSコンソール → Aurora and RDS → データベース → 「データベースの作成 ▲」→「フル設定」