Amazon EC2
www.slideshare.net
インスタンスファミリー
汎用
開発環境、Web、マイクロサービス
- A1(ARMアーキテクチャ)
- T3(CPUバースト可能)
小中規模のDB、キャッシュサーバー
- M5
コンピューティング最適化(CPU Max3.5GHz)
- C5
- C5nは最大100Gbpsの通信に対応
ストレージ最適化
- H1
- 最大16TBのHDD
NoSQLデータベース、DWH
- I3
- 最大15.2TBのSSD(NVMe)
User Data
疑問点
- NVMeとは
Auto Scaling
www.slideshare.net
Auto Scalingのライフサイクル
- Auto Scaling Group
- (Scale Out)
- Pending
- InService
- (Scale In) or (Fail Health Check)
- Terminating
- Terminated
- アタッチ→デタッチすると「Pending」となる
- スタンバイ→スタンバイを抜けると「Pending」となる
クールダウン
- スケール実行後、指定時間内は次のスケールアクションを実行しない仕組み
スケールアウト時の初期化処理
スケールイン時の後処理
- サーバーをステートレスにしておく
- ログをS3にアップロード
- セッション情報はDynamoDBやElasticCacheに保存
Auto Scaleの注意点
- 突発的なスパイクには向いていない
- インスタンス作成→アプリ起動のリードタイムがかかるため
- さばき切ることを諦めて静的ページに切り替えるのも手
アーキテクチャパターン
- ELB配下のEC2に適用
- SQSのジョブを処理するWorkerに適用(スポットインスタンスが有用)
- ECSホストに適用
疑問点
- ECSのスケーリングするイメージ
AWS Organizations
www.slideshare.net
概要
- 機能セットとして2つあり、1つを選択する
- マスターアカウントが作成するのは子にあたるルートアカウントのみ
- ルートアカウントの下に関連付くのはそのアカウント内のIAMユーザー
- Organizationsで作ったアカウントを削除する場合支払方法の入力が必要
- ADユーザーにマネジメントコンソールへのSSOを実現できる
- CloudFormationのスタックセットを組織単位でデプロイできる
サービスコントロールポリシー
- 組織ルート、組織単位(OU)、アカウントに対して適用できる
- Whitelist、Blacklist両方の方式に対応
- IAMと同じ構文ルールで設定
- 指定できるのはEffectとActionだけ
- Resourceは「*」で固定
- Principalは利用不可
AWS管理ユーザーの管理
- なるべく1つに集約するのが望ましい
- 集約する方法として、Switch RoleとSSOがある
疑問
- 組織ルートとは
Amazon CloudFront
www.slideshare.net
概要
- 設定が容易で15分程度でサービス利用可能
ディストリビューション
- ドメインごとに割り当てられるCloudFrontの設定
- ディストリビューションごとの使用量が40Gbps、もしくは100,000RPSを超える場合、上限緩和申請が必要
- WebSocket、IPv6に対応
- オリジンへのアクセスはInternet経由が前提
- エッジでのgzip圧縮に対応(リクエストヘッダーで指定)
- S3はgzipに対応していないため有効なオプションと言える
キャッシュコントロール
- Chacheモードがサポートしているのは、GET、HEAD、OPTIONのみ
- キャッシングできる単一ファイルサイズの最大は20GB
- フォワードオプション機能を使って動的ページもキャッシュ可能
- キャッシュ時間のコントロールが可能(デフォルト24時間)
- 任意のタイミングでキャッシュファイルの無効化ができる
オリジンフェイルオーバー
- プライマリ、セカンダリのオリジンを設定して50xエラー時などのフェイルオーバーが可能
サポートするSSL証明書
オリジンカスタムヘッダー
- エッジからカスタムオリジンへの通信でヘッダーを上書き可能
地域制限
- Whitelist、Blacklistどちらの方式も対応
オリジンサーバーの保護
CloudFront Reports & Analytics
AWS IAM Part1
20190129 AWS Black Belt Online Seminar AWS Identity and Access Management (AWS IAM) Part1 from Amazon Web Services Japan
www.slideshare.net
概要
※資料から引用
ルートユーザーにしかできないタスク
※資料から引用(一部抜粋)
- IAMユーザーによる課金情報へのアクセスのActivate/Deactivate
- 支払オプションの変更
- AWSサポートプランの変更
- IAMユーザーへのアクセス許可のリストア
- 無効な制約を設定したAmazon S3 バケットポリシーの修正
- 脆弱性診断フォームの提出
- 逆引きDNS申請
- CloudFrontキーペアの作成
IAMユーザー
- フレンドリ名は大文字小文字を区別しない
- 最大2つのアクセスキーを持つことができる
ポリシー
- アクセス許可を定義することができるオブジェクト
- 通常はJSONでアクセス条件を記述する(ポリシードキュメント)
- ポリシードキュメントは1つ以上のStatementで構成される
- S3などリソースに設定されるポリシーはリソースベースポリシーと呼ぶ
IAMグループ
- IAMユーザーの集合(グループのポリシーをユーザーが継承する)
- IAMロールやIAMグループはIAMグループに所属できない
- IAMユーザーは複数のグループに所属できる(最大10)
Amazon Route 53
www.slideshare.net
ルーティングポリシー
シンプルルーティング
- 静的マッピングによりルーティングが決定される
加重ルーティング
- より重み付けの高いエンドポイントのリソースに、より多くルーティングされる
レイテンシールーティング
- リージョン間の遅延が少ないほうのリソースへルーティングされる
フェイルオーバールーティング
- 利用可能なリソースにのみルーティングされる
位置情報ルーティング
フェイルオーバー
トラフィックフロー
- エディタでビジュアルにルーティングを作成可能
計算されたヘルスチェック
- 複数のヘルスチェック結果から条件を用いた成否判定が可能
ヘルスチェック
- セキュリティグループなどでヘルスチェッカーからのアクセスを許可しておく
- ヘルスチェックの間隔は30秒、または10秒から選択可能