CloudFormationのEventsでThe maximum number of rules per security group has been reached.

 


CloudFormationでSecurity Group作ろうとしたわけですよ。

このSecurity Groupがくせもので、
EC2インスタンスとActive Directory間の通信を定義するもの。
とにかくポートの種類が多いわけです。
ドメインコントローラが3台で冗長化されてるもんだから、
もう目もあてらんないっていう。

Management Consoleでポチポチやるの嫌なんで、
CloudFormationの.jsonファイルを書いたわけですが・・

The maximum number of rules per security group has been reached.

Rollback・・と。

VPCの制限に引っかかってますね。

Amazon VPC の制限
http://docs.aws.amazon.com/ja_jp/AmazonVPC/latest/UserGuide/VPC_Appendix_Limits.html

 
「セキュリティグループ当たりのインバウンドルールまたはアウトバウンドルールの数」は、
デフォルトだと「50」。
この数を増やすにはAWSサポートに依頼をする必要がありますが、
1ENIあたり、セキュリティグループ数×ルール数が250を超えることができないので、
サポートからは

「ルールの上限を80にしたいなら、セキュリティグループは3つしか作れなくなるよ」

との丁重なご返答を頂きました。

However, We typically don’t update the max rules per security group or the max security groups per interface and here’s why: By Default, each security group supports up to 50 rules and interfaces can have up to 5 security groups, for a maximum of 250 rules per interface.
(中略)
Let us know how you would like to proceed. Specifically, If you would like your Rule Per Security Group limit increased to 80 we would need to decrease your Security Groups Per Interface limit to 3 to accommodate.

しゃーないのでセキュリティドメインコントローラとの通信は、
2つのセキュリティグループに分けて定義するか。

Amazon Web Services実践入門 (WEB+DB PRESS plus)
舘岡 守 今井 智明 永淵 恭子 間瀬 哲也 三浦 悟 柳瀬 任章
技術評論社
売り上げランキング: 3,058