AWS 云从业者基础知识 学习笔记7 〜 10

7 ネットワークサービス

VPCは隔離されたプライベートなネットワーク構成をお客様がコントロールできるサービス。

VPCはリージョンを選択して作成。
CIDRでVPCのプライベートIPアドレスの範囲を定義。

インターネットゲートウェイはVPCとパブリックインターネットを接続。
インターネットゲートウェイ自体が高可用性と冗長性を持っている。

ルートテーブルはサブネットと関連付ける。
サブネット内のリソースがどこに接続できるかを定義する。

サブネットは役割で分割する。
外部インターネットに接続できるのがパブリックサブネット。
外部インターネットに接続せず外部アクセスからリソースを保護できるのがプライベートサブネット。

セキュリティグループは、インスタンスに対してのトラフィックを制御する仮想ファイアウォール。
許可するインバウンドのポートと送信元を設定するボワイトリスト。
送信元には、CIDRか他のセキュリティグループIDを指定できる。

ネットワークACLは、サブネットに対してのトラフィックを制御する仮想ファイアウォール。
拒否するインバウンドのポートと送信元を設定するブラックリスト。
必要がなければ設定しない追加のセキュリティレイヤー。

外部からEC2インスタンスにアクセスするための重要なポイント

  • インターネットゲートウェイをVPCにアタッチする。
  • インターネットゲートウェイへの経路を持つルートテーブルをサブネットに関連付ける。
  • EC2インスタンスをそのサブネット内で起動する。
  • EC2インスタンスにパブリックIPアドレスを有効にする(またはEC2のパブリックIPアドレスを固定するElastic IPをアタッチする)

VPCと既存のオンプレミス環境をVPN接続できる。
VPCと既存のオンプレミス環境をダイレクトコネクトを使って専用線で接続できる。

CloudFrontはユーザーへ静的/動的ウェブコンテンツを配信するEdgeサービス。
エッジロケーションを使用するCDNサービス。
S3から直接に配信したり、ELB経由のEC2から配信するよりも、
CloudFrontにキャッシュを持ち、ユーザーにはキャッシュコンテンツを配信する方が、より早く効率的にコンテンツを提供できる。

世界中のエッジロケーションが利用できるので、ユーザーへは最もレイテンシーの低いエッジロケーションから配信される。
通信を保護するために証明書を設定できる。
外部の攻撃からも守ることができる。

Router53はエッジロケーションで使用されるDNSサービス。
複数のレコードを設定し、用途に応じで最適なルーティングを選択できる。
システムの高可用性を世界中のリージョンを使用して実現できる。

Zone Apexに対しても柔軟な設定ができ、高可用性を実現できる。

8.データベースサービス

RDS(Amazon Relational Database Service)オンプレミスで使われているデータベースエンジンをそのまま簡単に使うことができる。
RDSを使うことでインフラ管理から解放され、本来やるべき開発に注力できる。

OS、データベースエンジンのメンテナンスをAWSに任せることができる。

データベースのバックアップを管理しなくて良い。
バックアップ期間中の任意の特定時間のインスタンスを起動できる。

マルチAZ配置を使用することでデータベースの高可用性を実現できる。
レプリケーション、フェイルオーバーはRDSの機能によって自動的に行われる。

Amazon AuroraはMySQL/PostgreSQL互换の、クラウドに最適化されたリレーショナルデータベース。

DMS(AWS Database Migration Service)はデータベース間でデータを移行できるサービス。

DMSによりオンプレミスからAWSへの継続的なデータ移行を行い、システムのダウンロードタイムを最小限にできる。

DynamoDBは振るマネージドなデータベースサービス。
リージョンを選択して使うことができる。

データの特徴やシステム要件に応じで適したデータベースサービスを選択する。
中規模程度のアクセス量で、整合性や複雑なクエリを必要とする場合はRDSを選択する。
大規模なアクセス量で、単純な自由度の高いデータモデルを扱う場合はDynamoDBを選択する。

9.管理サービス

AWSのサービスを使い始めると、サービスにより起動されたリソースのメトリクスがCloudWatchに自動的に収集され始める。

CloudWatchの特徴:

  • 標準(組み込み)メトリクスの収集、可視化
  • カスタムメトリクスの収集、可視化
  • ログの収集
  • アラーム

標準メトリクスは、使用するサービスによって取得される情報が異なる。
EC2のカスタムメトリクスはCloudWatchエージェントで取得できる。

EC2のCloudWatchLogsはCloudWatchエージェントで取得できる。
CloudWatchLogsによりEC2をよりステートレスにできる。
CloudWatch Logsは文字列のフィルタリング結果をメトリクスとして扱える。

アラートを設定することにより、モニタリング結果に基づく運用を自動化できる。

Trusted Advisorはaws環境を自動でチェックして、ベストプラクティスに沿ったアドバイスをレポートする。

  • コスト最適化
  • パフォーマンス
  • 耐障害性
  • セキュリティ
  • サービス制限

コスト最適化では、無駄なコストが発生していないかがチェックされる。

パフォーマンスでは、最適なサービス、サイズが選択されているかがチェックされる。

セキュリティでは、環境にリスクのある設定がないかがチェックされる。

フォールトトレランスでは、耐障害性が低い状態がないかがチェックされる。

意図しない操作や不正アクセスによってお客様に不利益が生じないよう、サービス制限がある。
サービス制限では、制限につかづいたサービスがアラート報告される。

CloudTrailはAWSアカウント内のすべてのAPIを呼び出しを記録します。
CloudFormationは、AWSの各リソースを含んだ環境を自動作成/更新/管理します。
Elastic Beanstalkは、Webアプリケーションの環境を簡単にAWSに構築します。

消費モデルはエンジニアだけではなく組織全体で受け入れる。

課金体制はサービスによって異なる。

お客様は最適な料金モデルを選択できる。

請求書では月の途中でも課金の状況を確認できる。

コスト配分タグによってROIの诉求分析ができる。

請求アラームによって使いすぎを抑止するための通知ができる。

AWS Organizationsで複数アカウントを階層管理できる。Organiationsの一括請求を使用することで、複数アカウントの請求を1つの請求にまとめることができます。

エスカレーションパスを用意することは重要。

4つのプランがあり、サポート料金によって段階がある。

簡易もつもりツールで、請求見込み額を事前に計算しておくことができる。

TCO計算ツールはAWSとオンプレミスのコストを比較するツール。