トラフィックにばらつきがある場合
一部のインスタンスが他のインスタンスより、多くのトラフィックを処理している場合、
ELBでクロスゾーンロードバランシングが設定されていない可能性がある。
投稿者: sumito.tsukada
-
アクティビティの記録とアクセス権の管理
ユーザのアクティビティの記録
Access AdvisorのService Last Accessed Data
IAMエンティティ(ユーザ、グループ、ロール)が、
最後にAWSサービスにアクセスした日付と時間を表示する機能
Credential Report
利用日時などが記録されたIAM認証情報にかかるレポートファイル
AWS Config
IAMのユーザ、グループ、ロール、ポリシーに関して変更履歴、
構成変更を管理、確認することができる機能
AWS CloudTrail
AWSインフラストラクチャ全体でアカウントアクティビティをログに保存。
継続的に監視し、保持することができる。
アクセス権限を一時的に付与する
AWS Security Token Serv ice(STS)
動的にIAMユーザを作り、一時的に利用するトークンを発行する
Temporary Sercurity Credentials
AWSに対して一時的な認証情報を作成する仕組み。
-
AMI
AMI起動タイプ
すべての AMI が Amazon EBS-Backed と Instance Store-Backed のいずれかに分類されます。前者は、AMI から起動されるインスタンスのルートデバイスが、Amazon EBS スナップショットから作成される Amazon EBS ボリュームであるということです。後者は、AMI から起動されるインスタンスのルートデバイスが、Amazon S3 に格納されたテンプレートから作成されるインスタンスストアボリュームであるということです。
解説の図は以下がわかりやすい
Instance store-Backed
EBS-baced
https://docs.aws.amazon.com/ja_jp/AWSEC2/latest/UserGuide/RootDeviceStorage.html
その中でも、準仮想化 (PV) およびハードウェア仮想マシン (HVM))というのが存在する。
種別でいうと、以下の4種類が存在している
- HVM instance Store
- PV instance Store
- HVM EBS-Backed
- PV EBS-backed
HVMについて
この仮想化タイプでは、ベアメタルハードウェア上でオペレーティングシステムが動作するのと同様に、修正を行わなくても仮想マシン上でオペレーティングシステムを直接実行することができます。
(中略)
HVM のゲストは、ホストシステム上の基盤となるハードウェアへの高速なアクセスを可能にするハードウェア拡張を利用できます。
PVについて
特別なハードウェア拡張 (拡張ネットワーキングや GPU 処理など) を利用できません。従来、PV のゲストは HVM のゲストよりも多くの場合にパフォーマンスが向上しました。ただし、HVM 仮想化の機能強化や HVM AMI で PV ドライバが利用可能になったことにより、このようなパフォーマンスの向上はなくなりました。PV-GRUB の詳細や Amazon EC2 での使用方法については、「独自の Linux カーネルを有効にする」を参照してください。
次の旧世代のインスタンスタイプは、PV AMI をサポートします: C1、C3、HS1、M1、M3、M2、および T1。現行世代のインスタンスタイプは PV AMI をサポートしません。
次の AWS リージョンでは、PV インスタンスをサポートしています: アジアパシフィック (東京)、アジアパシフィック (シンガポール)、アジアパシフィック (シドニー)、欧州 (フランクフルト)、欧州 (アイルランド)、南米 (サンパウロ)、米国東部(バージニア北部)、米国西部 (北カリフォルニア)、米国西部 (オレゴン)。
https://docs.aws.amazon.com/ja_jp/AWSEC2/latest/UserGuide/virtualization_types.html
上記より抜粋
まとめると、HVMはOSを直接操作することができるので、低レイテンシで操作が可能。
一方、PVはエミュレートするようなイメージで、ワンステップを挟む必要があるので、HVM以上のパフォーマンスは出せない(と思う)また、サポートしていないインスタンスタイプがある。
-
Auto-Scaling group
Auto-ScalingがEC2を終了する場合の挙動
- SNS通知を送るように設定可能
- 2つのEC2インスタンスが実行しているAZのインスタンス1つを終了する
Auto Scalingの起動設定
Auto Scalingを使用していいるインスタンスのインスタンスタイプを変更する事が可能。
-
S3
暗号化について
暗号化するには
- AWSキー管理サービスの管理キーによるAmazon S3サーバーサイド暗号化を使用する
- Amazon S3のユーザ提供キーによるサーバサイド暗号化(SSE-C)を使用する
- 自分のマスターキーを使用して、Amazon S3に取り込む前に、クライアント側のデータを暗号化する
正常時の動作
HTTP 200結果コードとMD 5チェックサムが、操作が成功したことを示す。
暗号化について
保存データをネイティブに暗号化することが可能。
また、保存データのネイティブ暗号化はAmazon Glacierでも可能
料金プラン
type 耐久性 可用性 特徴 STANDARD 99.99999999 % 99.99 % 複数箇所にデータを複製。
耐久性が高い。STANDARD-AI 99.99999999 % 99.9 % スタンダードに比べて安価。
データの読み出し容量に応じた課金One Zone-AI 99.99999999 % 99.5 % アクセス頻度は低い
必要に応じてすぐに取り出し可能RRS 99.99 % 99.99 % 低冗長化ストレージ
Glacierからの取り出しなどで利用Amazon Glacier 99.99999999 % – 安価なアーカイブ用ストレージ
データの抽出に3−5時間かかる
ライフサイクルマネジメントで指定が可能
ポールロック機能でデータを保持RRS(Reduced Redundancy Storage)は、
ストレージコストを最適化してデータの高可用性を達成できる。そのため、頻繁に検索されるデータなどに有効。
管理機能
ライフサイクル機能
プロパティ
以下の設定が可能
- バージョン管理
- 静的ホスティング
- オブジェクトレベルのログ管理
アクセス制御
バケットまたはオブジェクトにS3ACLを設定
S3バケットポリシーを設定する
S3-backed AMIのインスタンスが停止した際の挙動
ルートボリュームのデータは自動的に削除される
S3データへのアクセス制限する機能
- バケットまたはオブジェクトにS3 ACLを設定
- S3バケットポリシーを設定
-
Cloud Trail
特徴
- Cloud Trailは、グローバルで有効になる
- Cloud Trailは、リージョン単位で有効になる
- 集約の為に、ログは単一のAmazon S3 バケットに集約可能
EC2削除前の確認
EC2インスタンスの削除する前に、所有者が必要でないことを確認する必要があり、Cloud Trailを使うことで確認が可能。
CloudTrailイベントのCloudWatchアラームを作成
他のリージョンのAWS APIのアクティビティを監視する事が可能。
-
AWS Lambda
Lambdaを呼び出すことができるサービス
- Amazon DynamoDB
- Amazon SNS
トラフィックが増える事が予想される際の対応
API gatewayで1つのAWS lambda関数をトリガーとして使用。Lambdaは受信イベントのレートに合わせてキャパシティを割り当てる。