Amazon EC2

AWS Compute

www.slideshare.net

インスタンスファミリー

汎用

開発環境、Web、マイクロサービス

小中規模のDB、キャッシュサーバー

  • M5
コンピューティング最適化(CPU Max3.5GHz)

HPC、バッチ処理、動画エンコーディング

  • C5
    • C5nは最大100Gbpsの通信に対応
ストレージ最適化

ビッグデータ処理、分散型ファイルシステム

  • H1
    • 最大16TBのHDD

NoSQLデータベース、DWH

  • I3
    • 最大15.2TBのSSD(NVMe)

User Data

疑問点

  • NVMeとは

Auto Scaling

AWS Compute

www.slideshare.net

Auto Scalingのライフサイクル

  1. Auto Scaling Group
  2. (Scale Out)
  3. Pending
  4. InService
  5. (Scale In) or (Fail Health Check)
  6. Terminating
  7. Terminated
  • アタッチ→デタッチすると「Pending」となる
  • スタンバイ→スタンバイを抜けると「Pending」となる

クールダウン

  • スケール実行後、指定時間内は次のスケールアクションを実行しない仕組み

スケールアウト時の初期化処理

スケールイン時の後処理

  • サーバーをステートレスにしておく
    • ログをS3にアップロード
    • セッション情報はDynamoDBやElasticCacheに保存

Auto Scaleの注意点

  • 突発的なスパイクには向いていない
    • インスタンス作成→アプリ起動のリードタイムがかかるため
    • さばき切ることを諦めて静的ページに切り替えるのも手

アーキテクチャパターン

  • ELB配下のEC2に適用
  • SQSのジョブを処理するWorkerに適用(スポットインスタンスが有用)
  • ECSホストに適用

疑問点

  • ECSのスケーリングするイメージ

AWS Organizations

Security, Identity & Compliance AWS

www.slideshare.net

概要

  • 機能セットとして2つあり、1つを選択する
    • 一括請求のみ
    • 全ての機能(サービスコトロールポリシーによる一元管理が可能)
  • マスターアカウントが作成するのは子にあたるルートアカウントのみ
    • ルートアカウントの下に関連付くのはそのアカウント内のIAMユーザー
  • Organizationsで作ったアカウントを削除する場合支払方法の入力が必要
  • ADユーザーにマネジメントコンソールへのSSOを実現できる
  • CloudFormationのスタックセットを組織単位でデプロイできる

サービスコトロールポリシー

  • 組織ルート、組織単位(OU)、アカウントに対して適用できる
  • Whitelist、Blacklist両方の方式に対応
  • IAMと同じ構文ルールで設定
    • 指定できるのはEffectとActionだけ
    • Resourceは「*」で固定
    • Principalは利用不可

AWS管理ユーザーの管理

  • なるべく1つに集約するのが望ましい
  • 集約する方法として、Switch RoleとSSOがある

疑問

  • 組織ルートとは

Amazon CloudFront

AWS Networking & Content Delivery

www.slideshare.net

概要

  • 設定が容易で15分程度でサービス利用可能

ディストリビューション

  • ドメインごとに割り当てられるCloudFrontの設定
  • ディストリビューションごとの使用量が40Gbps、もしくは100,000RPSを超える場合、上限緩和申請が必要
  • WebSocket、IPv6に対応
  • オリジンへのアクセスはInternet経由が前提
  • エッジでのgzip圧縮に対応(リクエストヘッダーで指定)
    • S3はgzipに対応していないため有効なオプションと言える

キャッシュコントロール

  • Chacheモードがサポートしているのは、GET、HEAD、OPTIONのみ
  • キャッシングできる単一ファイルサイズの最大は20GB
  • フォワードオプション機能を使って動的ページもキャッシュ可能
    • Header、Cookie、Query Strings情報をフォワード
    • Query Stringsは大文字小文字、パラメータ順序を区別する
  • キャッシュ時間のコントロールが可能(デフォルト24時間)
  • 任意のタイミングでキャッシュファイルの無効化ができる

オリジンフェイルオーバー

  • プライマリ、セカンダリのオリジンを設定して50xエラー時などのフェイルオーバーが可能

サポートするSSL証明書

  • デフォルト証明書
  • 独自SSL証明書ACMもこちらに含まれる)

オリジンカスタムヘッダー

  • エッジからカスタムオリジンへの通信でヘッダーを上書き可能

地域制限

  • Whitelist、Blacklistどちらの方式も対応

オリジンサーバーの保護

  • Origin Access Identity(OAI)を用いてS3バケットへのアクセスをCloudFrontに限定できる

CloudFront Reports & Analytics

AWS IAM Part1

AWS Security, Identity & Compliance

www.slideshare.net

概要

※資料から引用

  • 世界中のAWSリージョンで同じアイデンティティと権限を利用可能
  • データ変更は結果整合性を保ちながら全リージョンに伝搬
  • AWS IAM自体の利用は無料

ルートユーザーにしかできないタスク

※資料から引用(一部抜粋)

  • IAMユーザーによる課金情報へのアクセスのActivate/Deactivate
  • 支払オプションの変更
  • AWSサポートプランの変更
  • IAMユーザーへのアクセス許可のリストア
  • 無効な制約を設定したAmazon S3 バケットポリシーの修正
  • 脆弱性診断フォームの提出
  • 逆引きDNS申請
  • CloudFrontキーペアの作成

IAMユーザー

  • フレンドリ名は大文字小文字を区別しない
  • 最大2つのアクセスキーを持つことができる

ポリシー

  • アクセス許可を定義することができるオブジェクト
  • 通常はJSONでアクセス条件を記述する(ポリシードキュメント)
  • ポリシードキュメントは1つ以上のStatementで構成される
  • S3などリソースに設定されるポリシーはリソースベースポリシーと呼ぶ

IAMグループ

  • IAMユーザーの集合(グループのポリシーをユーザーが継承する)
  • IAMロールやIAMグループはIAMグループに所属できない
  • IAMユーザーは複数のグループに所属できる(最大10)

Amazon Route 53

AWS Networking & Content Delivery

www.slideshare.net

ルーティングポリシー

  • シンプルルーティング

  • 加重ルーティング

    • より重み付けの高いエンドポイントのリソースに、より多くルーティングされる

  • レイテンシールーティング

    • リージョン間の遅延が少ないほうのリソースへルーティングされる

  • フェイルオーバールーティング

    • 利用可能なリソースにのみルーティングされる

  • 位置情報ルーティング

フェイルオーバー

  • マルチリージョンで利用可能
  • VPC内のインスタンスががUnhealthyの場合、S3の静的コンテンツに転送が可能

トラフィックフロー

  • エディタでビジュアルにルーティングを作成可能

計算されたヘルスチェック

  • 複数のヘルスチェック結果から条件を用いた成否判定が可能

ヘルスチェック

  • セキュリティグループなどでヘルスチェッカーからのアクセスを許可しておく
  • ヘルスチェックの間隔は30秒、または10秒から選択可能