AWS クラウドプラクティショナー勉強日記

[shareof]

定義 本学習ログは、「AWS認定 クラウドプラクティショナー」と呼ばれるテキストに沿って解釈したものである。

第2章クラウドの概念について 2020/07/27~2020/07/28

• [x] クラウドとは何かを理解する
• [x] オンプレミス環境について説明ができる
• [x] リージョンについての説明ができる
• [x] AWSの長所と利点についての説明ができる
• [x] SPOF(Single Point Of Failure)について説明ができる
• [x] クラウドアーキテクチャの設計原理(Design for Failure)について説明ができる
• [x] サービス指向アーキテクチャ(SOA)について説明ができる
• [ ] 疎結合と密結合についての説明ができる(プログラムレベルではなくもう少し大きい括り)
• [x] キューイングチェーンについて説明ができる
• [x] EC2(Amazon Elastic Compute Cloud)についての説明ができる
• [x] Availability Zone(AZ) について説明ができる
• [x] モノリシックデザインとマイクロサービスの違いについて説明できる
• [x] 弾力性の意味を説明できる
• [x] スケールアップとスケールアウトの違いについて説明ができる
• [x] データウェアハウス(DWH)について説明ができる

クラウドとは?

様々なITリソース(仮想サーバ、ネットワーク、ストレージ等)を利用したい時に利用した分だけ従量課金で利用できるサービスの総称

オンプレミスとは?

サーバ、ネットワーク、ソフトウェアなどの設備を自前で導入すること

※そのため、クラウドはよくオンプレミスの対義語として扱われる。

リージョンとは?

クラウドサービスで利用する、データセンターを設置している独立したエリアのこと

AZ(アベイラビリティーゾーン)

リージョンの内の独立した区間を示すもので、主に可用性の指標となる

SPOF(Single Point Of Failure)

システムを構成する要素のうち、そこが停止するとシステム全体が停止してしまう部分のこと

SOA(Service Oriented Architecture)

システムを『機能単位の部品（サービス）』の集まりと見なす考え方

スケールアップとスケールアウト

単体性能の向上を図るのが、スケールアップ でサーバの台数を増設して全体のスループットの向上を図るのがスケールアウト

キューイングチェイン(Queuing Chain)

AWSを疎結合なシステムとして実現するために用いているメッセージキューイングのデザインパターンである。

EC2インスタンスの処理を例にとった場合 ある処理を担当するEC2インスタンスから、次の処理を担当するEC2インスタンスへの処理の受け渡しはSQSを仲介(Chain)して行う。 もう少し技術的な観点から述べるのであれば ジョブ(メッセージ)の受信 → ジョブの処理 → ジョブ(メッセージ)の送信

EC2

AWSで利用できるシステムのひとつであり、AWS上に仮想サーバーを構築して自由に利用できるのが特徴 また、EC2では仮想サーバのことをインスタンスという単位で呼ぶ EC2というシステムをわかりやすく解説してくれているサイト

モノリシックとマイクロサービスについて

(左図)モノリスとは 一枚岩 という意味であるようにアプリケーション内部に複数の基幹システムを集合させた設計を示す。 このアーキテクチャの欠点としてはシステムの仕様が変更された場合に本当はある一部分の基幹システムだけを改修すればよいが、他の基幹システムと密接な関係で設計されているためインタフェースなどの見直しが必要となる点がひとつでもう一つはモジュール毎の単体テストを行い辛いという欠点がある。

対してマイクロサービスは基幹システムとういう思考ではなくそれらを 一つのサービス と捉えて違いに素の関係を作る設計 である。各サービスはREST APIとしてWebアプリからリクエスト(GET,POST,DELETE,PUT)を受ける形をとる。 そして言うまでもないが、互いに素の関係でサービスを設計しているので、単体テストも他のモジュールに依存しないため、行いやすいく、改修が発生した場合も局所的な改修で済む

データウェアハウス(DWH)

様々なシステムからデータを保存し、それを分析するために整理する、いわばデータの「倉庫」である。 DBとの欠点的な違いについてはDBだとデータの保存や編集などさまざまな機能を有するが、DWHの場合はデータの分析に特化しているため、各システムのデータを時系列的に収集し、サブジェクト別に整理することで、より詳細な分析が可能となる

AWSの長所と利点について　

1.固定費(設備投資費)が柔軟な変動費に変わる

従来の環境(オンプレミス)では事前にデータセンタやサーバに多額のコストを支払う必要があったが、クラウドでは利用したい時に利用した分の従量課金となるため、無駄なコストを削減できるようになる。そのため、TCOの面でも経済的になる。

2.スケールによる大きなコストメリットがある

数十万単位のユーザがクラウドを利用しているため、一人一人が利用する金額を低額に設定できる。

3 .キャパシティの予測が不要になる

オンプレミス環境の場合だと、予め最大ピークのLatencyなどを見積もってサーバを構築したり、DCを配置する必要があるが、 クラウドでは、必要な分だけ利用できるというメリットがあるため必要になった際に、スケールアウトやスケールアップを行うだけでよくなる。そのため、初期投資の際に発生する無駄なコストを見直すこともできる。

4.速度と俊敏性の向上が期待できるようになる

AWSを利用することで、今まで数週間かかっていたITリソースの調達をわずか数分で行えるようになる。 そのため、アジャイルなどのスピードを求めた開発モデルに恩恵を受けやすい。

5.データセンタの運用と保守への投資が不要になる

AWSを利用する際に、料金プランの中に、サーバの運用や保守などの手間賃も含まれているためユーザはサーバの設置、連携、起動などの時間がかかる操作を行わずに済む。 そのため、ユーザに直結した業務(アプリ開発)などに専念することができる。

6.わずか数分で世界中にデプロイができる

クラウドアーキテクチャの設計原理について

形あるものは全て壊れるということを大前提におき、設計を行う 具体的な内容としてはハードウェアはいつか故障する,停電によりシステムはダウンしてしまう,などと故障ありきで設計を行うことを Design for Failure(故障に備えた設計) といい、クラウドでこの設計を実現するためにはSPOFを作らないようにすることが大切である。

コンポーネントの分離

クラウドの設計においてスケーリングを大規模に行う際に重要となるのは、そのシステムが疎結合で構築されているかどうかである。AWSでは各コンポーネントを疎結合にするためにAmazonSQSと呼ばれるキューイングチェーンを利用することで 非同期 かつ 疎結合なシステムを実現している。

弾力性の実装

ここで 弾力性 という言葉がでできたが、よくわからないので調べることにした。

• １ 物体の弾力に富む性質。「弾力性のある若々しい肌」
• ２ 思考や行動などの状況に応じて変化できる性質。柔軟性や融通性。 一般的な定義から推察すると2番目の定義がココ(クラウドの世界 or ITの世界)使われている可能性があることがわかった。

クラウドはインフラストラクチャーに 弾力性(Elastic) という新しい概念を持たせることができる。 弾力性を以下の方法で実現が可能となる

• [x] 巡回スケーリング

  一定間隔(毎週、週毎、月ごと、四半期毎)に発生する定期的なスケーリング

• [x] イベントベーススケーリング

  予定されているビジネスイベントのためにトラフィックリクエストが急激に増加され
  ると予想されるときに実施するスケーリング（新製品の立ち上げや、マーケティングキャンペーン等）

• [x] オンデマンドの自動スケーリング

  モニタリングサービスを使用することにより、システムがトリガーを送信し、メ
  トリックスに基づいてスケールアップ、ダウンする適切なアクションを実行します（例えばサーバーの利用量や
  ネットワーク I/O 量などを活用）

  常に並列化を考慮する

  参考文献 クラウドでは繰り返し可能なプロセスを用意に構築することができる(スケーリング等) そのため、できるだけ並列化を図り尚且つ可能であれば自動化を実践すること重要である。

動的なコンテンツデータをクラウドコンピューティングリソースの近くに保管し、静的なコンテンツデータをエンドユーザの近くに保管する

AWS Well-Architectedフレームワーク

• [x] 1. 運用上の優秀性

     ビジネス価値を実現するためのシステムを実行してモニタリングし、それらをサポートするプロセスと手順を継続的に改善 
     する機能

• [x] 2. セキュリティ

     リスクの評価と軽減戦略を通してビズネス価値を提供しながら、情報、システム、資産を保護する能力

• [x] 3. 信頼性

      インフラストラクチャーやサービスの障害からの復旧、必要に応じたコンピューティングリソースの動的な取得、設定ミ　 
      スや一時的なネットワークの問題などの障害の軽減といったシステムの機能

• [x] 4. パフォーマンス効率

  　　コンピューティングリソースを効率的に使用してシステム要件を満たし、需要の変化や技術の進歩に合わせてこの効率を維持 
     する能力

• [x] 5. コスト最適化

  　　最も安価にシステムを実行してビジネス価値を実現する能力

[shareof]

第3章AWSのセキュリティ 2020/07/29 ~ 2020/07/31

• [x] エッジロケーションについての説明ができる
• [x] コンプライアンスプログラムについて説明ができる
• [x] ハイパーバイザーの説明ができる
• [ ] 管理プレーンについて説明ができる
• [x] マネージドサービスについて説明ができる
• [x] AWS Artifactについて説明ができる
• [x] 認証と認可の違いを説明できる
• [x] IAM(アイアム)について説明ができる
• [ ] IAMユーザについて説明ができる
• [x] インバウンドトラフィックについて説明ができる
• [x] アウトバウンドトラフィックについて説明ができる
• [x] DDOSについての説明ができる
• [ ] PCI DSSの説明ができる

エッジロケーション

サービスを提供するためのデータセンタを示す。 ちなみにその中で提供されているサービスはAmazon CloudFront(CDN)である。 こちらのエンドポイントを叩くことで全てのエッジロケーションを見ることができる https://ip-ranges.amazonaws.com/ip-ranges.json

コンプライアンスプログラム

経営用語の一つであり、企業が従業員に対してコンプライアンスを遵守させるために、自社で作成する計画のこと

ハイパーバイザー

コンテナ化と相対的な関係に位置する仮想技術であり、ハードウェアに搭載されているプロセッサやメモリの使用時間を細かく分割してそれぞれをひとまとめにし複数の個別独立した仮想サーバを実現するために用いられるソフトウェアのこと 両者の大きな違いについては、下図からもわかるようにホストOS上でゲストOSが動作するかしないかということである

マネージドサービス

一連の業務をアウトソーシングしたサービスこと(クラウド等が第一声としてあがる)

AWS Artifact

AWS がいかに安心なサービスかを第三者がまとめた監査レポート

認証と認可

相手が誰（何）なのか確認するのは 認証 リソースへのアクセス権限を与えること 認可

IAM(アイアム)

Identity and Access Managementの頭文字をとったもので、IT環境にアクセスを行う上で必要不可欠な以下2つの要素 Identity≒ユーザID 、アクセス管理(Access Management)からなるセキュリティ用語である。

インバウンドトラフィックとアウトバウンドトラフィック

ネットワークを流れるデータのうち、外から中に入ってくるデータ（量）: インバウンドトラフィック ネットワークを流れるデータのうち、中から外に出ていくデータ（量) : アウトバウンドトラフィック

DDOS(Distributed Denial of Service attack)

ネットワークトラフィック(通信量)を増大させ、通信を処理しているコンピューティングリソース(通信回線やサーバの処理能力)に負荷をかけることによってサービスを利用困難にしたり、ダウンさせる攻撃のこと

DDOS得意性 DDOSはDOS攻撃を発展させたものであり、攻撃元が複数のコンピュータを乗っ取りターゲットに対して一斉攻撃を行う性質をもつ

AWSの責任共有モデル

AWS側がいくらコストをかけてセキュリティを担保したところで、ユーザの側の利用次第ではセキュリティの維持が難しくなる そのため AWSとユーザが負う責任が明確に分かれ それぞれのセキュリティを共有して守っていくこと

実際の役割について

• [x] クラウド本体のセキュリティ AWSグローバルインフラストラクチャーに含まれるリージョンやAZ、エッジロケーションといったデータセンタの地域、マネージドなサービスのソフトウェアの各種管理(アップデートやセキュリティパッチのインストール)がAWSの担当

• [x] クラウド内のセキュリティ ゲストオペレーティングシステムの管理(アップデート、セキュリティーパッチのインストール)やAWSより提供されるセキュリティグループファイアーウォールの設定がユーザの担当

AWS クラウドセキュリティの利点

• [x] データの保護 安全性の非常に高いAWSデータセンタに全てのデータが保存される設計になっている

• [x] コンプライアンスの要件に準拠 インフラストラクチャー内で数多くのコンプライアンスプログラムを管理できる。 そのため、コンプライアンスの一部は最初から達成される

• [x] コストの削減 ユーザ自身がデータセンタのなどの施設を持たず、AWSデータセンタに頼ることできるため、大幅なコストの削減かつ、最高難度のセキュリティを保つことができる

• [x] 迅速なスケーリング クラウドの使用量に合わせて迅速にセキュリティをスケーリングできる

AWSが責任を持つ範囲の考え方

さきに述べたAWSの責任共有モデルでAWSが負うべきクラウド本体の責任をレイヤ毎に分解すると以下のようになる

物理的なセキュリティー

環境レイヤー、物理的な境界防御レイヤー、インフラストラクチャーレイヤ、データレイヤの集合から構成される 各レイヤーの役割について

• [x] 環境レイヤー 立地の選択、建設、運用・維持に至るまで、環境に固有の要因について考慮されている。AWS は、洪水、異常気象、地震といった環境的なリスクを軽減するために慎重にデータセンターの設置場所を選択している。 AWSの各リージョンにおけるデータセンタ郡は互いに独立し、物理的に分離されて配置されているため、不測の事態が発生した場合処理中のトラフィックを影響のある地域から自動的に移動できる設計が成されている

• [x] 物理的な境界防御レイヤー AWSデータセンタの物理的なセキュリティは境界防御レイヤーから開始される 保安要員、防御壁、進入検知テクノロジー、監視カメラ等がその役割を担っている

• [x] インフラストラクチャーレイヤー 発電設備、冷暖房換気空調設備、消化設備などでサーバを保護することを目的としているが、究極的にはユーザのデータを保護することに役立っている(サーバを保護することで必然的にユーザのデータも守ることができるため)

• [x] データレイアー ユーザのデータを保持する唯一のエリアであるため、防御の観点ではどのレイヤーよりもクリティカルである 防御策はアクセスを制御し各レイヤーにおいて特権を分離することからはじまる。 またAWSはこのレイヤーをさらに保護するために脅威検出機器やシステム的な手続きを備えている

管理プレーンの保護

管理プレーンの保護に関するセキュリティの範囲はユーザの担当である

• [x] IDとパスワード これ等の管理はユーザの責任であるため、パスワードの流出したことで意図しないクラウドの利用が行われ請求が発生した場合はユーザに過失がある。そのため、AWS側が提供している多要素認証(MFA)を行い、権限の強いアカウントを保護する必要がある。

※ルートアカウントの定義 AWSサインアップ時に作成したメールアドレスのアカウント が該当する このアカウントは全ての操作を行うことができるため、通常時の運用では適切な権限のみを付与したユーザを作りそのアカウントで運用するべきである。また1つのアカウントに対しユーザは複数作成できる

• [x] キーペアの管理 EC2などのAWSインスタンスへのログインで利用する。 認証には公開鍵認証方式を用いているため、ユーザ側は秘密鍵を適切に管理する責任がある。 そのため、秘密鍵を共有することは好ましい行為ではなく、ユーザごとにキーペアを作成し、ユーザ毎の公開鍵をサーバ(EC2などのインスタンス)に設定するのが望ましい。

• [x] APIキーの管理

  操作手段	利用方法	認証方式
  Webブラウザ	AWSマネージメントコンソール	ユーザ名/パスワード
  コマンド	AWS CLI	アクセスキー/シークレットアクセスキー
  プログラム	AWS SDK	アクセスキー/シークレットアクセスキー

ユーザは、アクセスキーとシックレットアクセスキーを作成・保持することでAWS CLIやAWS SDKの認証情報として利用できる 基本的な利用方法としては、認証情報を環境変数に設定もしくは、認証ファイル内に格納して利用する また、これらの認証情報はユーザのアカウントと同等であるため、権限の強いアカウントでは利用しない(特にルートアカウント) ことが望ましい。

• [x] アクセス制御と権限管理

マネージドでないサービスのセキュリティ

ユーザが操作できる全ての部分はユーザに責任がある

マネージドなサービスのセキュリティ

ユーザとAWSでそれぞれ分担する

セキュリティのベストプラクティック(ユーザが責任を負う部分)

• [x] 1.転送中のデータの保護 Ex:適切なプロトコル及び、暗号化アルゴリズを選択する必要がある
• [x] 2.備蓄データの保護 Ex:3.データベースの登録時にアプリケーション上のデータを暗号化しておく必要がある
• [x] AWS資格情報の保護 Ex: ルートアカウントを使用せずに、ユーザごとにIAMユーザを作成し、必要最低限の権限を付与するようにする
• [x] 4.アプリケーションの安全性の確保 IPAやCSAから発行されている脆弱性関連情報をチェックし、 Amazon Inspectorなどを使用して定期的な脆弱性診断を行うように心がける

第三者認証

ユーザはAWSのデータセンタ等をみてデータの安全性を確かめることはできないが、第三者が監督している調査レポート(AWS Artifact)を通じて確認することがきる。

AWSにおけるIAM(Identity and Access Management )

ユーザのAWSクラウドリソースへのアクセス管理サービスである。 この管理サービスを利用することにより、AWSのユーザとグループを作成及び管理し、アクセス権を使用してAWSリソースへのアクセスを許可及び拒否できる。

IAMロール

EC2やLambdaなどのAWSリソースに権限の付与を行うことができる。 メリットとしてはAWS内部でIAMロールとEC2を直接紐付けることができるのでキー管理が不要となる。

セキュリティグループ

1つ以上のインスタンスのトラフィックを制御するための仮想的ファイアウォール 従来のファイアウォールとの差異は個別のインスタンスに対してファイアウォールを設定できる点である。

行える設定

• [x] 許可ルート設定が可能
• [x] 拒否ルートの設定は不可能
• [x] インバウンドトラフィックとアウトバウンドトラフィックのルールを個別に設定可能

留意点 セキュリティグループを新規作成する際は インバウンドルールがない そのため、インバウンドルールをセキュリティグループに追加するまで別のホストから送信されるインバウンドトラフィックは許可されない。

AWS Shield とAWS WAF

マネージドな型の分散サービス妨害(DDOS)に対する保護サービスあり、アプリケーションのダウンタイムとレイテンシを最小限に抑える常時稼働の検出と自動インライン緩和策を提供している。

AWS Shieldにはふたつのレベルでのサービスが存在する

• [x] Standard 全てのAWSユーザはAWS Shield Standardの保護の適応を自動的に受けることができる 機能としては、Webサイトを標的にした一般的なネットワーク及びトランスポート層のDDOSを防御することができる

• [x] Advanced 従来の業務(攻撃通知、レポート生成など)DDOS Response Teamアウトソースできるのでユーザ直結する業務に専念できる また、AWS WAFサービスが無償で無制限に利用可能となる

AWS WAF

アプリケーションの可用性低下、セキュリティの侵害、リソースの過剰消費などの一般的なWebの脆弱性からWebアプリケーションを保護するマネージド型のWebアプリケーションファイアウォール

留意点 従来のWAFとは異なり、予めWAFの定義は内臓されていないためどのトラフィックをWebアプリケーションに許可またはブロックするかをユーザ自身で行う必要がある。

Amazon Inspector

AWSのEC2上にデプロイされたアプリケーションのセキュリティとコンプライアンスを向上させるための脆弱性診断サービス 診断が行える事項

• [ ] ネットワークセキュリティにおけるベストプラクティス
• [ ] 認証におけるベストプラクティス
• [ ] OSセキュリティにおけるベストプラクティス
• [ ] アプリケーションセキュリティにおけるベストプラクティス
• [ ] PCI DSS 3.0アセスメント

[shareof]

第4章 AWSのテクノロジー

• [x] AWSが定めているリージョンとローカルリージョンの違いについて説明ができる
• [x] マルチサイトアクティブ-アクティブの説明ができる

ローカルリージョンとリージョンの違い

参考文献 現在AWSには24箇所のリージョンと1つの ローカルリージョンをが存在する。 このローカルリージョンとは 2018年2月に開設された大阪リージョン を示す。 ローカルリージョンのリージョンの決定的な違いは以下である

• [x] 1. 単独のリージョンだけの利用はできない。 大阪ローカルリージョンが、アベイラビリティーゾーン（AZ）を1つしか持たないため基本的に東京リージョンとの併用が前提となる。主な用途は金融機関や医療機関など社内規定や順守すべきセキュリティ対策基準などの関係で、海外リージョンにデータを移すことが難しい機関のために用意された特別なリージョンである。

• [x] 2. 利用するのに事前の申し込みと審査が必要 金融系のサービスなど、法制度の要件によって、データの冗長性を国内のデータセンターで確保する必要がある場合に大阪ローカルリージョンが利用できる

マルチサイトアクティブ-アクティブ

複数リージョンに 完全に稼働にする同じシステム を構築し、災害時におけるダウンタイムを最小限にするデザイン

AWSグルーバルインフラストラクチャーの詳細

AWSが提供しているグローバルインフラストラクチャーは AZ 及び リージョン を中心に展開している。

リージョンの選択条件について

• [x] 保存するデータやシステムがそのリージョン地域の法律やシステムを所有しているか
• [x] ユーザや連携するデータに近いか
• [x] 必要なサービスは揃っているか
• [x] コスト効率は良いか

エッジロケーションの詳細

リージョンとは違う場所に200箇所以上し、主にふたつの用途がある。

• [x] 低レイテンシーなDNSクエリの実現 DNSサービスとして、Amazon Route 53 が利用することにより実現している。 Amazon Route 53については後ほどの章で触れる。
• [x] コンテンツの低レイテンシー配信 Amazon Cloud Front を利用することで実現している

[shareof]

第5章 コンピューティングサイエンス

• [ ] プロビジョニングについて説明ができる
• [ ] EBSについて説明ができる
• [ ] AMI(Amazon Machine Image)の説明ができる
• [ ] スポット料金について説明ができる
• [ ] スポットインスタンスの説明ができる
• [ ] S3についての説明ができる
• [ ] AWS CodeCommitについて説明ができる

スポット料金

EC2ではクライアントが好きな時に必要な量だけ使用できるように未使用のEC2キャパシティが存在する この未使用のキャパシティ量によって変動する料金のこと

EC2の概要

EC2(Amazon Elastic Compute Cloud)の略であり、AWS上にインスタンスという単位で仮想サーバの構築を行うことができるシステム

EC2の特徴

• [ ] 必要な時に必要なだけの量を使用 従来のオンプレミス環境では予め予測してサーバ台数を見積もる必要があったが、AWSのEC2では必要な時に必要なだけのインスタンスを稼働させることができる。このためピーク時のみインスタンスを増やすなどの考えができるため、弾力性 に長けている

  • [ ] 使用した分にだけコストが発生

    EC2の料金は以下3種類から構成される

  • 1.EC2に対しての料金 OS,リージョン、インスタンスタイプによって料金が異なる この料金は1時間単位で課金され、停止中は課金の対象外となる。
  • 2.データ転送料金 リージョンの外にデータを転送した場合 にデータ転送料が発生する また、データ転送料についてはリージョンごとに異なるため、他のリージョンにデータを転送した場合にも発生する
  • 3.ストレージ転送 厳格にはEC2の料金ではなく EBSの料金である EBSに対しての課金は1GBあたりのプロビジョニングした料金である。

• [ ] 変更可能なインスタンスタイプから性能を選択 EC2では様々インスタンスタイプという性能の組み合わせから選択することが可能 下図はインスタンスタイプの表記を表したもの

インスタンスタイプの選定

インスタンスの性能が低い方が一見コスパがよく見えるが、最適なコスト効率を図る上では 必要としているコンピューティンング処理を最も早く完了できるインスタンス を選択することにある。

• [ ] 数分でサーバを調達して起動できる 手動でEC2のインスタンスを起動するステップは極めて用意であるためものの数分で起動できる

  • 1.リージョンの選択
  • 2.AMIを選択する
  • 3.インスタンスタイプを選択する
  • 4.起動するネットワークを選択
  • 5 ストレージの選択

• [ ] 世界中のリージョンから起動場所を選択 EC2の起動する場所を世界中のリージョンから選択することができる また、どのリージョンで起動しても時間差はほとんどない

• [ ] AMIからいくつでも同じサーバを起動できる EC2インスタンスは先ほどのステップでも紹介したよう、AMIから起動する 1つのAMIから幾つでのインスタンスを起動できるため、 同じ構成を持ったEC2インスタンスを複数起動できる

  AMIには大きく分けて4種類存在する

  • [ ] 1.クイックスタートAMI AWSが予め用意しているAMIであり、Amazon Linux ,Windows, RedHat, SuSE, UbuntuなどのOSとモジュールがインストール済みで用意されている。 そのため 最初に始める時に要件が合致しているAMIが存在する場合はクイックスタートから選択 する
  • [ ] マイ AMI クライアント(ユーザ)自身で作成するAMIである。
  • [ ] AWS Matketplace ソフトウェアやミドルウェアが既にインストールされている構成済みのAMIである。 パートナーベンダが公開している(テスト済み)ため、使用予定のソフトウェアがAWS Marketplaceに存在する場合はこれを使用することで最も迅速にシステムの構築を行うことができる。
  • [ ] コミュニティAMI 上記のAMIが適さない場合に利用が推奨される(WindowsのJapaneseエディション)などもコミニュティに該当する。

• [ ] セキュリティグループ(FW)でトラフィックの制御ができる

OSを管理者権限で操作できる

起動したEC2のインスタンスではキーペアを使用することで管理者権限(Admin)を利用できる

AMIで指定するOSがAmazon Linuxの場合はデフォルトユーザとして ec2-user Ubuntuの場合は ubuntu が割り当てられている

$ ssh -i  .ssh/MyKey.pem ec2-user@<host>

ユースケースに応じた料金オプション

• [x] オンデマンドインスタンス 料金オプションを使わずともEC2インスタンスの起動時に発生する定額料金のこと

• [x] リザーブドインスタンス 予め利用期間がわかっている場合に利用すると効果を発揮する料金オプションであり、1年または3年の使用期間を事前に設定できる。

• [x] スポットインスタンス スポットインスタンスとは、AWSサーバ上に存在し、使われていないEC2インスタンスに値段をつけ、その入札価格が現在のスポット価格(※長期ではなく、1回ごとの取引で決定され成立した市場価格)を上回っている限り、そのインスタンスを利用することができるというもの

• [x] Dedicated Hosts EC2 インスタンスを起動できるお客様専用の物理サーバー EC2を起動するホストを専有するオプションであり、セキュリティ、ガバナンス要件、ライセンス要件を満たす目的で利用される。ほかの料金オプションとの最大の違いは インスタンスではなく、ホストに対しての従量課金 であること

• [x] ハードウェア専用インスタンス アカウント専用のハードウェアでEC2を実行する Dedicate Hotsとは違い、インスタンス単位で料金が発生する

• [x] Saving Plans 1年または、3年でより柔軟にコストを節約(Saving)できる

ELB(Elastic Load Balncer)

EC2インスタンスに送られてくるユーザのリクエストトラフィック可用性を高めるために分散させる

ELBの特徴

• [x] ロードバランサタイプ

  • 1.Application Load Balancer HTTP/HTTPSのリクエストを負荷分散するために用いる
  • 2.Network Load Balancer TCPプロトコルを使用する場合に用いる。Application Load Balancerにはない機能として、静的なIPアドレスの使用 が可能
  • Classic Load Balancer 1,2が存在しなかった時に使用されていたLBだが、今後使う用途は特にない

• [x] ヘルスチェック インスタンスが正常に稼働しているか検査(疎通確認等)を行い、正常稼働なインスタンスのみにリクエストを送るようにするし組む

• [x] インタネット向け/内部向け ELBではインターネット向け(パブリックIPアドレス) か 内部向け(プライベートIPアドレス)かを選択することができる

• [x] 可用性のマネージドサービス ELBを通過するトラフィックが増える事で自動的にELBノードも水平方向に増えるため多量のリクエストをユーザから受けても SPOFにならない。

• [x] クロスゾーン負荷分散 ターゲットに対し、AZを越えて負荷分散すること 複数AZにまたがって登録されたEC2インスタンスに均等に負荷が分散できるため、リクエストの分散が均等になり、ターゲットインスタンスのリソースを無駄なく使用することができる。

Auto Scalingの概要

インスタンスを必要なタイミングで必要なインスタンス分だけ動的に用意することができる。 そのため、インスタンスをもっとも効率よく使用することができる。

垂直スケーリングと水平スケーリング

• [x] 水平スケーリング AutoScalingのように インスタンス数の増減 でスケーリングすること
• [x] 垂直スケーリング インスタンスそのもののスペック(性能)を変化させるスケーリングのこと 比較図

Auto Scalingの設定

Auto Scalingを実現するための3つの要素

• [x] 何を = 「起動設定」 どのようにEC2のインスタンスを起動するか
  • IAM
  • インスタンスタイプ
  • IAMロール
  • ユーザデータ
  • ストレージ
  • セキュリティグループ
  • キーペア
• [x] どこで = 「Auto Scalingのグループ」 どこでEC2インスタンスを起動すか
  • 起動設定名
  • アベイラビリティーゾーン(VPCのサブネット)
  • ELBのターゲットグループ
  • 最小/最大/希望するインスタンス数
  • 通知
  • タグ
• [ ] いつ = 「Auto Scalingのポリシー」 3つのタイプのポリシーのAuto Scaling ポリシーが存在する
  • ターゲットポリシー Auto ScalingグループのEC2インスタンス平均CPU使用率などを決めておく事でAWSが自動的に最小と最大数の間のEC2インスタンスを調整する
  • シンプルポリシー CloudWatchのアラームに基づいて、AutoScalingを実行し、その後「クールダウン」と呼ばれる機能でAuto Scalingアクションが連続して発生し、インスタンスが頻繁に起動されることを防ぐ
  • ステップポリシー 複数段階(ステップ)でインスタンスの追加・削除ができる いつのタイミングで起動または終了するか

※ Auto Scalingではポリシーだけではなく、スケジュール も設定できる

アプリケーションのデプロイの自動化

• [ ] EC2インスタンスの構成はステートレス AWSでは不要となったEC2インスタンスはスケールインされるため、インスタンス自体に 情報や状態を持たせない ステートレスな構成が求められる

• [ ] ブートストラップ 起動しているアプリケーションのバージョン情報や、プログラム自体に改修を行った場合AMIの再作成、起動設定の再作成を行わずに [ユーザデータ]()を返してApplyできる機能のこと

ユーザデータを利用してApplyするshスクリプトの例

#!/bin/bash
set -ex

yum -y update
cd /var/www/html
git pull
IP_ADDRESS= $(curl -s http://<host>/latest/meta-data/public-ipv4)
echo $IP_ADDRESS >> /etc/conf/app.conf

Lambda

ソースコードさえ用意することでそのプログラムを実行させることができるサービス

Lambdaの特徴

• [ ] サーバの構築が不要 実行したいプログラムのラインタイムを選択してソースコードのアッップロードするだけで実行ができる

• [ ] サーバの管理が不要 以下のようなサーバ管理が不要になる

  • OSの更新
  • セキュリティパッチの適応
  • ディスク容量の追加
  • OS,ミドルウェアのメンテナンス
  • 冗長化、障害時の復旧
  • スケイラビリティの確保
  • 障害を考慮した設計
  • 実行時のリトライ
  • ジョブが特定時間に集中する時間の考慮

• [ ] 一般的な言語サポート 対応している言語

  • C#
  • PowerShell
  • Go
  • Java
  • Nodejs
  • Python
  • Ruby

• [ ] 並列処理/スケーリング リクエスト数に応じて自動的にLambda関数が増えるのでAuto Scalingの設定は不要になる

• [ ] 柔軟なリソースの設定 Lambdaで設定する性能は メモリであり、128MB ~ 3008MB間で64MB刻みで設定を行える。 尚、タイムアウト時間は最長で15分に設定することができるため、15分以内で終了する処理が前提となる。

• [ ] ミリ秒単位の無駄のない課金

• [ ] 他のAWSサービスとの連携 イベントをトリガーにできるもの

• [ ] 特定の時間になった時(Cloud Watch Events)

• [ ] [S3]()にデータがアップロードされた時

• [ ] [DynamoDB]()に新しいアイテムが書き込まれた時

• [ ] Auto Scalingアクションが実行された時

• [ ] Webページでボタンが押下された時

• [ ] Kinesisにレコードが追加された時

• [ ] Alexaに質問を投げた時

[shareof]

第6章 ストレージサービスについて

• [ ] ブロックストレージの説明ができる ボリュームとブロックという論理的な単位で管理するストレージのこと

  EBS(Amazon Elastic Block Store)

  EC2インスタンスにアタッチして使用する ブロックストレージボリューム

EBSの特徴

• [ ] EC2インスタンスのボリュームとして使用する EC2インスタンスのルートボリュームまたは、追加のボリュームとして使用でき、EC2インスタンス同様で不要になればいつでも削除が可能
• [ ] AZ内でのレプリケート 複数のサーバ間で自動的にレプリケーションされるため、万が一ハードウェア障害が発生してもデータが失われることがない。
• [ ] ボリュームタイプの変更が可能 汎用のSSD以外にプロビジョンドIOPS SSD、スループット最適化HDD、Cloud HDDとったボリュームも用意されている。 また、ボリュームタイプは 使用を開始したあとにも変更 ができる。
• [ ] 容量の変更が可能 ストレージの容量は使用を開始した後にでも変更できるため、最初から最大容量を確保しておく必要がない。
• [ ] 高い持久性のスナップショット EBSのスナップショットを作成することで、S3の機能を使ってスナップショットを保存され、持久性はイレブンナイン(99.9999999%)のため、EBSの持久性も同じことが言える。
• [ ] ボリュームの暗号化 EBSの暗号化を有効にすることでボリュームの暗号化が可能となる
• [ ] 永続的なストレージ インスタンスを一度停止して再度開始しても、EBSに保存したデータは永続される。 また、インスタンスの状態に関係なく、永続的にデータが保存される。

インスタンスストア

インスタンスのホストローカルのストレージであり、データは一時的なものとして扱われる。

S3

Amazon Simple Service が正式名称であり、インターネット対応の完全マネージド型のオブジェクトストレージ

S3の特徴

• [ ] 無制限のストレージ容量 バケット(bucket)を作成することでデータを保存することができる。 尚一つのファイルについては5Tバイトまでという制限はあるが頻繁にアクセスを行うファイルで5TBを超えるデータはまず存在しないため、問題にはならない

• [ ] 高い持久性 S3ではリージョンを選択してバケットを作成し、データをオブジェクトとしてアップロードする。 そのオブジェクトは１つのリージョン内の複数のAZにまたがって自動的に冗長化してデータを保存する。 尚S3の持久性はイレブンナインである。

• [ ] インターネット経由でのアクセス S3へのアクセスはHTTP/HTTPSで行い、マネージメントコンソールやAWS CLI、SDK , APIからのアクセスすることができる。

[shareof]

第7章 ネットワークサービス

• [x] VPC
• [x] サブネット ネットワーク内のネットワークであり、IPアドレスをデバイスの範囲内で使用するために限定するため、ネットワークの効率を図ることができる。
• [x] インタネットゲートウェイ NAT(Network Address Translattion) 機能を提供する、インターネット接続時に利用されるオブジェクト

下記は インタネットゲートウェイとNATゲートウェイの比較

• [x] ルートテーブル サブネット内にあるインスタンス等がどこに通信にいくかのルールを定めたもの
• [x] ネットワークACL
• [x] NATゲートウェィ
• [x] CIDR(Classless Inter-Domain Routing)
• [x] フェイルオーバー 稼働中のシステムで問題が生じてシステムやサーバーが停止してしまった際に、自動的に待機システムに切り替える仕組み
• [x] Zone Apex (DNS)ゾーンAPEX(エイペックス)とは、以下のようにサブドメインを含まないドメイン名 example.jp

  VPC(Amazon Virtual Private Cloud)

  AWSクラウド内にプライベートなNWを構築可能にするサービス

VPCの作成

リージョンを選択して複数のAZを跨って作成することができる。 また、IPアドレスの範囲はCIDERで定義する

サブネットの定義

VPCで設定したアドレス範囲をサブネットにわけて定義する。 サブネットの定義を行う際には、AZとIPアドレス範囲を選択する必要がある。 またAWSでは以下のIPアドレスは予約されている

• [x] x.x.x.0 (ネットワークアドレス)
• [x] x.x.x.1 (VPCルータ用)
• [x] x.x.x.2 AWSで予約
• [x] x.x.x.3 将来のため予約
• [x] x.x.x.255 ネットワークブロードキャストアドレス

インターネットゲートウェイ

VPCとパブリックネットワークを接続するためのゲートウェイであり、インタネットゲートウェイ自体が高い可用性を持っているため SPOF にならない

ルートテーブル

サブネットの経路をルートテーブルで設定する。 ルートテーブルはVPCを選択して作成する。また、テーブル作成時にデフォルトとして「メインルートテーブル」が生成されるが、サブネットに関連付けられたデフォルトのテーブル であるため、そのまま使用せず、カスタムのルートテーブルを作成する。

パブリックサブネットとプライベートサブネット

• [x] パブリックサブネット インタネットゲートウェイに対してのルートを持つルートテーブルに関連付けられているため、パブリックサブネット内のインスタンスは外部と通信が可能
• [x] プライベートサブネット インターネットゲートウェイに対してのルートを持たないルートテーブルに関連付けられているため、プライベートサブネット内のインスタンスは外部アクセスから保護することができる。 また、各サブネット間にはローカル接続のルートがあるので、パブリックサブネット内のリソースとも通信が可能

セキュリティグループ

仮想FWであり、デフォルトではインバウンド(受信)へのアクセスが全て拒否されている状態である。 送信元にはCIDRでIPアドレスを範囲指定するほかに、他のセキュリティグループIDを指定することができる。 また、インバウンドへのアクセスが拒否されていることから「ホワイトリスト」を設定するなどと呼ばれる

ネットワークACL

サブネットに対して設定する仮想FWのため、サブネット内の全てのリソースに対してのトラフィックに影響する そのため、必要でない場合はデフォルトの状態で問題がない。

CloudFront

世界中に150箇所以上あるエッジロケーションを使い、最も低いレンテンシーでコンテンツを配信できるコンテンツ配信ネットワークサービス(CDN)

CloudFrontの特徴

• [ ] キャッシュによる低レイテンシーの配信 エッジロケーションにキャッシュを持つことで低レイテンシー配信を実現できる
• [ ] ユーザの近くから低レンテンシー配信 世界中のエッジロケーションを利用できるので、ユーザへは最もレイテンシーの低いエッジロケーションから配信される。

安全性の高いセキュリティ

クライアントが所有しているドメインの証明書を設定できるため、HTTPSのアクセスを受けることができ通信を保護できる。証明書はAWS Certificate Manager を使用すると追加料金なしで作成できる。

Route 53

DNSサービス(ドメイン対してのIPアドレスをマッピングしてユーザからの問い合わせに回答する)であり、エッジロケーションで使用されている。

Route 53の特徴

• [x] 様々なルーティング機能

  • シンプルルーティング 問い合わせに対して単一のIPアドレス情報を回答するルーティング
  • レイテンシーベースのルーティング/Geo DNS 1つのドメインに対して複数のDNSレコードを用意しておき、地理的な場所を近くしてレイテンシーを低くなるようにするルーティング
  • 加重ラウンドロビン 1つのドメインに対して、複数のDNSレコードを用意しておき割合を決め、その割合に応じて回答するルーティング
  • 複数値回答 複数のレコードからランダムに回答するルーティング

• [x] 高可用性を実現するヘルスチェックとフェイルオーバー ルーティングではヘルスチェックと組み合わせることができるため、プライマリーDNSがヘルスチェックで失敗となった場合、瞬時にセカンダリーDNSへ切り替えることができる。また、ロケーションを問わず世界中のレージョンを使用できるため、システム全体の可用性は極めて高い

• [x] ルートドメイン(Zone Apex) のエイリアスレコード Route 53ではAレコードなどの各レコードセットにエイリアスを設定することができるため、高可用性を実現できる

[shareof]

第8章 データベースサービス

• [x] ポイントタイムリカバリー 自動バックアップを設定している期間内であれば、秒数までを指定し、特定のインスタンスを復元できるバックアップ
• [x] リードレプリカ データベースの負荷分散のために作成される、参照専用の複製。 データベースの内容を複製したもので、データの追加や更新はできず検索や読み込みのみを行うことができる。

  RDS(Amazon Relational Database Service)

  対応しているデータベース

• Amazon Aurora
• MySQL
• PostgresSQL
• MariaDB
• Oracle
• Microsoft SQL Server

RDSとEC2の違い

インフラ管理から開放されるため、本来の開発に注力できる。

インフラ管理の開放を実現した３つの構成要素

• [x] メンテナンス OS,データベースエンジンのメンテナンスを全てAWSに一任することができる。
• [x] バックアップ データベースのバックアップをユーザが管理する必要なく、またポイントタイムリカバリーが有効であるため、特定時間のインスタンスを起動することができる。
• [x] 高可用性 マルチAZ配置を使用することでデータベースの高可用性を実現している レプリケーション、フェイルオーバーはRDSの機能によって自動的に行われる

Amazon Aurora

AWSが クラウドに最適化して再設計を行ったRDBエンジンであり、MySQLとPostgresSQLとの互換性を持つ

メリット

• [ ] バックアップが強固
• [ ] スタンバイにアクセスできる
• [ ] リードレプリカを15個作成可能
• [ ] RDS MySQLに比べて5倍の性能
• [ ] ディスク容量を見込みで確保せずとも、自動的で増加する

DMS(AWS Database Migration Service)

データベースの移行を容易に行うためのサービス

DynamoDB

フルマネージドなDBであり、リージョンを選択することができる。 またNoneSQLでデータを扱えるため、テーブルを作成する手間が省ける 水平スケーリングで大量の問い合わせにも対応できるが、複雑なクエリには向かない。

[shareof]

第9章 管理とサービス

• [ ] データポイントとは

CloudWatch

EC2のインスタンス、RDSのインスタンス、DynamoDBテーブルなどの各インスタンスの現在の状態、情報をモニタリングするサービス

CloudWatchの特徴

• [x] 標準(組み込み)メトリクスの収集、可視化 AWSが提供している範囲で知り得る情報を 標準メトリクスとして提供している EC2インスタンスの例をあげると、標準メトリクスとしてCPU使用率、ハードウェアやネットワークのステータス情報が収集される。

• [x] カスタムメトリクスの収集、可視化 EC2ではメモリやアプリケーションのステータスなどの OS以上の範囲及び、クライアントがコントロールしている範囲 については標準メトリクスとしては収集されない。 そのため、[CloudWatchエージェント]()と呼ばれるメトリクス収集プログラムにから取得する。

• [x] ログの収集 CloudWatchエージェントをインストールすることで、EC2のアプリケーションログ、Lambdaのログ、VPC Flow Logなどを収集可能

• [x] アラーム CloudWatchではメトリクス対してアラームを設定可能であるため、モニタリングに基づく運用を自動化できる

  アラームの例

• EC2のCPU使用率が10分間80%を上回る時

• ログにOutOfMemoryろいう文字列が5分間で2回以上出現した時

• RDSのディスク空き容量が残り10GB未満になり、そのまま5分が経過した時

アラームに対して設定できるアクション

• [x] EC2の回復 EC2ホストに障害が発生した場合に自動的にリカバリー(回復)
• [x] AutoScallingの実行 CloudWatchのアラームトリガーとしてAutoScalingを実施
• [x] SNS(Amazon Simple notification Service)への通知 メッセージ(EC2のメトリクス情報等)をEメールやLambdaへ渡すことができるため、モニタリングの仕組みを簡素化できる

メトリクスの保存期間について

• [ ] 60秒未満のデータポイント(高分解能カスタムメトリクス) 3h
• [ ] 1分(詳細モニタリング)のデータポイント 15day
• [ ] 5分(標準)のデータポイント 63day
• [ ] 1時間のデータポイント 445day

Trusted Advisor

クライアントのAWSアカウント環境の状態を自動的にチェックして回り、ベストプラクティスに対してどうであったかを示すアドバイスをレポートするサービス

Trusted Advisorがチェックする項目について

• [ ] コスト最適化 無駄なコスト(使用していないインスタンス)が発生していないかチェックを行う
• [ ] パフォーマンス 主なパフォーマンス低下の原因となる要素
  • 使用率の高いインスタンス
  • セキュリティグループルールの増大
  • コンテンツ配信の最適化
• [ ] セキュリティ セキュリティリスクの環境になってないかチェックを行う具体的な要素
  • S3バケットのアクセス許可
  • セキュリティグループの開かれたポート
  • パブリックなスナッショット
  • ルートアカウントのMFA,IAMの使用

※ そのほかでは、IAMパスワードポリシーが有効化されているかなどもチェックを行う

• [ ] フォールトトレランス(対障害性) 対障害性を高めるための以下のようなアドバイスを提供する

  • EBSのスナップショット
  • EC2,ELBの最適化
  • RDSマルチAZ

• [ ] サービス制限 AWSアカウントを作成した時点でいくつかのサービス制限があり、これを ソフトリミット　と言う サービス制限では 制限に近づいたサービスがアラート報告を受ける この制限が存在する意図については以下の２点である。

  • 誤った操作による意図しない請求を回避する
  • 不正アクセスによる意図しない請求を回避する

その他の管理ツール

• [ ] CloudTrail AWSアカウント内の全てのAPI呼び出しを記憶するためのツール

• [ ] AWS Config AWSリソースの変更(VPC等)を自動で記録するツール

• [ ] CloudFormation AWSの各リソースを含めた環境を自動作成/更新/管理するツールでJSON形式またはYAML形式で記述されたテンプレートから Stack というリソースの集合体を作成する。 また、AWS環境を何度でも自動で構築することができる。

• [ ] Elastic Beanstalk Webアプリケーションの環境を簡単にAWSに構築するためのツールであり、CloudFormationと違う点は独自でテンプレートの作成を行う必要がなく、パラメータを変更することでApache, Nginx ...etc 各言語の実行環境も合わせて構築ができる、

[shareof]

第10章 請求と料金

10-1 AWSの料金モデル

使った分だけの従量課金

クライアントがDC、サーバ等の設備を用意する必要がないため、初期コストは発生しない。また、必要な時に必要な分だけのリソースを使うことができるため、 資本の支出を変動費 にすることできる。 そのため、この消費モデルを組織全体で受け入れることでコストの最適化が進む

課金体系

サービスによって用途が違うため、必然的に課金方式も異なることになる またリージョンによっても料金は異なる。

多彩な課金モデル

EC2の購入オプション, S3ストレージクラス. EBSボリュームタイプ などから要件に応じて適切な料金モデルを選択できる

10-2 請求ダッシュボード

請求書

どのサービスにどれくらいのコストを費やしたかは請求書で確認することできる。 また、月の途中であっても課金の状況を確認できる。

コストエクスプローラとコスト配分タグ

コスト配分タグにより、ROIの請求分析ができる

請求アラーム

請求金額もCloudWatchメトリクスの一環であるため、アラームを仕込みAWSリソースの使いすぎ防止に努めることができる。 また、予め設定した予算よりもAWSリソースの料金が超過すると予測された時にアラームできる機能として[AWS Budgets]()がある。

10-3 マルチアカウントの運用

AWS Organaizations

AWSのアカウントは個人や組織で複数のアカウントを作成することができるが、管理面で煩雑的になりやすい。 そのため AWS Organizations を使用することで複数のアカウントを一括で管理することができる。

複数のアカウントを一括で管理する AWS Organaizations機能例

• [ ] 一括請求(コンソリデーティットビリング) 複数のアカウントの請求を一つにまとめることできる機能

10-4 AWSのサポートプラン

AWSアカウントには４つのサポートプランが存在する。クライアントは適切なサポートプランを選択することによって 運用の安全性を保ち エスカレーションパス (問い合わせ先)を確保することができる

• [ ] ベーシックプラン
  • AWSのアカウントを作成した際に、提供されている無料のサポートプラン
  • 技術サポートの面では、AWSの稼働状況をモニタリングしているヘルスチェック のみサポート
  • Trusted Advisorは最低限の項目のみサポート
• [ ] 開発者プライン
  • 29USDか使用料の3%の大きい方
  • 技術サポートを作成できるユーザは1ユーザ(9:00 ~ 18:00)
  • 構成要素についてのアーキテクチャサポート
  • Trusted Advisorは最低限の項目のみ
• [ ] ビジネスプラン
  • 100USDか使用料に応じた計算式の大きい方
  • 技術サポートを作成できるユーザは無制限(24h)
  • アーキテクチャーはユースケースのガイダンス
  • Trusted Advisorは全項目
  • サードパーティーソフトウェアのサポート
• [ ] エンタープライズ
  • 15000USDか使用料に応じた計算式の大きい方
  • 技術サポートを作成できるユーザは無制限(24h)
  • アプリケーションのアーキテクチャサポート
  • Trusted Advisorは全項目
  • サードパーティーソフトウェアのサポート
  • [テクニカルアカウントマネージャ(TAM)]()
  • [サポートコンシェルジュ]()
  • [ホワイトグローブケースルーティング]()
  • 管理ビジネス評価

10-5 その他の請求サポートツール

AWS安易見積もりツール

AWSでどれくらいのコストがかかるのかを事前に見積もってくれるツール

TCO計算ツール

AWSへの移行、導入を検討している際にオンプレミス環境で構築した場合とのコストを比較してくれるツール

[shareof]

AWS 実践編

EC2のインスタンスを実際に生成してサーバにsshする

AWS CLI(awsコマンド)からS3のbucketを作成してみる

• [ ] 1.IAMユーザを作成する
• [x] 2. 対象のEC2インスタンスにsshでログインし、秘匿情報(credentials)を登録する AWS CLIを利用するためにはIAMのクレデンシャル情報が必要なる。

  # 特定のEC2インスタンスにログインを行いs3バケット一覧を表示するコマンドを実施
  [ec2-user@########## ~]$ aws s3 ls
  Unable to locate credentials. You can configure credentials by running "aws configure".

  ※エラーログから推察できるようにクレデンシャル情報がcredentalsというconfigファイルに登録されていないため認証エラーとして弾かれてしまう。

そんため最低でも以下のクレデンシャルを最低限設定する。

• IAMアクセスキー
• IAM シークレットアクセスキー

  # IAMアクセスキーをセットする
  $ aws configure set aws_access_key_id <you`re IAM Access Key>
  # IAM シークレットアクセスキーをセットする
  $ aws configure set aws_access_key_id <you`re IAM  Secret Access Key>

  クレデンシャル情報が反映されているか確認する

  $ cat ~/.aws/credentials
  [default]
  aws_access_key_id = XXXXXXXXXXXXX
  aws_secret_access_key = XXXXXXXXXXXXXXXXXXXXXXXXXXXX

  aws cliが通るかs3のバケット一覧取得コマンドで再度検証してみる

  [ec2-user@######## ~]$ aws s3 ls 1>/dev/null && echo "Succeed"
  Succeed

  実際にs3コマンドでbucketを作成してみる

  [ec2-user@######## ~]$ aws s3 mb s3://aws-tbucket
  make_bucket: aws-tbucket

  bucketが正常に作成したかコンソールとCLIの両方で確認を行う

  [ec2-user@####### ~]$ aws s3 ls | grep aws
  2020-08-19 04:35:36 aws-tbucket

  AWS Console

data.txtというダミーデータを用意し、先ほど作成したaws-tbucketにアップロードする

[ec2-user@####### test_resource]$ aws s3 cp ./data.txt s3://aws-tbucket/
upload: ./data.txt to s3://aws-tbucket/data.txt

アップロードしたファイルを実際にダウンロードしてみる。

$ rm data.txt
ec2-user@###### test_resource]$ aws s3 cp s3://aws-tbucket/data.txt ./
download: s3://aws-tbucket/data.txt to ./data.txt
[ec2-user@###### test_resource]$ ll
total 4
-rw-rw-r-- 1 ec2-user ec2-user 20 Aug 19 05:03 data.txt

バケットの削除を行う バケットの中にオブジェクトがあると普通には削除することができないため(--force)で強制して削除を行う

[ec2-user@###### test_resource]$ aws s3 rb s3://aws-tbucket
remove_bucket failed: s3://aws-tbucket An error occurred (BucketNotEmpty) when calling the DeleteBucket operation: The bucket you tried to delete is not empty
[ec2-user@###### test_resource]$ aws s3 rb s3://aws-tbucket --force
delete: s3://aws-tbucket/data.txt
remove_bucket: aws-tbucket
[ec2-user@####### test_resource]$ aws s3 ls  | grep aws
[ec2-user@####### test_resource]$

Amazon Route 53を使用しEC2インスタンスのパブリックIPにドメインを紐づける