AWS ECS Fargate + RDS 2層アーキテクチャハンズオン手順書 v1.0

1. アーキテクチャ概要

🌐 インターネット（エンドユーザー）

↕ HTTP 80

VPC: handson-vpc (10.0.0.0/16) ／リージョン: ap-northeast-1（東京）

⚖️

ALB（handson-alb）― インターネット向け

パブリックサブネット 1a + 1c に配置／ HTTP:80 ／ ECSタスク2つに振り分け

↕ HTTP 8080

📦

ECS Fargate タスク ×2 — プライベートサブネット（1a・1c）

handson-subnet-private-ecs-1a (10.0.3.0/24) ／ handson-subnet-private-ecs-1c (10.0.4.0/24)

📦 Fargateコンテナ → ⚙️ Node.js（:8080） → DockerイメージはECRから取得

↕ PostgreSQL 5432

🗄️

RDS PostgreSQL 16（Multi-AZ）― プライベートサブネット（DB）

Primary: 10.0.5.0/24 (1a) ／ Standby: 10.0.6.0/24 (1c) ／自動フェイルオーバー

EC2版との主な違いEC2インスタンスの代わりにECS Fargateを使用します。サーバ管理（OS更新・パッチ適用）が不要になり、Dockerコンテナ単位でのデプロイ・スケーリングが可能です。アプリはECR（Elastic Container Registry）に格納したDockerイメージとして実行されます。

🔄 EC2版との構成比較

項目	EC2版	ECS版（本手順書）
実行環境	EC2インスタンス（OS管理必要）	Fargate（サーバレスコンテナ）
アプリ管理	Nginx + Node.js + pm2	Dockerコンテナ（Node.js:8080）
イメージ管理	不要	ECR（Dockerレジストリ）
スケーリング	インスタンス追加	タスク数変更（数秒〜数分）
接続・デバッグ	Session Manager（EC2接続）	ECS Exec（コンテナ接続）
DB初期化	psqlコマンド手動実行	アプリ起動時に自動実行
ALBターゲット	インスタンス型	IP型（Fargate必須）

構成リソース一覧

リソース	名前	設定値
VPC	handson-vpc	10.0.0.0/16
パブリックサブネット（ALB-1a）	handson-subnet-public-1a	10.0.1.0/24 ／ ap-northeast-1a
パブリックサブネット（ALB-1c）	handson-subnet-public-1c	10.0.2.0/24 ／ ap-northeast-1c
プライベートサブネット（ECS-1a）	handson-subnet-private-ecs-1a	10.0.3.0/24 ／ ap-northeast-1a
プライベートサブネット（ECS-1c）	handson-subnet-private-ecs-1c	10.0.4.0/24 ／ ap-northeast-1c
プライベートサブネット（DB-1a）	handson-subnet-private-db-1a	10.0.5.0/24 ／ ap-northeast-1a
プライベートサブネット（DB-1c）	handson-subnet-private-db-1c	10.0.6.0/24 ／ ap-northeast-1c
Internet Gateway	handson-igw	VPCにアタッチ
NAT Gateway	handson-natgw	public-1a に配置／ ECSタスクのECR取得・CloudWatch用
ECR リポジトリ	handson-ecr	プライベートリポジトリ
ECS クラスター	handson-ecs-cluster	Fargate（サーバレス）
ECS タスク定義	handson-task-def	Fargate / CPU:256 / Mem:512MB
ECS サービス	handson-ecs-service	タスク数: 2 ／プライベートサブネット配置
ALB	handson-alb	インターネット向け／ HTTP:80
ターゲットグループ	handson-tg-ecs	IP型 / HTTP:8080 ／ ECSタスク2つ
RDS	handson-rds	PostgreSQL 16 ／ db.t3.micro ／ Multi-AZ
セキュリティグループ	sg-alb / sg-ecs / sg-rds	3つ

コスト目安（数時間で削除した場合）

リソース	概算料金	備考
ECS Fargate タスク × 2（0.25vCPU / 0.5GB）	約$0.02/時間	タスク停止で課金なし
ALB × 1台	約$0.028/時間	ハンズオン後すぐ削除
RDS PostgreSQL db.t3.micro Multi-AZ	約$0.052/時間	必ず削除すること
NAT Gateway × 1台	約$0.062/時間	ECSのECR取得・CloudWatch送信に必要
ECR（ストレージ）	約$0.10/GB/月	数十MBのため無視できる

重要ALB・RDS・NAT Gatewayは時間課金です。ハンズオン終了後は必ず全リソースを削除してください。

2. 前提条件・事前準備

項目	内容
AWSアカウント	AdministratorAccess権限を持つIAMユーザー
リージョン	東京（ap-northeast-1）― コンソール右上で必ず確認
ブラウザ	Chrome / Edge / Firefox（最新版）
追加ツール	不要（Dockerイメージ作成はAWS CloudShellで実施）

CloudShellとはAWSマネジメントコンソール上で使えるブラウザベースのターミナルです。AWS CLI・Docker が事前インストール済みで、追加セットアップ不要でDockerイメージのビルド・プッシュが可能です。

AWSアカウントIDの確認（手順7で使用）

コンソール右上の アカウント名 / メールアドレス をクリック → 「アカウント ID」（12桁の数字）をメモしてください。

注意アカウントIDは後の手順（ECRログイン・イメージURI）で必要です。
例: 123456789012

3. IAMロールの作成（ECSタスク実行ロール）

IAM

ECSがECRからイメージを取得し、CloudWatch Logsにログを送信するために必要なロールを作成します。

EC2版との違いEC2版では「Session Manager接続用」のロールを作成しましたが、ECS版では「ECSタスク実行ロール」を作成します。コンテナのライフサイクルはAWSが管理するため、SSMは不要です。

IAM›左メニュー「ロール」›ロールを作成

1

信頼されたエンティティの選択

項目	値
エンティティタイプ	AWSのサービス
ユースケース	Elastic Container Service（「ECS」で検索）
ユースケース（詳細）	Elastic Container Service Task

許可ポリシーの追加

検索欄に AmazonECSTaskExecutionRolePolicy と入力 → チェックを入れる

このポリシーが許可する操作ECRからのイメージプル、CloudWatch Logsへのログ送信など、ECSタスク実行に必要な権限が含まれています。

ロール名を入力して作成

項目	値
ロール名	handson-ecs-task-execution-role

ロールを作成

4. VPC・ネットワーク構築

4-1. VPCの作成

VPC›「お使いのVPC」›VPCを作成

1

VPC設定を入力

項目	値
作成するリソース	VPCのみ
名前タグ	handson-vpc
IPv4 CIDR	10.0.0.0/16
テナンシー	デフォルト

VPCを作成

2

DNS ホスト名を有効化

handson-vpc を選択 → アクション → 「VPCの設定を編集」

項目	値
DNS ホスト名を有効化	チェックを入れる（有効化）

保存

4-2. サブネットの作成（6つ）

VPC›「サブネット」›サブネットを作成

1

VPCに handson-vpc を選択し、6つのサブネットを追加

サブネット名	AZ	CIDR	用途
handson-subnet-public-1a	ap-northeast-1a	10.0.1.0/24	ALB-1a
handson-subnet-public-1c	ap-northeast-1c	10.0.2.0/24	ALB-1c
handson-subnet-private-ecs-1a	ap-northeast-1a	10.0.3.0/24	ECS-1a
handson-subnet-private-ecs-1c	ap-northeast-1c	10.0.4.0/24	ECS-1c
handson-subnet-private-db-1a	ap-northeast-1a	10.0.5.0/24	DB-1a
handson-subnet-private-db-1c	ap-northeast-1c	10.0.6.0/24	DB-1c

「新しいサブネットを追加」ボタンで6つをまとめて作成し、サブネットを作成

2

パブリックサブネット 2つのパブリックIP自動割り当てを有効化（ALB用）

handson-subnet-public-1a を選択 → アクション → 「サブネットの設定を編集」

項目	値
パブリック IPv4 アドレスの自動割り当てを有効化	チェックを入れる

保存

handson-subnet-public-1c についても同様に設定します。

NoteECSプライベートサブネットへのパブリックIP割り当ては不要です。FargateタスクはNAT GW経由でインターネットにアクセスします。

4-3. Internet Gatewayの作成・アタッチ

VPC›「インターネットゲートウェイ」›インターネットゲートウェイを作成

1

作成してVPCにアタッチ

項目	値
名前タグ	handson-igw

インターネットゲートウェイを作成

作成後、画面上部のバナーの「VPCにアタッチ」をクリック（またはアクション → 「VPCにアタッチ」）

項目	値
使用可能な VPC	handson-vpc（プルダウンから選択）

インターネットゲートウェイのアタッチ

状態が 「Attached」 になっていることを確認します。

4-4. NAT Gatewayの作成

VPC›「NAT ゲートウェイ」›NAT ゲートウェイを作成

1

NAT Gatewayを作成

項目	値
名前	handson-natgw
サブネット	handson-subnet-public-1a（パブリックサブネットに配置）
接続タイプ	パブリック
Elastic IP 割り当て ID	Elastic IP を割り当てをクリックして新規EIPを取得

NAT ゲートウェイを作成

注意NAT Gatewayのステータスが 「Available」 になるまで約1〜3分かかります。次の手順（ルートテーブル設定）を進める前に「Available」を確認してください。

NAT Gatewayの役割（ECS版）プライベートサブネットのFargateタスクは、ECRからDockerイメージをプルし、CloudWatch Logsにログを送信する際にインターネット接続が必要です。NAT GWがそのアウトバウンド通信を仲介します。

4-5. ルートテーブルの設定

VPC›「ルートテーブル」›ルートテーブルを作成

1

パブリック用ルートテーブルを作成

項目	値
名前	handson-rt-public
VPC	handson-vpc

ルートテーブルを作成

2

インターネットへのルートを追加

handson-rt-public を選択 → 「ルート」タブ → ルートを編集 → ルートを追加

送信先	ターゲット
0.0.0.0/0	Internet Gateway → handson-igw

変更を保存

3

パブリックサブネット 2つを関連付け

「サブネットの関連付け」タブ → サブネットの関連付けを編集

以下 2つにチェック → 関連付けを保存

handson-subnet-public-1a
handson-subnet-public-1c

4

ECS用プライベートルートテーブルを作成

新しいルートテーブルを作成します：

項目	値
名前	handson-rt-private-ecs
VPC	handson-vpc

ルートテーブルを作成

5

NAT GatewayへのルートをECS用ルートテーブルに追加

handson-rt-private-ecs を選択 → 「ルート」タブ → ルートを編集 → ルートを追加

送信先	ターゲット
0.0.0.0/0	NAT Gateway → handson-natgw

変更を保存

6

ECSプライベートサブネット 2つを関連付け

「サブネットの関連付け」タブ → サブネットの関連付けを編集

以下 2つにチェック → 関連付けを保存

handson-subnet-private-ecs-1a
handson-subnet-private-ecs-1c

NoteDBサブネットはデフォルトのメインルートテーブル（ローカル通信のみ）を使用します。RDSはインターネットに接続しません。

5. セキュリティグループの作成（3つ）

VPC›「セキュリティグループ」›セキュリティグループを作成

作成順序依存関係があるため、必ず ① → ② → ③ の順に作成してください。

EC2版との違いsg-ecsのインバウンドポートが 8080 になります（EC2版は80でNginxが受信していましたが、ECS版はNode.jsが直接8080で受信します）。

1

① sg-alb（ALB用）ALB

項目	値
セキュリティグループ名	sg-alb
説明	ALB security group
VPC	handson-vpc

インバウンドルール：

タイプ	プロトコル	ポート	ソース	説明
HTTP	TCP	80	0.0.0.0/0	インターネットからのHTTP
HTTPS	TCP	443	0.0.0.0/0	インターネットからのHTTPS

アウトバウンドルール：デフォルト（すべてのトラフィックを許可）のまま

セキュリティグループを作成

2

② sg-ecs（ECS Fargateタスク用）ECS

項目	値
セキュリティグループ名	sg-ecs
説明	ECS Fargate task security group
VPC	handson-vpc

インバウンドルール：

タイプ	プロトコル	ポート	ソース	説明
カスタムTCP	TCP	8080	sg-alb のSG ID	ALBからのみ許可（Node.jsポート）

ポイントECS FargateではNginxを挟まないため、ALBからNode.jsの8080ポートに直接アクセスします。ALBのSGをソースに指定することでALB経由のみを許可します。

セキュリティグループを作成

3

③ sg-rds（RDS用）DB層

項目	値
セキュリティグループ名	sg-rds
説明	RDS PostgreSQL security group
VPC	handson-vpc

インバウンドルール：

タイプ	プロトコル	ポート	ソース	説明
PostgreSQL	TCP	5432	sg-ecs のSG ID	ECSタスクからのみ許可

セキュリティグループを作成

6. ECRリポジトリの作成

ECR

DockerイメージをAWS上に保存するためのプライベートリポジトリを作成します。

ECR（Elastic Container Registry）›左メニュー「リポジトリ」›リポジトリを作成

ECRへのアクセス方法コンソール上部の検索欄に「ECR」または「Elastic Container Registry」と入力してアクセスします。

1

リポジトリを作成

項目	値
可視性設定	プライベート
リポジトリ名	handson-ecr
タグのイミュータビリティ	無効（デフォルト）
暗号化設定	AES-256（デフォルト）

リポジトリを作成

URIをメモ作成後、リポジトリ一覧に表示される 「URI」 をメモしてください。次の手順で使用します。
例: 123456789012.dkr.ecr.ap-northeast-1.amazonaws.com/handson-ecr

7. Dockerイメージの作成・プッシュ（CloudShell）

ECRECS

AWSコンソール上のCloudShellを使って、Node.jsアプリのDockerイメージをビルドしECRにプッシュします。

CloudShellを開く

AWSコンソール上部のツールバー CloudShell（ターミナルアイコン）をクリック

CloudShellの特徴AWS CLI・Docker・gitが事前にインストールされています。AWSアカウントの認証情報が自動的に設定されるため、追加設定なしですぐ使えます。

1

作業ディレクトリとアプリファイルを作成

mkdir ~/handson-app && cd ~/handson-app

package.json の作成：

cat > package.json <<'EOF'
{
  "name": "handson-app",
  "version": "1.0.0",
  "main": "app.js",
  "dependencies": {
    "express": "^4.18.0",
    "pg": "^8.11.0"
  }
}
EOF

2

Node.jsアプリ（app.js）を作成

cat > app.js <<'EOF'
const express = require('express');
const { Pool } = require('pg');
const os = require('os');
const app = express();

const pool = new Pool({
  host:     process.env.DB_HOST,
  port:     5432,
  user:     process.env.DB_USER     || 'admin',
  password: process.env.DB_PASSWORD,
  database: process.env.DB_NAME     || 'handson_db',
  ssl:      { rejectUnauthorized: false },
  max:      10
});

async function initDb() {
  await pool.query(`
    CREATE TABLE IF NOT EXISTS users (
      id         SERIAL PRIMARY KEY,
      name       VARCHAR(100) NOT NULL,
      email      VARCHAR(200) NOT NULL UNIQUE,
      created_at TIMESTAMP DEFAULT CURRENT_TIMESTAMP
    )
  `);
  const { rowCount } = await pool.query('SELECT 1 FROM users LIMIT 1');
  if (rowCount === 0) {
    await pool.query(`
      INSERT INTO users (name, email) VALUES
        ('田中 太郎', 'taro@example.com'),
        ('鈴木 花子', 'hanako@example.com'),
        ('佐藤 一郎', 'ichiro@example.com')
    `);
    console.log('Sample data inserted');
  }
  console.log('DB initialized');
}

initDb().catch(err => console.error('DB init error:', err.message));

app.get('/health', (req, res) => {
  res.json({ status: 'ok', container: os.hostname() });
});

app.get('/', (req, res) => {
  res.json({
    message: 'ECS Fargate app is running!',
    container: os.hostname(),
    tier: 'ecs-fargate'
  });
});

app.get('/users', async (req, res) => {
  try {
    const result = await pool.query('SELECT * FROM users ORDER BY id');
    res.json({ count: result.rowCount, users: result.rows, container: os.hostname() });
  } catch (err) {
    res.status(500).json({ error: err.message, container: os.hostname() });
  }
});

app.listen(8080, () => {
  console.log('App listening on port 8080');
});
EOF

EC2版との違い環境変数（process.env.DB_HOST など）でDB接続情報を受け取ります。ハードコードせずに、ECSタスク定義で後から設定します。また、テーブル作成・サンプルデータ投入をアプリ起動時に自動実行します（initDb()）。

3

Dockerfile を作成

cat > Dockerfile <<'EOF'
FROM node:20-alpine
WORKDIR /app
COPY package.json .
RUN npm install --production
COPY app.js .
EXPOSE 8080
CMD ["node", "app.js"]
EOF

4

ECRへのログイン

【AWSアカウントID】 を手順2でメモした12桁のIDに置き換えて実行します：

aws ecr get-login-password --region ap-northeast-1 | \
  docker login --username AWS --password-stdin \
  【AWSアカウントID】.dkr.ecr.ap-northeast-1.amazonaws.com

Login Succeeded と表示されれば成功です。

5

Dockerイメージをビルド・タグ付け・プッシュ

【AWSアカウントID】 を置き換えて実行します：

# イメージビルド
docker build -t handson-app .

# ECR用にタグ付け
docker tag handson-app:latest \
  【AWSアカウントID】.dkr.ecr.ap-northeast-1.amazonaws.com/handson-ecr:latest

# ECRにプッシュ
docker push \
  【AWSアカウントID】.dkr.ecr.ap-northeast-1.amazonaws.com/handson-ecr:latest

latest: digest: sha256:... と表示されれば成功です。

確認ECRコンソール → handson-ecr リポジトリ → 「イメージ」タブに latest タグのイメージが表示されることを確認します。

8. RDS サブネットグループの作成

DB層

RDS Multi-AZ配置に必要な、2AZにまたがるサブネットグループを作成します。

RDS›左メニュー「サブネットグループ」›DB サブネットグループを作成

1

サブネットグループの設定

項目	値
名前	handson-db-subnet-group
説明	DB subnet group for Multi-AZ RDS
VPC	handson-vpc
アベイラビリティーゾーン	ap-northeast-1a と ap-northeast-1c の両方にチェック
サブネット	handson-subnet-private-db-1a と handson-subnet-private-db-1c を選択

作成

9. RDS PostgreSQL の作成

DB層

重要RDSの作成には約10〜15分かかります。すべての設定を確認してから「作成」をクリックしてください。

RDS›左メニュー「データベース」›データベースの作成

1

データベース作成方法・エンジンの選択

項目	値
データベース作成方法	標準作成
エンジンタイプ	PostgreSQL
エンジンバージョン	PostgreSQL 16.x（リストの最新版）

2

テンプレートと可用性の設定

項目	値
テンプレート	開発/テスト
デプロイオプション	マルチ AZ DB インスタンス

3

設定（DBインスタンス名・認証情報）

項目	値
DB インスタンス識別子	handson-rds
マスターユーザー名	admin
認証情報の管理	セルフマネージド
マスターパスワード	AdminPass123!
パスワードの確認	AdminPass123!

4

インスタンスの設定

項目	値
DB インスタンスクラス	バースト可能クラス（t クラスを含む） → db.t3.micro

5

ストレージ

項目	値
ストレージタイプ	汎用 SSD (gp2)
割り当てられたストレージ	20 GiB
ストレージの自動スケーリング	無効（チェックを外す）

6

接続設定

項目	値
コンピューティングリソース	EC2 コンピューティングリソースに接続しない
VPC	handson-vpc
DB サブネットグループ	handson-db-subnet-group
パブリックアクセス	なし
VPC セキュリティグループ	既存の選択 → sg-rds（デフォルトのSGは削除）
アベイラビリティーゾーン	ap-northeast-1a（プライマリ）

7

追加設定

「追加設定」セクションをクリックして展開します。

項目	値
最初のデータベース名	handson_db 空のままにするとデータベースが作成されません。必ず入力してください。
自動バックアップを有効化	チェックを外す
削除保護の有効化	チェックを外す

データベースの作成

注意ステータスが 「利用可能」 になるまで10〜15分かかります。手順10〜12のECSクラスター・タスク定義・ALBの作成を進めながら待ちます。
RDS作成完了後、「エンドポイント」をメモしてください。
例: handson-rds.xxxxxxxxxxxx.ap-northeast-1.rds.amazonaws.com（ポート: 5432）

ECS版の利点EC2版ではEC2からpsqlを実行してDBを初期化しましたが、ECS版ではアプリ（Node.js）が起動時にテーブル作成・サンプルデータ投入を自動で行います。ECSサービス起動後にALBへアクセスするだけでデータが確認できます。

10. ECSクラスターの作成

ECS

ECSタスク（コンテナ）を実行するクラスターを作成します。Fargateを使用するためEC2インスタンスの管理は不要です。

ECS（Elastic Container Service）›左メニュー「クラスター」›クラスターを作成

1

クラスターの設定

項目	値
クラスター名	handson-ecs-cluster
インフラストラクチャ	AWS Fargate（サーバーレス）にチェックが入っていることを確認「Amazon EC2インスタンス」はチェック不要

作成

Fargateとはコンテナ実行に必要なサーバをAWSが自動で管理します。EC2インスタンスのプロビジョニング・パッチ適用・スケーリングが不要になります。

11. ECSタスク定義の作成

ECS

コンテナの実行設定（使用するイメージ・CPU/メモリ・ポート・環境変数など）を定義します。

ECS›左メニュー「タスク定義」›新しいタスク定義の作成›「新しいタスク定義の作成」

1

タスク定義の基本設定

項目	値
タスク定義ファミリー	handson-task-def
起動タイプ	AWS Fargate
オペレーティングシステム/アーキテクチャ	Linux/X86_64
タスクサイズ - CPU	.25 vCPU
タスクサイズ - メモリ	0.5 GB
タスクロール	なし（アプリからAWSサービスを直接呼ばないため）
タスク実行ロール	handson-ecs-task-execution-role

2

コンテナの設定

「コンテナ - 1」セクションを入力します：

項目	値
名前	handson-app
イメージ URI	【AWSアカウントID】.dkr.ecr.ap-northeast-1.amazonaws.com/handson-ecr:latest 手順6でメモしたECRリポジトリのURIに「:latest」を付けたもの
コンテナポート	8080
プロトコル	TCP
ポート名	handson-app-8080（任意）

3

環境変数の設定

「環境変数」セクションで「環境変数を追加」をクリックし、以下を入力します：

キー	値タイプ	値
`DB_HOST`	値	【RDSエンドポイント】手順9でメモしたRDSエンドポイントを入力
`DB_USER`	値	admin
`DB_PASSWORD`	値	AdminPass123!
`DB_NAME`	値	handson_db

本番環境ではパスワードをそのまま環境変数に設定するのは避けてください。本番では AWS Secrets Manager や AWS Systems Manager Parameter Store を使用し、「値タイプ: ValueFrom」でシークレットを参照します。

4

ログ設定（CloudWatch Logs）

「ログ収集の設定」セクション：

項目	値
ログドライバー	awslogs（デフォルトのまま）
awslogs-group	/ecs/handson-task-def（自動入力）
awslogs-region	ap-northeast-1
awslogs-stream-prefix	ecs

作成

ログ確認方法ECS版ではEC2のSSM接続でログを見る代わりに、CloudWatch Logsでコンテナのログを確認できます。
CloudWatch → 「ロググループ」→ /ecs/handson-task-def

12. ターゲットグループの作成

ALB

ECS版の重要な違いFargateタスクはインスタンスとは異なるネットワーク構成のため、ターゲットタイプは必ず 「IP アドレス」 を選択します（「インスタンス」ではありません）。また、ポートは 8080（Node.jsのポート）を指定します。

EC2›左メニュー「ターゲットグループ」›ターゲットグループの作成

1

ECSタスク用ターゲットグループを作成

項目	値
ターゲットタイプ	IP アドレス（Fargate必須）
ターゲットグループ名	handson-tg-ecs
プロトコル	HTTP
ポート	8080（Node.jsが8080でリッスン）
VPC	handson-vpc
プロトコルバージョン	HTTP1

ヘルスチェック設定：

項目	値
ヘルスチェックプロトコル	HTTP
ヘルスチェックパス	/health
正常のしきい値	2
非正常のしきい値	3
間隔	30 秒

次へ → IPアドレスの登録はECSサービス作成時に自動で行われるためターゲットグループの作成

NoteEC2版ではここでEC2インスタンスを手動登録しましたが、ECS版ではECSサービス作成時にFargateタスクのIPが自動的にターゲットグループに登録・解除されます。

13. ALBの作成

ALB

EC2›左メニュー「ロードバランサー」›ロードバランサーの作成›「Application Load Balancer」›作成

1

基本設定

項目	値
ロードバランサー名	handson-alb
スキーム	インターネット向け
IP アドレスタイプ	IPv4

2

ネットワークマッピング（2AZを選択）

項目	値
VPC	handson-vpc
マッピング（AZ 1）	ap-northeast-1a → handson-subnet-public-1a
マッピング（AZ 2）	ap-northeast-1c → handson-subnet-public-1c

3

セキュリティグループ

項目	値
セキュリティグループ	sg-alb（デフォルトのSGは削除して sg-alb のみ選択）

4

リスナーとルーティング

項目	値
プロトコル	HTTP
ポート	80
デフォルトアクション	handson-tg-ecs に転送

ロードバランサーの作成

確認作成後、ALBの「DNS 名」をメモしてください。これがアクセスURLになります。
例: handson-alb-xxxxxxxxx.ap-northeast-1.elb.amazonaws.com

14. ECSサービスの作成

ECS

ECSサービスは「タスクを常に指定数実行し続け、ALBと連携する」仕組みです。タスクが停止すると自動的に新しいタスクを起動します。

前提確認手順9のRDSが「利用可能」になってからECSサービスを作成してください。RDS作成前にECSサービスを起動するとDBへの接続に失敗します。

ECS›「クラスター」›handson-ecs-cluster を選択›「サービス」タブ›作成

1

コンピューティング設定

項目	値
コンピューティングオプション	起動タイプ
起動タイプ	FARGATE
プラットフォームバージョン	LATEST

2

デプロイ設定

項目	値
アプリケーションタイプ	サービス
ファミリー	handson-task-def
リビジョン	最新（LATEST）
サービス名	handson-ecs-service
必要なタスク	2（2AZに1つずつ配置）

3

ネットワーク設定

項目	値
VPC	handson-vpc
サブネット	handson-subnet-private-ecs-1a と handson-subnet-private-ecs-1c を選択
セキュリティグループ	既存のセキュリティグループを使用 → sg-ecs
パブリック IP	オフ（無効）プライベートサブネットのため、パブリックIPは不要

4

ロードバランサーの設定

項目	値
ロードバランサーのタイプ	Application Load Balancer
ロードバランサー	既存のロードバランサーを使用 → handson-alb
コンテナ	handson-app 8080:8080
リスナー	既存のリスナーを使用 → 80:HTTP
ターゲットグループ	既存のターゲットグループを使用 → handson-tg-ecs

作成

デプロイに時間がかかりますECSサービス作成後、FargateタスクがECRからイメージをプルし起動するまで約2〜5分かかります。「タスク」タブでタスクのステータスを確認してください。

5

タスク起動の確認

ECS›「クラスター」›handson-ecs-cluster›「サービス」›handson-ecs-service›「タスク」タブ

2つのタスクのステータスが 「RUNNING」 になっていることを確認します。

タスクが起動しない場合タスクを選択 → 「ログ」タブでエラーを確認してください。よくある原因：
① RDSエンドポイントの誤記（環境変数DB_HOST）
② RDSがまだ「利用可能」になっていない
③ セキュリティグループの設定ミス（sg-ecsのポート8080）

15. 動作確認・冗長性テスト

15-1. ターゲットグループのヘルスチェック確認

1

両タスクが「healthy」になっていることを確認

EC2›「ターゲットグループ」›handson-tg-ecs›「ターゲット」タブ

2つのFargateタスクのIPアドレスが 「healthy」 になっていることを確認します。

ターゲットの登録タイミングECS版ではECSサービスがタスク起動後に自動でターゲットグループにIPを登録します。登録からhealthyになるまで1〜2分かかります。

15-2. ブラウザからのエンドツーエンド確認

1

ALBのDNS名でアクセス

手順13でメモした ALBのDNS名をブラウザのアドレスバーに入力してアクセスします：

URL	期待するレスポンス
`http://【ALBのDNS名】/`	{"message":"ECS Fargate app is running!","container":"..."}
`http://【ALBのDNS名】/health`	{"status":"ok","container":"..."}
`http://【ALBのDNS名】/users`	RDSのusersテーブルデータ（3件）

成功！データが表示されればインターネット → ALB → ECS Fargate（Node.js） → RDS PostgreSQL の動作が確認できました。
アプリが起動時にテーブル作成・サンプルデータ投入を自動で行ったため、EC2版のようなpsqlによる手動初期化は不要でした。

15-3. 冗長性（ロードバランシング）の確認

1

containerフィールドでどちらのタスクが応答しているか確認

ブラウザで /health や /users に複数回アクセスすると、レスポンスの "container" フィールド（コンテナのホスト名）が2つの異なる値で切り替わることを確認します。

ECS版のホスト名EC2版の "server" フィールドはEC2のホスト名でしたが、ECS版の "container" フィールドはFargateコンテナのID（タスクARNの一部）になります。

2

フェイルオーバーテスト（オプション）

ECSコンソールでタスクを1つ「停止」すると、ECSサービスが自動的に新しいタスクを起動します。

ECS›「クラスター」›handson-ecs-cluster›「タスク」タブ›タスクを選択›停止

タスクが停止されても：

ALBがもう一方のタスクにルーティングを切り替えるため、ブラウザからのアクセスはエラーなく継続されます
ECSサービスが自動的に新しいタスクを起動し、希望タスク数（2）に戻します

3

CloudWatch Logsでコンテナログを確認（オプション）

CloudWatch›「ロググループ」›/ecs/handson-task-def›ログストリームを選択

Node.jsアプリのログ（DB initialized、App listening on port 8080 など）が確認できます。

EC2版との違いEC2版ではSession Managerでサーバに接続してログを確認しましたが、ECS版はCloudWatch Logsでコンテナログを一元管理できます。

16. リソース削除（クリーンアップ）

重要ALB・RDS・NAT Gatewayは時間課金です。ハンズオン終了後は以下の順番で必ず削除してください。

1

ECSサービスのタスク数を0に変更してからサービスを削除

ECS›「クラスター」›handson-ecs-cluster›「サービス」タブ›handson-ecs-service›更新

項目	値
必要なタスク数	0（タスクを全停止）
デプロイの強制	チェックを入れる

更新

全タスクが停止したことを確認後 → アクション → 「サービスを削除」

Noteタスク数0に変更しないとECSサービス削除時にエラーになる場合があります。

2

ECSクラスターを削除

ECS›「クラスター」›handson-ecs-cluster›削除

3

ALB を削除

EC2›「ロードバランサー」›handson-alb›アクション›「削除」

4

ターゲットグループを削除

EC2›「ターゲットグループ」›handson-tg-ecs›アクション›「削除」

5

RDS を削除

RDS›「データベース」›handson-rds›アクション›「削除」

「最終スナップショットを作成しますか？」→ いいえ を選択
確認テキスト（delete me）を入力して削除

6

RDS サブネットグループを削除

RDS›「サブネットグループ」›handson-db-subnet-group›「削除」

7

ECRイメージとリポジトリを削除

ECR›「リポジトリ」›handson-ecr›削除

確認テキスト（delete）を入力して削除します（イメージも同時に削除されます）。

8

ECSタスク定義を無効化

ECS›「タスク定義」›handson-task-def›リビジョンを選択›アクション›「登録解除」

NoteECSタスク定義は「削除」ではなく「登録解除（Deregister）」が正しい操作です。登録解除後、さらに「削除」ができるようになります。

9

NAT Gateway を削除

VPC›「NAT ゲートウェイ」›handson-natgw›アクション›「NAT ゲートウェイを削除」

削除には数分かかります。ステータスが「削除済み」になるまで待ちます。

10

Elastic IP を解放

VPC›「Elastic IP アドレス」›NAT GW用EIPを選択›アクション›「Elastic IP アドレスの解放」

11

Internet Gateway をデタッチ・削除

VPC›「インターネットゲートウェイ」›handson-igw›アクション›「VPCからデタッチ」

デタッチ完了後 → 再度アクション → 「インターネットゲートウェイを削除」

12

セキュリティグループ 3つを削除

sg-rds → sg-ecs → sg-alb の順に削除します（依存関係があるため逆順）。

VPC›「セキュリティグループ」›選択›アクション›「セキュリティグループを削除」

13

サブネット・ルートテーブル・VPC を削除

サブネット 6つ → ルートテーブル（handson-rt-private-ecs → handson-rt-public）→ VPC（handson-vpc）の順に削除します。

VPC›「サブネット」 / 「ルートテーブル」 / 「お使いのVPC」›各リソースを選択して削除

14

IAMロールを削除

IAM›「ロール」›handson-ecs-task-execution-role›「削除」

15

CloudWatch Logs グループを削除（オプション）

CloudWatch›「ロググループ」›/ecs/handson-task-def›アクション›「ロググループの削除」

17. 完了チェックリスト

ネットワーク

VPC (handson-vpc / 10.0.0.0/16) を作成した
パブリックサブネット 2つ（1a・1c）を作成しパブリックIP自動割り当てを有効化した（ALB用）
プライベートサブネット ECS 2つ（1a・1c / 10.0.3.0/24・10.0.4.0/24）を作成した
プライベートサブネット DB 2つ（1a・1c / 10.0.5.0/24・10.0.6.0/24）を作成した
Internet Gateway を作成・VPCにアタッチした
NAT Gateway（handson-natgw）をパブリックサブネット-1aに作成した
パブリック用ルートテーブル（→IGW）を設定しパブリックサブネット2つに関連付けた
ECS用プライベートルートテーブル（→NAT GW）を設定しECSサブネット2つに関連付けた

セキュリティ・IAM

IAMロール（handson-ecs-task-execution-role / AmazonECSTaskExecutionRolePolicy）を作成した
sg-alb（HTTP 80/443 from 0.0.0.0/0）を作成した
sg-ecs（TCP 8080 from sg-alb）を作成した
sg-rds（TCP 5432 from sg-ecs）を作成した

ECR・Docker

ECRリポジトリ（handson-ecr）を作成した
CloudShellでDockerイメージをビルドした
DockerイメージをECRにプッシュした（latestタグが表示されることを確認）

RDS

RDSサブネットグループ（1a・1c）を作成した
RDS PostgreSQL 16（Multi-AZ・db.t3.micro）を作成した（状態: 利用可能）
RDSエンドポイントをメモした

ECS・ALB

ECSクラスター（handson-ecs-cluster / Fargate）を作成した
ECSタスク定義（handson-task-def）を作成した（DB環境変数を設定済み）
ターゲットグループ（handson-tg-ecs / IP型 / HTTP:8080）を作成した
ALB（handson-alb / インターネット向け）を作成した
ALBのDNS名をメモした
ECSサービス（handson-ecs-service / タスク数2）を作成した
2つのFargateタスクのステータスが「RUNNING」になった
ターゲットグループの全タスクが「healthy」になった

動作確認

ブラウザからALBのDNS名でアクセスしJSON応答を確認した
ブラウザから /users にアクセスしRDSのデータ（3件）を確認した
複数回アクセスしてcontainerフィールドが切り替わりロードバランシングを確認した

クリーンアップ

ECSサービスのタスク数を0に変更してから削除した
ECSクラスターを削除した
ALB を削除した
ターゲットグループを削除した
RDS を削除した
RDS サブネットグループを削除した
ECRリポジトリ（イメージ含む）を削除した
ECSタスク定義を登録解除・削除した
NAT Gateway を削除した
Elastic IP を解放した
Internet Gateway をデタッチ・削除した
セキュリティグループ 3つを削除した
サブネット 6つ・ルートテーブル 2つ・VPC を削除した
IAMロールを削除した

目次

1. アーキテクチャ概要

🔄 EC2版との構成比較

構成リソース一覧

コスト目安（数時間で削除した場合）

2. 前提条件・事前準備

AWSアカウントIDの確認（手順7で使用）

3. IAMロールの作成（ECSタスク実行ロール）

4. VPC・ネットワーク構築

4-1. VPCの作成

4-2. サブネットの作成（6つ）

4-3. Internet Gatewayの作成・アタッチ

4-4. NAT Gatewayの作成

4-5. ルートテーブルの設定

5. セキュリティグループの作成（3つ）

6. ECRリポジトリの作成

7. Dockerイメージの作成・プッシュ（CloudShell）

CloudShellを開く

8. RDS サブネットグループの作成

9. RDS PostgreSQL の作成

10. ECSクラスターの作成

11. ECSタスク定義の作成

12. ターゲットグループの作成

13. ALBの作成

14. ECSサービスの作成

15. 動作確認・冗長性テスト

15-1. ターゲットグループのヘルスチェック確認

15-2. ブラウザからのエンドツーエンド確認

15-3. 冗長性（ロードバランシング）の確認

16. リソース削除（クリーンアップ）

17. 完了チェックリスト

ネットワーク

セキュリティ・IAM

ECR・Docker

RDS

ECS・ALB

動作確認

クリーンアップ