AWS Summit Tokyo 2019 2日目 参加レポート その3 "認定者ラウンジ偵察とクラウドにおけるアーキテクチャの設計原則"

今回のAWS Summit Tokyo参加レポ一覧

認定者ラウンジ偵察

認定者ラウンジで将来のitについて語ってtシャツGETしました🎉#AWSSummit pic.twitter.com/c5FxBffTKB

— nari@エンタメ系エンジニア (@fukubaka0825) June 13, 2019

認定者ラウンジよいっす#AWSSummit pic.twitter.com/KHIRDnwl6q

— nari@エンタメ系エンジニア (@fukubaka0825) June 13, 2019

飴がデプロイされた#AWSSummit #認定者ラウンジ pic.twitter.com/hGf6gbfELH

— nari@エンタメ系エンジニア (@fukubaka0825) June 13, 2019

認定ラウンジのここがすごい

• 定期的にドーナッツやらケーキやら飴がデプロイされる
• キンキンに冷えた飲み物が常設されている
• ラウンジ用のwifiが存在する
• 電源が各人一つずつ用意されている
• １分くらいIT系のトピックに関して語るだけでAWSのTシャツがもらえる

認定ラウンジのここがイマイチ

• wifiが弱い
• wifiが結構弱い
• wifiがかなり弱い
• デプロイされた食べ物に一斉に群がる人々をみてなんとも言えない気持ちになる

無料でこの待遇はかなり良いのではないでしょうか。

ただ、wifiだけはもう少しなんとかなるとありがたい(でもこういった大規模のイベントの無線準備大変ですよね。お疲れ様です。)

ラウンジで休みたいをモチベーションにAWS資格とるのもよいのではないでしょうか？
その際は下の記事がよくまとまってるので参考にしてください！(自作自演かつ２度目の宣伝)
３週間でAWS認定ソリューションアーキテクト-アソシエイト-とったので、勉強法などまとめてみる - Qiita

Architecting for the Cloud 2019 -クラウドにおけるアーキテクチャの設計原則　17:00-17:40  会場：B

VPC

• 最初はVPN向けしかなかった
• 今ではインターネットにもプライベートネットワークにも開かれている
• Shared VPCではVPC環境を複数アカウントで共有可能

AWS global infrastructure

• geographic regions
• availabillity zones

日本のAZじゃなくてもいいかもという発想は常に頭の片隅に持っておくべき

障害を見越した設計

• 冗長化
• 障害の検出
• 永続データストレージ
• 複数データセンタを用いた自動復旧

プロとアマチュアの違いはここの意識の違い

全レイヤでのセキュリティ実装

• 徹底的な防御
• AWSのセキュリティサービスを積極的にしよう
• 特権アクセス制御
• リアルタイム監査

ストレージの選択肢活用

• S3は一番最初に抑える
• 今までのオンプレのシステムの延長で使いたいならEFS

伸縮性の実現

• ブートストラッピング or Golden Image
• 家畜として扱う(ペットではない)
• サービス継続性の重視

並列で考える

• 1台で１００時間＝１００台で一時間
• 滑らかなスケーリング
• 障害影響範囲を小さく
• ソフトウェアの書き換え

疎結合はあなたを楽にします

• 良いインターフェース定義
• サービスディスカバリ
• 対応できないときは非同期処理
• 失敗時の適切な処理

制約を恐れない

• 制限には理由がある
• 提供できるものを計画する
• うまく行くものを出荷する
• できるときには出荷する
• 繰り返し繰り返す

セキュリティは最優先

必須：アカウント要不要と権限管理、証跡

• IAMユーザー/グループに設定
• CloudTrail,Config,GuardDuty,Security Hub,MFAの有効か
• Enabling and Disbling Regions
  randing zoneはマルチアカウント管理に使う

セッション情報は外に出す

• ec2に残さない

AWSのサービスを活用した非同期処理例

• amazon　SQS　を挟んでバックエンドとデータストアのつなぐ

計算資源を使い捨てるために

• 単体のサーバに対するもの
• ブートストラッピング　golden image コンテナ
  • ブートストラッピングとはcloud-int　を使用したソフトウェアインストール、各種設定
• IaC cloudflond opsworks 設定をコード化

オリジンへの外部からのアクセス禁止

• S3 origin access identity
• Custom Origin Security Groups

今日のwebアプリにする最大の脅威

• Largest DDoS Attacks

まず第一歩として、CloudFrontを入れる
ここにWAFを入れるのは、わけのない話

firewallによる防御レイヤ追加

• firewall Manager WAF
• shield advanced shieldは無料

できるところを重ねていくことが大事

###　まとめ

• 障害を見越した設計
• 前例やでのセキュリティ実装
• ストレージ選択肢活用
• 伸縮性の実現
• 並列で考える
• 疎結合はあなたを楽にします
• 制約を恐れない

AWS Well-Architected Tool　をみる

これを設計原則にすれば、7つを内包しているので
これに照らし合わせて考えてみてみる、ということを常に意識する

AWS Trusted Advisor

• 照らし合わせるのがめんどくさい場合、アドバイスくれるサービス使おう
• セキュリティだけなら無料で使えるよ

参考資料

感想

• アーキテクトのアソシエイトの勉強で学んだ内容のいい復習になりました
• IAMの権限周りの設計などどうしても煩雑になってしまいますが気をつけていきたいです
• Enabling and Disbling Regionsなんて設定できるようになってたの、、便利
• マルチアカウントの管理の話などこれから課題として出てきそうなので、randing zoneチェックします
• あと話の途中ででた、課金の単位が変わってベストな振る舞いが変わった話が印象的
  • そういうことにならないためにも常にベストプラクティスは変化するし、一回構築時に参照して終わりではなく絶え間無くアップデートしていくものだと肝に銘じる必要があるなと思いました。

終わりに

来年会場違うんかい！（オペレーション一から作り直すの大変そう…） #AWSsummit pic.twitter.com/Nqd7eoIUiH

— 近藤佑子🚀6/15デブスト関西 (@kondoyuko) June 12, 2019

来年は横浜、、、、？？？

ストリーミングで拾えない良さげのセッションがあったら、来年も行くかもしれませんね笑

まだ行ったことがなくて、行こうかなぁと迷っている方は来年までに何か認定試験持っていると、快適に過ごせると思いますので是非！

ではでは良いクラウドライフを！