AWS
AWSSummit2019

AWS Summit Tokyo 2019 2日目 参加レポート その3 "認定者ラウンジ偵察とクラウドにおけるアーキテクチャの設計原則"

aws summit.jpeg


今回のAWS Summit Tokyo参加レポ一覧


認定者ラウンジ偵察


認定ラウンジのここがすごい


  • 定期的にドーナッツやらケーキやら飴がデプロイされる

  • キンキンに冷えた飲み物が常設されている

  • ラウンジ用のwifiが存在する

  • 電源が各人一つずつ用意されている

  • 1分くらいIT系のトピックに関して語るだけでAWSのTシャツがもらえる


認定ラウンジのここがイマイチ


  • wifiが弱い

  • wifiが結構弱い

  • wifiがかなり弱い

  • デプロイされた食べ物に一斉に群がる人々をみてなんとも言えない気持ちになる

無料でこの待遇はかなり良いのではないでしょうか。

ただ、wifiだけはもう少しなんとかなるとありがたい(でもこういった大規模のイベントの無線準備大変ですよね。お疲れ様です。)

ラウンジで休みたいをモチベーションにAWS資格とるのもよいのではないでしょうか?

その際は下の記事がよくまとまってるので参考にしてください!(自作自演かつ2度目の宣伝)

3週間でAWS認定ソリューションアーキテクト-アソシエイト-とったので、勉強法などまとめてみる - Qiita


Architecting for the Cloud 2019 -クラウドにおけるアーキテクチャの設計原則 17:00-17:40  会場:B


VPC


  • 最初はVPN向けしかなかった

  • 今ではインターネットにもプライベートネットワークにも開かれている

  • Shared VPCではVPC環境を複数アカウントで共有可能


AWS global infrastructure


  • geographic regions

  • availabillity zones


日本のAZじゃなくてもいいかもという発想は常に頭の片隅に持っておくべき


障害を見越した設計


  • 冗長化

  • 障害の検出

  • 永続データストレージ

  • 複数データセンタを用いた自動復旧


プロとアマチュアの違いはここの意識の違い


全レイヤでのセキュリティ実装


  • 徹底的な防御

  • AWSのセキュリティサービスを積極的にしよう

  • 特権アクセス制御

  • リアルタイム監査


ストレージの選択肢活用


  • S3は一番最初に抑える

  • 今までのオンプレのシステムの延長で使いたいならEFS


伸縮性の実現


  • ブートストラッピング or Golden Image

  • 家畜として扱う(ペットではない)

  • サービス継続性の重視


並列で考える


  • 1台で100時間=100台で一時間

  • 滑らかなスケーリング

  • 障害影響範囲を小さく

  • ソフトウェアの書き換え


疎結合はあなたを楽にします


  • 良いインターフェース定義

  • サービスディスカバリ

  • 対応できないときは非同期処理

  • 失敗時の適切な処理


制約を恐れない


  • 制限には理由がある

  • 提供できるものを計画する

  • うまく行くものを出荷する

  • できるときには出荷する

  • 繰り返し繰り返す


セキュリティは最優先


必須:アカウント要不要と権限管理、証跡


  • IAMユーザー/グループに設定

  • CloudTrail,Config,GuardDuty,Security Hub,MFAの有効か

  • Enabling and Disbling Regions

    randing zoneはマルチアカウント管理に使う


セッション情報は外に出す


  • ec2に残さない


AWSのサービスを活用した非同期処理例


  • amazon SQS を挟んでバックエンドとデータストアのつなぐ


計算資源を使い捨てるために


  • 単体のサーバに対するもの

  • ブートストラッピング golden image コンテナ


    • ブートストラッピングとはcloud-int を使用したソフトウェアインストール、各種設定



  • IaC cloudflond opsworks 設定をコード化


オリジンへの外部からのアクセス禁止


  • S3 origin access identity

  • Custom Origin Security Groups



今日のwebアプリにする最大の脅威


  • Largest DDoS Attacks


まず第一歩として、CloudFrontを入れる

ここにWAFを入れるのは、わけのない話


firewallによる防御レイヤ追加


  • firewall Manager WAF

  • shield advanced shieldは無料

できるところを重ねていくことが大事


 まとめ


  • 障害を見越した設計

  • 前例やでのセキュリティ実装

  • ストレージ選択肢活用

  • 伸縮性の実現

  • 並列で考える

  • 疎結合はあなたを楽にします

  • 制約を恐れない


AWS Well-Architected Tool をみる

これを設計原則にすれば、7つを内包しているので

これに照らし合わせて考えてみてみる、ということを常に意識する


AWS Trusted Advisor


  • 照らし合わせるのがめんどくさい場合、アドバイスくれるサービス使おう

  • セキュリティだけなら無料で使えるよ


参考資料

https://aws.amazon.com/jp/whitepapers/


感想


  • アーキテクトのアソシエイトの勉強で学んだ内容のいい復習になりました

  • IAMの権限周りの設計などどうしても煩雑になってしまいますが気をつけていきたいです

  • Enabling and Disbling Regionsなんて設定できるようになってたの、、便利

  • マルチアカウントの管理の話などこれから課題として出てきそうなので、randing zoneチェックします

  • あと話の途中ででた、課金の単位が変わってベストな振る舞いが変わった話が印象的


    • そういうことにならないためにも常にベストプラクティスは変化するし、一回構築時に参照して終わりではなく絶え間無くアップデートしていくものだと肝に銘じる必要があるなと思いました。




終わりに

来年は横浜、、、、???

ストリーミングで拾えない良さげのセッションがあったら、来年も行くかもしれませんね笑

まだ行ったことがなくて、行こうかなぁと迷っている方は来年までに何か認定試験持っていると、快適に過ごせると思いますので是非!

ではでは良いクラウドライフを!