Cloud/AWS
をテンプレートにして作成
[
トップ
] [
新規
|
一覧
|
検索
|
最終更新
|
ヘルプ
|
ログイン
]
開始行:
#amazon(4822262960)
#amazon(4822211983)
#contents
#br
#adsense(728x90)
#br
* クラウド [#v61dd399]
- オンプレミス
-- IT リソースを自社で保有・管理する
- クラウド
-- IT リソースをネットワーク経由でオンデマンドで利用する
||オンプレミス|クラウド|h
|コスト|前払い|使用した分のみ支払い|
|~|データセンターから運用|アプリケーションに集中|
|~|小規模なスケール|スケールメリットの享受|
|スピード|利用するのに数週間かかる|数分で利用できる|
|柔軟性|キャパシティ予測が必要|必要に応じてスケールイン・...
|~|グローバル化が困難|グローバル化が容易|
* AWS [Amazon Web Services] [#h8e387f9]
- Amazon のクラウド サービス
** リージョン [#scabd7c2]
- AWS ではデータセンタの場所は非公開
- 大まかな地域を選択することが出来る
-- US East (Northern Virginia) Region
-- US West (Northern California) Region
-- US West (Oregon) Region
-- EU (Ireland) Region
-- Asia Pacific (Singapore) Region
-- Asia Pacific (Sydney) Region
-- Asia Pacific (Tokyo) Region
-- South America (Sao Paulo) Region
*** Tokyo Region [#n0335afc]
- 全て Equinix DC
-- TY1 (大田区平和島: 海抜 6m)
-- TY2 (品川区東品川: 海抜 3m)
-- TY3 (江東区枝川: 海抜 1m)
-- TY4 (千代田区大手町: 海抜 6m)
- AWS Direct Connect の接続先は TY2 となっている
** Availability Zone [#b5575483]
- リージョンは複数の AZ から構成される
- 異なる AZ は物理的に分離されており、障害が双方に及ぶこ...
- 同一リージョンの AZ 間は専用回線で接続される
** インターフェース [#p5fd5371]
- AWS マネジメント コンソール
- AWS CLI
- AWS SDK
-- 裏ではすべて API を呼び出している。
-- すべての操作は AWS CloudTrail に記録される。
** エッジロケーション [#b4e354fa]
- リージョンを構成するデータセンター以外に、コンテンツ配...
- CloudFront、Route 53、AWS Shield などで利用される。
- CloudFront の場合、コンテンツのキャッシュをエッジ ロケ...
** 料金体系 [#t9098648]
- 時間課金のサービスの一部は複数の料金体系が選択可能。
- 料金体系の変更なので、システム的な影響は無い。
- オンデマンド インスタンス
-- 通常契約。
-- 時間課金のインスタンス。
-- 時期や時間帯で増減するリソースに最適。
- リザーブド インスタンス (RI)
-- 長期契約割引。
-- 1 年、もしくは 3 年使用権を予約する。
-- 最大で約 75% の割り引きとなる。
-- 長期に渡り利用が確実なリソースに最適。
-- 全額前払い、一部前払い (約半額)、前払いなしが可能。(割...
- スポット インスタンス
-- %%入札式で使用権を得るインスタンス。%%
-- %%他のユーザーがより高価格で入札した場合は途中でも使用...
-- 時間課金のインスタンス。
-- 価格は随時調整され、インスタンス作成時に上限価格を設定...
-- 最大で約 90% の割り引きとなる。
-- AWS の空きリソース (スポットプール) から提供される。
-- 空きリソースが減少すると、強制終了される可能性がある。...
-- バッチ処理などオンライン サービスに影響のないリソース...
-- 使用時間の予約もできる。(割引率は変わる。)
- Compute Savings Plan
-- 長期契約割引枠。(1 年 or 3 年)
-- 毎時使用するであろうコスト枠を購入し、割引を適用する。
-- コスト枠の範囲で様々なインスタンスを組み合わせることが...
-- EC2 以外にも Lamda や Fargate でも使える。
** AWS設計のベストプラクティス [#rf037576]
+ スケーラビリティを確保する
-- Auto Scaling による自働スケールアウト。
+ 環境を⾃動化する
+ 使い捨て可能なリソースを使⽤する
+ コンポーネントを疎結合にする
-- システム間の連携に ELB や SQS を使う。
+ サーバーではなくサービスで設計する
+ 適切なデータベースソリューションを選択する
+ 単⼀障害点を排除する
+ コストを最適化する
+ キャッシュを使⽤する
+ すべてのレイヤーでセキュリティを確保する
+ 増加するデータの管理
** AWS Well-Architected Framework [#e5fcc6b4]
+ %%%''運用上の優秀性''%%%
-- 運用をコードとして実行する
-- '''''小規模かつ可逆的な変更を頻繁に行う'''''
-- 運用手順を頻繁に改善する
-- 障害を予想する
-- 運用上の障害すべてから学ぶ
+ %%%''セキュリティ''%%%
-- 強力なアイデンティティ基盤を実装する
-- '''''トレーサビリティの実現'''''
-- '''''全レイヤーでセキュリティを適用する'''''
-- セキュリティのベストプラクティスを自動化する
-- '''''伝送中および保管中のデータを保護する'''''
-- データに人の手を入れない
+ %%%''信頼性''%%%
-- セキュリティイベントに備える
-- '''''障害から自動的に復旧する'''''
-- 復旧手順をテストする
-- '''''水平方向にスケールしてワークロード全体の可用性を...
-- '''''キャパシティーを推測することをやめる'''''
-- オートメーションで変更を管理する
+ %%%''パフォーマンス効率''%%%
-- 最新テクノロジーを誰もが利用できるようにする
-- わずか数分でグローバル展開する
-- サーバーレスアーキテクチャを使用する
-- より頻繁に実験する
-- メカニカルシンパシーを重視する
+ %%%''コスト最適化''%%%
-- クラウド財務管理を実装する
-- 消費モデルを導入する
-- 全体的な効率を測定する
-- 差別化につながらない高負荷の作業に費用をかけるのをやめる
-- 費用を分析し帰属関係を明らかにする
+ %%%''サステナビリティ''%%%
-- 影響を理解する
-- 持続可能性の目標を設定する
-- 使用率を最大化する
-- より効率的なハードウェアやソフトウェアの新製品を予測し...
-- マネージドサービスを使用する
-- クラウドワークロードのダウンストリームの影響を軽減する
** 責任共有モデル [#z4c0577f]
- クラウド自体のセキュリティに対する責任は Amazon にある。
-- データセンター (リージョン、AZ、エッジロケーション)
-- ハードウェア、ネットワーク、仮想化基盤
-- プラットフォームとしてのソフトウェア
- クラウド内のセキュリティに対する責任はユーザーにある。
-- OS 内の構成
-- プラットフォームのアクセス権
-- データ
* コンピューティング [#i2a78c0a]
** 仮想サーバ [#z9e6c1cd]
*** Amazon EC2 [Elastic Compute Cloud] [#l3d17241]
- 仮想サーバ
- EC2-Classic
-- 従来型の EC2 インスタンス
-- 2013/12/4 以降に作成されたアカウントでは利用できない
- EC2-VPC
-- 新型の EC2 インスタンス
-- EC2-Classic よりも高度なネットワーク機能が利用できる
-- インスタンスタイプ
|ファミリー|世代|.|サイズ|h
|t|3|.|large|
- IP アドレス
-- EC2 インスタンスが起動するとプライベート IP アドレスと...
-- プライベート IP アドレス
--- VPC のサブネットから DHCP でアサインされる
-- パブリック IP アドレス
--- 所謂グローバル IP アドレスで、プライベート IP アドレ...
--- (VPC の設定次第でプライベート IP アドレスのみにするこ...
--- 永続的ではないため、インバウンド通信には事実上利用で...
--- 永続的に使用したい場合は、Elastic IP を使用する必要が...
- Auto Scaling
-- スケールアウト、スケールインを自動で行う機能。
-- スケーリングポリシーを予め設定する。(最小台数、最大台...
-- ELB に組み込む場合、バランシング先は Auto Scaling グル...
** コンテナ [#yf746865]
+ コントロール プレーン
-- Amazon ECS
-- Amazon EKS
+ データ プレーン
-- Amazon EC2
-- AWS Fargate
+ レジストリ
-- Amazon ECR
*** Amazon ECS [Elastic Container Service] [#o545a7d4]
- EC2、Fargate 上に Docker コンテナ アプリを利用するサー...
- 昔は EC2 Container Service だったが、Fargate のリリース...
*** Amazon EKS [Elastic Container Service for Kubernetes]...
- EC2、Fargate 上に Docker コンテナ アプリを利用するサー...
- Kubernetes の管理はユーザーが行う
*** AWS Fargate [#b14539d4]
- コンテナの実行環境。
- ECS, EKS と連携して使用する。
- EC2 の代わりにに使う。
*** Amazon ECR [Elastic Container Registry] [#z47a81e1]
- コンテナの起動元イメージの置き場所
** サーバレス [#wd430257]
*** AWS Lambda [#k3013aab]
- コンピューティング リソースを提供するサービス。
- サーバレス アーキテクチャを実現する。
- トリガされた場合にコードが実行される。
- Node.js, Java, C#, Go, Python
- EC2 は起動時間に応じた課金だが、Lamba はコード実行時間...
* ストレージ [#oeb09181]
*** インスタンス ストア [#w5773241]
- 物理サーバの内蔵ディスクから提供される。
- EC2 は別の物理サーバで起動される可能性があるため、EC2 ...
- 現在の主流は EBS だが、一部のインスタンスタイプでは使用...
*** Amazon EBS [Elastic Block Store] [#uf170824]
- EC2 のデータストア
- EC2 の仮想サーバに対してブロック デバイスを提供する
- 容量、IOPS の指定が可能
- EBS は Elastic なので、別の EC2 インスタンスに付け替え...
*** Amazon S3 [Simple Storage Service] [#p5371cbf]
- オブジェクト ストレージ
- REST API でアクセスする
- Storage Gateway を契約することで、CIFS/NFS で使用するこ...
- S3 を扱うためのサードパーティ製ソフトウェアが多数存在する
-- s3fs … ディスクとしてマウント出来る (Linux)
-- jetS3t
-- Cyberduck … FTP サーバのように使える (Windows/Mac)
*** Amazon Glacier [#y1b5db8b]
- 長期保管用、バックアップ用の低価格ストレージ
- いまは Amazon S3 Glacier として、S3 のストレージ クラス...
- 0.01$/GB + 転送量課金
*** Amazon EFS [Elastic File System] [#x7cfb75d]
- NFS ストレージのフル マネージド サービス。
- 実体は VPC の外にあるが、サブネット内に ENI (マウント ...
- 0.36$/GB (標準ストレージ)
*** Amazon FSx [#f1d25862]
- ファイル サーバのフル マネージド サービス。
- 複数のファイル システムが選択できる。
- Amazon FSx for NetApp ONTAP
-- SMB、NFS、iSCSI でアクセス可能。
- Amazon FSx for OpenZFS
-- NFS でアクセス可能。
- Amazon FSx for Windows File Server
-- SMB でアクセス可能。
- Amazon FSx for Lustre
-- 独自プロトコルでアクセス可能。
*** AWS Storage Gateway [#g6ad7e47]
* データベース [#zde5974d]
*** Amazon RDS [Relational Database Service] [#m5b6fd83]
- RDBMS のフル マネージド サービス。
- DB 用の仮想マシンに各種 RDBMS を展開できる
- 自動バックアップ、スナップショット、プロビジョンド IOPS...
-- Amazon RDS for MySQL
-- Amazon RDS for MariaDB
-- Amazon RDS for PostgreSQL
-- Amazon RDS for Oracle Database
-- Amazon RDS for SQL Server
-- Amazon Aurora MySQL 互換エディション
-- Amazon Aurora PostgreSQL 互換エディション
- RDS
-- Amazon が管理する EC2, EBS にインストールされるため、...
- Aurora
-- EC2 も利用可能だが、Serverless にすることも可能
-- ストレージは EC2 インスタンスから独立しており、10GB ご...
-- Global Database によりストレージ レイヤでマルチ リージ...
-- (互換性のある) バージョンの選択肢は RDS より少ない
-- リクエスト数課金があり、RDS より 2 割程度高くなる
-- Single AZ でもストレージはレプリケーションされるため 1...
*** Amazon DynamoDB [#f7672f29]
- NoSQL のフル マネージド サービス。
- MongoDB との互換性はない。(DMS での移行は可能)
*** Amazon DocumentDB [#lbf7f132]
- NoSQL のマネージド サービス。
- MongoDB との互換性が高い。
*** Amazon ElastiCache [#n2329673]
- 分散メモリキャッシュ
- Memcached
- Redis
*** Amazon Redshift [#r6b76a98]
- DWH のフル マネージド サービス。
- SQL が使用できる。
- ParAccel の DWH ソフトウェアを利用している。
*** AWS DMS [Database Migration Service] [#gffaa6c5]
- データベースの移行サービス。
- 異なるデータベース エンジン間の移行にも対応している。
* 認証/認可 [#va152709]
*** AWS IAM [Identity and Access Management] [#v22cacdf]
- AWS リソースへのアクセスを管理するためのサービス
- AWS アカウントの認証/認可を行う。
*** Amazon Cognito (IDaaS) [#db2170bd]
- Web アプリケーションやモバイル アプリケーションなどの ...
- Cognito User Pool
-- ID、パスワードを管理するサービス。
-- 認証 (Authenticaion) を行う。
-- サインアップやパスワード リマインダー、多要素認証の機...
-- サードパーティのIdP (Identity Provider) を使用すること...
- Cognito Identity Pool
-- 認可 (Authorization) を与える。
-- サードパーティのIdP (Identity Provider) を使用すること...
*** AWS Directory Service [#sda8b572]
- AD Connector
-- オンプレミスの AD と連携するサービス。
- Simple AD
-- 小規模 (最大 5,000 ユーザー) 向けのサービス。
-- Samba 4 Active Directory Compatible Server で提供され...
- AWS Managed Microsoft AD
-- フルスペックの AD 機能が提供される。
-- オンプレミスの AD と信頼関係を結ぶこともできる。
*** AWS Organizations [#xf071fea]
- 企業内の AWS のアカウントを一元管理するサービス。
- AWS アカウントをグループ化し、グループごとにポリシーを...
- 一つの管理アカウントで、複数のメンバーアカウントを管理...
- 請求も管理アカウントでまとめて受けることができる、
*** AWS IAM Identity Center [#k1e74486]
- AWS Organizations 上のアカウントに対して、シングルサイ...
- サードパーティのIdP (Identity Provider) を使用すること...
- 2022 年まで Amazon SSO という名称だった。
* CI/CD [#n7d6640f]
*** AWS CodeCommit [#q7c8403d]
*** AWS CodeBuild [#i8c66dff]
*** AWS CodeDeploy [#n866502e]
* PaaS [#wb7ae4d9]
*** Amazon API Gateway [#x9f6f76f]
- API のフル マネージド サービス。
- RESTful API、WebSocket API の作成が可能。
- AWS WAF のアタッチが可能。
*** Amazon EMR [Elastic MapReduce] [#k14c8192]
- Hadoop
- EC2 上に MapReduce の分散処理を実装できる
- ベースとなる EC2 の料金と EMR の料金が課金される
- データは S3 に保存する
* SxS [#kb496659]
*** Amazon SNS [Simple Notification Service] [#ibacfeb2]
- Push/Sub メッセージング サービス
*** Amazon SQS [Simple Queue Service] [#y31d2eb9]
- メッセージキューのフル マネージド サービス。
*** Amazon SES [Simple Email Service] [#k466739a]
- メール配信のフル マネージド サービス。
* SaaS [#jfcb9845]
*** Amazon Route 53 [#oa0ebc03]
- DNS のフル マネージド サービス。
- ELB、S3 にマッピングされた エイリアス A レコードの場合...
- DNS フェイルオーバー
- Route 53 Resolver DNS Firewall
*** Amazon Time Sync Service [#f1ffeb06]
- NTP
*** Amazon Connect [#i0a90f56]
- 自動応答のコールセンター
- 予めフローを定義し、文章は Amazon Polly が読み上げる
- Salesforce などとの連携も可能
- 発着信数、通話時間への課金
*** Amazon CloudFront [#o6553843]
- CDN
- 独自 SSL、動的コンテンツをサポート
- POST、PUT などの HTTP メソッド利用可能
- Geo Restriction
- カスタム ヘッダから PC/SP/Tablet を判別可能
- 世界中に低遅延で配信することができる。
- AWS WAF のアタッチが可能。
*** AWS CloudWatch [#y6b56247]
- 監視サービス。
- 収集したメトリックを元に、アクションを起こす。
- 標準メトリクス
-- CPU 使用率
- カスタム メトリクス
-- メモリ使用率
- CloudWatch Logs
-- ログ
*** AWS CloudTrail [#ne29c06f]
- 監査目的のサービス。
- API のログを蓄積することで、AWS に対するあらゆる操作を...
*** AWS Trusted Advisor [#j3cfef42]
- 5 つの観点でアドバイスをくれる。
++ コスト最適化
++ パフォーマンス
++ セキュリティ
++ フォールトトレランス (耐障害性)
++ サービスの制限
*** AWS IAM [Identity and Access Management] [#g26db77f]
- ルート ユーザー
- IAM ユーザー
* ネットワーク [#e91c3d4b]
** VPC [Virtual Private Cloud] [#df64ad31]
- AWS 上に定義する仮想のデータセンター
- 通常、一番最初に設定するが、デフォルトの VPC も存在する
- VPC の中に Subnet を作り、その中に EC2 インスタンスを作る
- 複数の AZ にまたがって定義することが出来る
- 作成時にネットワーク アドレスを設定する (/16~/28、作成...
- ユーザ拠点と IPsec によるインターネット VPN 接続するこ...
** Subnet [#oec1a1ea]
- VPC 内に作成する
- 作成時にAZ とネットワーク アドレスを指定する (~/28)
-- ネットワーク アドレス +1 は VPC ルータ、+2 は Amazon D...
-- ネットワーク アドレス +4 以降が利用できる
- ネットワーク ACL を設定できる
** Internet Gateway [#k49ac8f8]
- VPC からインターネットへの出口
- Internet Gateway を作成し、VPC にアタッチする
** VPC ルータ [#nb2091d4]
- 全てのサブネットは仮想ルータにより接続され、ルーティン...
- 通常、ユーザーが意識することはない
*** Route Table [#g5d84978]
- VPC ルータのルーティング テーブル
- サブネット単位で作成される
** ENI [Elastic Network Interface] [#y3a1f432]
- EC2 に割り当てられるネットワーク インターフェース
- デフォルトで 1 つの ENI が割り当てられ、そこにプライベ...
- ENI を増やすことで、複数のネットワーク インターフェース...
- ENI は Elastic なので、別の EC2 インスタンスに付け替え...
-- 仮想 IP アドレスのような利用方法もある (Floating IP)
- セキュリティ グループの設定が可能
** EIP [Elastic IP] [#b44bbdc8]
- EC2 で利用するグローバル IP アドレス
- ENI に紐付けられる
- 固定的に割り当てることが可能
- 割り当てだけ行って、EC2 インスタンスに関連付けないと課...
** ロードバランサ [#z586601e]
*** ELB [Elastic Load Balancing] [#y9ff512e]
- L4 の仮想ロードバランサ
- 複数の EC2 インスタンスにトラフィックを分散させる
*** ALB [Application Load Balancer] [#k8a53bbc]
- L7 の仮想ロードバランサ
- AWS WAF のアタッチが可能。
** 仮想プライベート ゲートウェイ [#saec3cc8]
- オンプレミスと AWS をインターネット VPN で接続する。
- サイト間 VPN 接続。
** AWS Direct Connect [#l45aab51]
- オンプレミスと AWS を専用線で接続する。
- ユーザ拠点と専用線で接続することにより、インターネット...
- ユーザのルータを AWS Direct Connect ロケーションに設置...
- AWS Direct Connect エンドポイントは仮想プライベートゲー...
- パートナー サービスを使うことで、ルータを用意することな...
* ネットワーク セキュリティ [#v89abf45]
** AWS Shield [#t3d7758b]
- DDoS 攻撃対策のフルマネージドサービス。
- Standard (無料)
-- ELB、CloudFront、Route 53などに自動で適用されている。
- Advanced (有料)
-- ELB、CloudFront、Route 53、Global Accelerator、Elastic...
-- 24h365d のサポートを受けることができる。
** AWS WAF [Web Application Firewall] [#r5201d77]
- Web Application Firewall のフルマネージドサービス。
- CloudFront、ALB、API Gateway に接続する。
- Managed Rule
-- Core rule set (無料)
--- OWASP [Open Worldwide Application Security Project] T...
-- Admin protection (無料)
--- 管理ページへの攻撃から保護するためのルール。
-- Amazon IP reputation list (無料)
--- AWS が収集した脅威 IP アドレスからの攻撃を保護するた...
-- Bot Control (有料)
--- 悪意のある Bot からの攻撃を保護するためのルール。
-- サードパーティの Managed Rule
--- F5、Imperva、Fortinet などが AWS Marketplace で販売す...
- My Own Rules
-- ユーザー自身がポリシーを作成して適用することができる。
** ファイアウォール [#if3723bf]
|サービス|適用対象|ステート|h
|ネットワーク ACL|サブネット|ステートレス|
|セキュリティ グループ|ENI |ステートフル|
|AWS Network Firewall||両方|
*** ネットワーク ACL [#s1faf00f]
- サブネットに設定する。
- デフォルトではインバウンド、アウトバウンドともに全許可。
- ステートレスであるため、逆方向のルールも定義する必要が...
- ブラックリスト方式
*** セキュリティ グループ [#k3929d10]
- ENI に設定する。
- 仮想サーバ単位で利用可能なファイアウォールのようなもの。
- インバウンド/アウトバウンドの通信ポリシーを設定できる。
- ステートフルであるため、戻りの通信は意識する必要はない。
- 通信ポリシーは許可のみが設定できるホワイトリスト方式。(...
- デフォルトではインバウンドは全拒否 (= 未設定)、アウトバ...
- 設定は即時反映だが、すでに確立したセッションには影響は...
*** AWS Network Firewall [#ra88dd77]
- Firewall のフルマネージドサービス。
- 専用のサブネットにエンドポイントをデプロイし、Internet ...
- 複数 AZ のサブネットにエンドポイントをデプロイすること...
** AWS Firewall Manager [#ocfca2e9]
- 複数アカウントの Firewall を一元管理するサービス。
- AWS Shield Advanced、AWS WAF、セキュリティ グループ、AW...
- AWS Organizations に参加し、AWS Configを有効にする必要...
** AWS GuardDuty [#zf9fd2b4]
- 脅威検知サービス。
- 機械学習を使用して脅威リスクを検知する。
** AWS Certificate Manager [#s8d1a22b]
- SSL/TLS 証明書の管理サービス
- 証明書の取得、ELB / CloudFront などへのプロビジョニング...
- 基本は無料だが、プライベート CA を使う場合は有料
* コンプライアンス [#vc12df5b]
** AWS Artifact [#u8a17bf6]
- Artiface Agreements
-- AWS アカウントで締結した契約を管理する。
-- 契約内容を一元的に管理できる。
- Artifact Reports
-- AWS のコンプライアンス レポートを取得するサービス。
-- SOC、PCI DSS、ISMS などのレポートを取得することができ...
** AWS Audit Manager [#a2ed3d57]
- AWS に対する監査を自動で行い、監査レポートを作成するサ...
- CIS Benchmark、GDPR、PCI DSS などのフレームワークに対応...
- 一時的ではなく、持続的な監視が可能。
** AWS Security Hub [#rd28a59d]
- 複数の AWS アカウントのセキュリティ評価、アラート通知を...
- Amazon Inspector、Amazon Guard Duty、AWS Firewall Manag...
** Amazon Inspector [#i410b3d4]
- セキュリティ評価サービス
- ソフトウェアの脆弱性や、ネットワーク設定の不備を検査す...
- EC2 を評価する場合、Inspector エージェントをインストー...
* コスト管理 [#z3300701]
** AWS Cost Explorer [#mbaaa2b5]
** AWS Budgets [#rc7c7739]
- 費用のしきい値を設定し、超えた場合にアラートを上げる。
* その他 [#h6a8cc72]
** AWS CloudFormation [#k9db9869]
- IaC (Infrastructure as a Code) のサービス。
- JSON や YAML 形式で作成されたテンプレートで AWS リソー...
** AWS Outposts [#s1ef3e51]
- オンプレミスにAWSサービスを展開する。
#br
#adsense(728x90)
#br
終了行:
#amazon(4822262960)
#amazon(4822211983)
#contents
#br
#adsense(728x90)
#br
* クラウド [#v61dd399]
- オンプレミス
-- IT リソースを自社で保有・管理する
- クラウド
-- IT リソースをネットワーク経由でオンデマンドで利用する
||オンプレミス|クラウド|h
|コスト|前払い|使用した分のみ支払い|
|~|データセンターから運用|アプリケーションに集中|
|~|小規模なスケール|スケールメリットの享受|
|スピード|利用するのに数週間かかる|数分で利用できる|
|柔軟性|キャパシティ予測が必要|必要に応じてスケールイン・...
|~|グローバル化が困難|グローバル化が容易|
* AWS [Amazon Web Services] [#h8e387f9]
- Amazon のクラウド サービス
** リージョン [#scabd7c2]
- AWS ではデータセンタの場所は非公開
- 大まかな地域を選択することが出来る
-- US East (Northern Virginia) Region
-- US West (Northern California) Region
-- US West (Oregon) Region
-- EU (Ireland) Region
-- Asia Pacific (Singapore) Region
-- Asia Pacific (Sydney) Region
-- Asia Pacific (Tokyo) Region
-- South America (Sao Paulo) Region
*** Tokyo Region [#n0335afc]
- 全て Equinix DC
-- TY1 (大田区平和島: 海抜 6m)
-- TY2 (品川区東品川: 海抜 3m)
-- TY3 (江東区枝川: 海抜 1m)
-- TY4 (千代田区大手町: 海抜 6m)
- AWS Direct Connect の接続先は TY2 となっている
** Availability Zone [#b5575483]
- リージョンは複数の AZ から構成される
- 異なる AZ は物理的に分離されており、障害が双方に及ぶこ...
- 同一リージョンの AZ 間は専用回線で接続される
** インターフェース [#p5fd5371]
- AWS マネジメント コンソール
- AWS CLI
- AWS SDK
-- 裏ではすべて API を呼び出している。
-- すべての操作は AWS CloudTrail に記録される。
** エッジロケーション [#b4e354fa]
- リージョンを構成するデータセンター以外に、コンテンツ配...
- CloudFront、Route 53、AWS Shield などで利用される。
- CloudFront の場合、コンテンツのキャッシュをエッジ ロケ...
** 料金体系 [#t9098648]
- 時間課金のサービスの一部は複数の料金体系が選択可能。
- 料金体系の変更なので、システム的な影響は無い。
- オンデマンド インスタンス
-- 通常契約。
-- 時間課金のインスタンス。
-- 時期や時間帯で増減するリソースに最適。
- リザーブド インスタンス (RI)
-- 長期契約割引。
-- 1 年、もしくは 3 年使用権を予約する。
-- 最大で約 75% の割り引きとなる。
-- 長期に渡り利用が確実なリソースに最適。
-- 全額前払い、一部前払い (約半額)、前払いなしが可能。(割...
- スポット インスタンス
-- %%入札式で使用権を得るインスタンス。%%
-- %%他のユーザーがより高価格で入札した場合は途中でも使用...
-- 時間課金のインスタンス。
-- 価格は随時調整され、インスタンス作成時に上限価格を設定...
-- 最大で約 90% の割り引きとなる。
-- AWS の空きリソース (スポットプール) から提供される。
-- 空きリソースが減少すると、強制終了される可能性がある。...
-- バッチ処理などオンライン サービスに影響のないリソース...
-- 使用時間の予約もできる。(割引率は変わる。)
- Compute Savings Plan
-- 長期契約割引枠。(1 年 or 3 年)
-- 毎時使用するであろうコスト枠を購入し、割引を適用する。
-- コスト枠の範囲で様々なインスタンスを組み合わせることが...
-- EC2 以外にも Lamda や Fargate でも使える。
** AWS設計のベストプラクティス [#rf037576]
+ スケーラビリティを確保する
-- Auto Scaling による自働スケールアウト。
+ 環境を⾃動化する
+ 使い捨て可能なリソースを使⽤する
+ コンポーネントを疎結合にする
-- システム間の連携に ELB や SQS を使う。
+ サーバーではなくサービスで設計する
+ 適切なデータベースソリューションを選択する
+ 単⼀障害点を排除する
+ コストを最適化する
+ キャッシュを使⽤する
+ すべてのレイヤーでセキュリティを確保する
+ 増加するデータの管理
** AWS Well-Architected Framework [#e5fcc6b4]
+ %%%''運用上の優秀性''%%%
-- 運用をコードとして実行する
-- '''''小規模かつ可逆的な変更を頻繁に行う'''''
-- 運用手順を頻繁に改善する
-- 障害を予想する
-- 運用上の障害すべてから学ぶ
+ %%%''セキュリティ''%%%
-- 強力なアイデンティティ基盤を実装する
-- '''''トレーサビリティの実現'''''
-- '''''全レイヤーでセキュリティを適用する'''''
-- セキュリティのベストプラクティスを自動化する
-- '''''伝送中および保管中のデータを保護する'''''
-- データに人の手を入れない
+ %%%''信頼性''%%%
-- セキュリティイベントに備える
-- '''''障害から自動的に復旧する'''''
-- 復旧手順をテストする
-- '''''水平方向にスケールしてワークロード全体の可用性を...
-- '''''キャパシティーを推測することをやめる'''''
-- オートメーションで変更を管理する
+ %%%''パフォーマンス効率''%%%
-- 最新テクノロジーを誰もが利用できるようにする
-- わずか数分でグローバル展開する
-- サーバーレスアーキテクチャを使用する
-- より頻繁に実験する
-- メカニカルシンパシーを重視する
+ %%%''コスト最適化''%%%
-- クラウド財務管理を実装する
-- 消費モデルを導入する
-- 全体的な効率を測定する
-- 差別化につながらない高負荷の作業に費用をかけるのをやめる
-- 費用を分析し帰属関係を明らかにする
+ %%%''サステナビリティ''%%%
-- 影響を理解する
-- 持続可能性の目標を設定する
-- 使用率を最大化する
-- より効率的なハードウェアやソフトウェアの新製品を予測し...
-- マネージドサービスを使用する
-- クラウドワークロードのダウンストリームの影響を軽減する
** 責任共有モデル [#z4c0577f]
- クラウド自体のセキュリティに対する責任は Amazon にある。
-- データセンター (リージョン、AZ、エッジロケーション)
-- ハードウェア、ネットワーク、仮想化基盤
-- プラットフォームとしてのソフトウェア
- クラウド内のセキュリティに対する責任はユーザーにある。
-- OS 内の構成
-- プラットフォームのアクセス権
-- データ
* コンピューティング [#i2a78c0a]
** 仮想サーバ [#z9e6c1cd]
*** Amazon EC2 [Elastic Compute Cloud] [#l3d17241]
- 仮想サーバ
- EC2-Classic
-- 従来型の EC2 インスタンス
-- 2013/12/4 以降に作成されたアカウントでは利用できない
- EC2-VPC
-- 新型の EC2 インスタンス
-- EC2-Classic よりも高度なネットワーク機能が利用できる
-- インスタンスタイプ
|ファミリー|世代|.|サイズ|h
|t|3|.|large|
- IP アドレス
-- EC2 インスタンスが起動するとプライベート IP アドレスと...
-- プライベート IP アドレス
--- VPC のサブネットから DHCP でアサインされる
-- パブリック IP アドレス
--- 所謂グローバル IP アドレスで、プライベート IP アドレ...
--- (VPC の設定次第でプライベート IP アドレスのみにするこ...
--- 永続的ではないため、インバウンド通信には事実上利用で...
--- 永続的に使用したい場合は、Elastic IP を使用する必要が...
- Auto Scaling
-- スケールアウト、スケールインを自動で行う機能。
-- スケーリングポリシーを予め設定する。(最小台数、最大台...
-- ELB に組み込む場合、バランシング先は Auto Scaling グル...
** コンテナ [#yf746865]
+ コントロール プレーン
-- Amazon ECS
-- Amazon EKS
+ データ プレーン
-- Amazon EC2
-- AWS Fargate
+ レジストリ
-- Amazon ECR
*** Amazon ECS [Elastic Container Service] [#o545a7d4]
- EC2、Fargate 上に Docker コンテナ アプリを利用するサー...
- 昔は EC2 Container Service だったが、Fargate のリリース...
*** Amazon EKS [Elastic Container Service for Kubernetes]...
- EC2、Fargate 上に Docker コンテナ アプリを利用するサー...
- Kubernetes の管理はユーザーが行う
*** AWS Fargate [#b14539d4]
- コンテナの実行環境。
- ECS, EKS と連携して使用する。
- EC2 の代わりにに使う。
*** Amazon ECR [Elastic Container Registry] [#z47a81e1]
- コンテナの起動元イメージの置き場所
** サーバレス [#wd430257]
*** AWS Lambda [#k3013aab]
- コンピューティング リソースを提供するサービス。
- サーバレス アーキテクチャを実現する。
- トリガされた場合にコードが実行される。
- Node.js, Java, C#, Go, Python
- EC2 は起動時間に応じた課金だが、Lamba はコード実行時間...
* ストレージ [#oeb09181]
*** インスタンス ストア [#w5773241]
- 物理サーバの内蔵ディスクから提供される。
- EC2 は別の物理サーバで起動される可能性があるため、EC2 ...
- 現在の主流は EBS だが、一部のインスタンスタイプでは使用...
*** Amazon EBS [Elastic Block Store] [#uf170824]
- EC2 のデータストア
- EC2 の仮想サーバに対してブロック デバイスを提供する
- 容量、IOPS の指定が可能
- EBS は Elastic なので、別の EC2 インスタンスに付け替え...
*** Amazon S3 [Simple Storage Service] [#p5371cbf]
- オブジェクト ストレージ
- REST API でアクセスする
- Storage Gateway を契約することで、CIFS/NFS で使用するこ...
- S3 を扱うためのサードパーティ製ソフトウェアが多数存在する
-- s3fs … ディスクとしてマウント出来る (Linux)
-- jetS3t
-- Cyberduck … FTP サーバのように使える (Windows/Mac)
*** Amazon Glacier [#y1b5db8b]
- 長期保管用、バックアップ用の低価格ストレージ
- いまは Amazon S3 Glacier として、S3 のストレージ クラス...
- 0.01$/GB + 転送量課金
*** Amazon EFS [Elastic File System] [#x7cfb75d]
- NFS ストレージのフル マネージド サービス。
- 実体は VPC の外にあるが、サブネット内に ENI (マウント ...
- 0.36$/GB (標準ストレージ)
*** Amazon FSx [#f1d25862]
- ファイル サーバのフル マネージド サービス。
- 複数のファイル システムが選択できる。
- Amazon FSx for NetApp ONTAP
-- SMB、NFS、iSCSI でアクセス可能。
- Amazon FSx for OpenZFS
-- NFS でアクセス可能。
- Amazon FSx for Windows File Server
-- SMB でアクセス可能。
- Amazon FSx for Lustre
-- 独自プロトコルでアクセス可能。
*** AWS Storage Gateway [#g6ad7e47]
* データベース [#zde5974d]
*** Amazon RDS [Relational Database Service] [#m5b6fd83]
- RDBMS のフル マネージド サービス。
- DB 用の仮想マシンに各種 RDBMS を展開できる
- 自動バックアップ、スナップショット、プロビジョンド IOPS...
-- Amazon RDS for MySQL
-- Amazon RDS for MariaDB
-- Amazon RDS for PostgreSQL
-- Amazon RDS for Oracle Database
-- Amazon RDS for SQL Server
-- Amazon Aurora MySQL 互換エディション
-- Amazon Aurora PostgreSQL 互換エディション
- RDS
-- Amazon が管理する EC2, EBS にインストールされるため、...
- Aurora
-- EC2 も利用可能だが、Serverless にすることも可能
-- ストレージは EC2 インスタンスから独立しており、10GB ご...
-- Global Database によりストレージ レイヤでマルチ リージ...
-- (互換性のある) バージョンの選択肢は RDS より少ない
-- リクエスト数課金があり、RDS より 2 割程度高くなる
-- Single AZ でもストレージはレプリケーションされるため 1...
*** Amazon DynamoDB [#f7672f29]
- NoSQL のフル マネージド サービス。
- MongoDB との互換性はない。(DMS での移行は可能)
*** Amazon DocumentDB [#lbf7f132]
- NoSQL のマネージド サービス。
- MongoDB との互換性が高い。
*** Amazon ElastiCache [#n2329673]
- 分散メモリキャッシュ
- Memcached
- Redis
*** Amazon Redshift [#r6b76a98]
- DWH のフル マネージド サービス。
- SQL が使用できる。
- ParAccel の DWH ソフトウェアを利用している。
*** AWS DMS [Database Migration Service] [#gffaa6c5]
- データベースの移行サービス。
- 異なるデータベース エンジン間の移行にも対応している。
* 認証/認可 [#va152709]
*** AWS IAM [Identity and Access Management] [#v22cacdf]
- AWS リソースへのアクセスを管理するためのサービス
- AWS アカウントの認証/認可を行う。
*** Amazon Cognito (IDaaS) [#db2170bd]
- Web アプリケーションやモバイル アプリケーションなどの ...
- Cognito User Pool
-- ID、パスワードを管理するサービス。
-- 認証 (Authenticaion) を行う。
-- サインアップやパスワード リマインダー、多要素認証の機...
-- サードパーティのIdP (Identity Provider) を使用すること...
- Cognito Identity Pool
-- 認可 (Authorization) を与える。
-- サードパーティのIdP (Identity Provider) を使用すること...
*** AWS Directory Service [#sda8b572]
- AD Connector
-- オンプレミスの AD と連携するサービス。
- Simple AD
-- 小規模 (最大 5,000 ユーザー) 向けのサービス。
-- Samba 4 Active Directory Compatible Server で提供され...
- AWS Managed Microsoft AD
-- フルスペックの AD 機能が提供される。
-- オンプレミスの AD と信頼関係を結ぶこともできる。
*** AWS Organizations [#xf071fea]
- 企業内の AWS のアカウントを一元管理するサービス。
- AWS アカウントをグループ化し、グループごとにポリシーを...
- 一つの管理アカウントで、複数のメンバーアカウントを管理...
- 請求も管理アカウントでまとめて受けることができる、
*** AWS IAM Identity Center [#k1e74486]
- AWS Organizations 上のアカウントに対して、シングルサイ...
- サードパーティのIdP (Identity Provider) を使用すること...
- 2022 年まで Amazon SSO という名称だった。
* CI/CD [#n7d6640f]
*** AWS CodeCommit [#q7c8403d]
*** AWS CodeBuild [#i8c66dff]
*** AWS CodeDeploy [#n866502e]
* PaaS [#wb7ae4d9]
*** Amazon API Gateway [#x9f6f76f]
- API のフル マネージド サービス。
- RESTful API、WebSocket API の作成が可能。
- AWS WAF のアタッチが可能。
*** Amazon EMR [Elastic MapReduce] [#k14c8192]
- Hadoop
- EC2 上に MapReduce の分散処理を実装できる
- ベースとなる EC2 の料金と EMR の料金が課金される
- データは S3 に保存する
* SxS [#kb496659]
*** Amazon SNS [Simple Notification Service] [#ibacfeb2]
- Push/Sub メッセージング サービス
*** Amazon SQS [Simple Queue Service] [#y31d2eb9]
- メッセージキューのフル マネージド サービス。
*** Amazon SES [Simple Email Service] [#k466739a]
- メール配信のフル マネージド サービス。
* SaaS [#jfcb9845]
*** Amazon Route 53 [#oa0ebc03]
- DNS のフル マネージド サービス。
- ELB、S3 にマッピングされた エイリアス A レコードの場合...
- DNS フェイルオーバー
- Route 53 Resolver DNS Firewall
*** Amazon Time Sync Service [#f1ffeb06]
- NTP
*** Amazon Connect [#i0a90f56]
- 自動応答のコールセンター
- 予めフローを定義し、文章は Amazon Polly が読み上げる
- Salesforce などとの連携も可能
- 発着信数、通話時間への課金
*** Amazon CloudFront [#o6553843]
- CDN
- 独自 SSL、動的コンテンツをサポート
- POST、PUT などの HTTP メソッド利用可能
- Geo Restriction
- カスタム ヘッダから PC/SP/Tablet を判別可能
- 世界中に低遅延で配信することができる。
- AWS WAF のアタッチが可能。
*** AWS CloudWatch [#y6b56247]
- 監視サービス。
- 収集したメトリックを元に、アクションを起こす。
- 標準メトリクス
-- CPU 使用率
- カスタム メトリクス
-- メモリ使用率
- CloudWatch Logs
-- ログ
*** AWS CloudTrail [#ne29c06f]
- 監査目的のサービス。
- API のログを蓄積することで、AWS に対するあらゆる操作を...
*** AWS Trusted Advisor [#j3cfef42]
- 5 つの観点でアドバイスをくれる。
++ コスト最適化
++ パフォーマンス
++ セキュリティ
++ フォールトトレランス (耐障害性)
++ サービスの制限
*** AWS IAM [Identity and Access Management] [#g26db77f]
- ルート ユーザー
- IAM ユーザー
* ネットワーク [#e91c3d4b]
** VPC [Virtual Private Cloud] [#df64ad31]
- AWS 上に定義する仮想のデータセンター
- 通常、一番最初に設定するが、デフォルトの VPC も存在する
- VPC の中に Subnet を作り、その中に EC2 インスタンスを作る
- 複数の AZ にまたがって定義することが出来る
- 作成時にネットワーク アドレスを設定する (/16~/28、作成...
- ユーザ拠点と IPsec によるインターネット VPN 接続するこ...
** Subnet [#oec1a1ea]
- VPC 内に作成する
- 作成時にAZ とネットワーク アドレスを指定する (~/28)
-- ネットワーク アドレス +1 は VPC ルータ、+2 は Amazon D...
-- ネットワーク アドレス +4 以降が利用できる
- ネットワーク ACL を設定できる
** Internet Gateway [#k49ac8f8]
- VPC からインターネットへの出口
- Internet Gateway を作成し、VPC にアタッチする
** VPC ルータ [#nb2091d4]
- 全てのサブネットは仮想ルータにより接続され、ルーティン...
- 通常、ユーザーが意識することはない
*** Route Table [#g5d84978]
- VPC ルータのルーティング テーブル
- サブネット単位で作成される
** ENI [Elastic Network Interface] [#y3a1f432]
- EC2 に割り当てられるネットワーク インターフェース
- デフォルトで 1 つの ENI が割り当てられ、そこにプライベ...
- ENI を増やすことで、複数のネットワーク インターフェース...
- ENI は Elastic なので、別の EC2 インスタンスに付け替え...
-- 仮想 IP アドレスのような利用方法もある (Floating IP)
- セキュリティ グループの設定が可能
** EIP [Elastic IP] [#b44bbdc8]
- EC2 で利用するグローバル IP アドレス
- ENI に紐付けられる
- 固定的に割り当てることが可能
- 割り当てだけ行って、EC2 インスタンスに関連付けないと課...
** ロードバランサ [#z586601e]
*** ELB [Elastic Load Balancing] [#y9ff512e]
- L4 の仮想ロードバランサ
- 複数の EC2 インスタンスにトラフィックを分散させる
*** ALB [Application Load Balancer] [#k8a53bbc]
- L7 の仮想ロードバランサ
- AWS WAF のアタッチが可能。
** 仮想プライベート ゲートウェイ [#saec3cc8]
- オンプレミスと AWS をインターネット VPN で接続する。
- サイト間 VPN 接続。
** AWS Direct Connect [#l45aab51]
- オンプレミスと AWS を専用線で接続する。
- ユーザ拠点と専用線で接続することにより、インターネット...
- ユーザのルータを AWS Direct Connect ロケーションに設置...
- AWS Direct Connect エンドポイントは仮想プライベートゲー...
- パートナー サービスを使うことで、ルータを用意することな...
* ネットワーク セキュリティ [#v89abf45]
** AWS Shield [#t3d7758b]
- DDoS 攻撃対策のフルマネージドサービス。
- Standard (無料)
-- ELB、CloudFront、Route 53などに自動で適用されている。
- Advanced (有料)
-- ELB、CloudFront、Route 53、Global Accelerator、Elastic...
-- 24h365d のサポートを受けることができる。
** AWS WAF [Web Application Firewall] [#r5201d77]
- Web Application Firewall のフルマネージドサービス。
- CloudFront、ALB、API Gateway に接続する。
- Managed Rule
-- Core rule set (無料)
--- OWASP [Open Worldwide Application Security Project] T...
-- Admin protection (無料)
--- 管理ページへの攻撃から保護するためのルール。
-- Amazon IP reputation list (無料)
--- AWS が収集した脅威 IP アドレスからの攻撃を保護するた...
-- Bot Control (有料)
--- 悪意のある Bot からの攻撃を保護するためのルール。
-- サードパーティの Managed Rule
--- F5、Imperva、Fortinet などが AWS Marketplace で販売す...
- My Own Rules
-- ユーザー自身がポリシーを作成して適用することができる。
** ファイアウォール [#if3723bf]
|サービス|適用対象|ステート|h
|ネットワーク ACL|サブネット|ステートレス|
|セキュリティ グループ|ENI |ステートフル|
|AWS Network Firewall||両方|
*** ネットワーク ACL [#s1faf00f]
- サブネットに設定する。
- デフォルトではインバウンド、アウトバウンドともに全許可。
- ステートレスであるため、逆方向のルールも定義する必要が...
- ブラックリスト方式
*** セキュリティ グループ [#k3929d10]
- ENI に設定する。
- 仮想サーバ単位で利用可能なファイアウォールのようなもの。
- インバウンド/アウトバウンドの通信ポリシーを設定できる。
- ステートフルであるため、戻りの通信は意識する必要はない。
- 通信ポリシーは許可のみが設定できるホワイトリスト方式。(...
- デフォルトではインバウンドは全拒否 (= 未設定)、アウトバ...
- 設定は即時反映だが、すでに確立したセッションには影響は...
*** AWS Network Firewall [#ra88dd77]
- Firewall のフルマネージドサービス。
- 専用のサブネットにエンドポイントをデプロイし、Internet ...
- 複数 AZ のサブネットにエンドポイントをデプロイすること...
** AWS Firewall Manager [#ocfca2e9]
- 複数アカウントの Firewall を一元管理するサービス。
- AWS Shield Advanced、AWS WAF、セキュリティ グループ、AW...
- AWS Organizations に参加し、AWS Configを有効にする必要...
** AWS GuardDuty [#zf9fd2b4]
- 脅威検知サービス。
- 機械学習を使用して脅威リスクを検知する。
** AWS Certificate Manager [#s8d1a22b]
- SSL/TLS 証明書の管理サービス
- 証明書の取得、ELB / CloudFront などへのプロビジョニング...
- 基本は無料だが、プライベート CA を使う場合は有料
* コンプライアンス [#vc12df5b]
** AWS Artifact [#u8a17bf6]
- Artiface Agreements
-- AWS アカウントで締結した契約を管理する。
-- 契約内容を一元的に管理できる。
- Artifact Reports
-- AWS のコンプライアンス レポートを取得するサービス。
-- SOC、PCI DSS、ISMS などのレポートを取得することができ...
** AWS Audit Manager [#a2ed3d57]
- AWS に対する監査を自動で行い、監査レポートを作成するサ...
- CIS Benchmark、GDPR、PCI DSS などのフレームワークに対応...
- 一時的ではなく、持続的な監視が可能。
** AWS Security Hub [#rd28a59d]
- 複数の AWS アカウントのセキュリティ評価、アラート通知を...
- Amazon Inspector、Amazon Guard Duty、AWS Firewall Manag...
** Amazon Inspector [#i410b3d4]
- セキュリティ評価サービス
- ソフトウェアの脆弱性や、ネットワーク設定の不備を検査す...
- EC2 を評価する場合、Inspector エージェントをインストー...
* コスト管理 [#z3300701]
** AWS Cost Explorer [#mbaaa2b5]
** AWS Budgets [#rc7c7739]
- 費用のしきい値を設定し、超えた場合にアラートを上げる。
* その他 [#h6a8cc72]
** AWS CloudFormation [#k9db9869]
- IaC (Infrastructure as a Code) のサービス。
- JSON や YAML 形式で作成されたテンプレートで AWS リソー...
** AWS Outposts [#s1ef3e51]
- オンプレミスにAWSサービスを展開する。
#br
#adsense(728x90)
#br
ページ名: