「さくらのクラウド」を勉強するためのアウトプットを目的に、ドキュメントなどを参照し作成しておりますが、記載の誤りなどが含まれる場合がございます。
最新の情報については、公式ドキュメントをご参照ください。
試験範囲
- 📍デジタル技術の基礎
- さくらインターネットのサービス
- さくらのクラウドでのアーキテクチャ設計
「デジタル技術の基礎」は本当に基礎的な内容となっています。すでに理解している場合は学習をスキップして「さくらインターネットのサービス」に進んでも問題ないでしょう。
デジタル技術の基礎
目標
デジタル技術の基礎原理から基本技術の知識を習得する。
クラウド
- クラウドとは
- NIST(米国国立標準技術研究所)→IPA
- インターネット経由で共用のコンピューティングリソース(ネットワーク、サーバー、ストレージ、アプリケーション、サービス)に、どこからでもアクセスできる
- 必要なときに必要な量のリソースにアクセスでき、速やかに提供される
- 歴史
- インターネットの普及
- 1997年 ラムナト・チェラッパ教授がクラウドの概念を提唱
- 2006年 GoogleのCEOエリック・シュミット氏がクラウドに言及
- 特徴
- オンデマンド・セルフサービス
- 各サービス提供者と調節やり取りなしにコンピューティングリソースを利用できる
- 幅広いネットワークアクセス
- ネットワークを通じて利用可能で、標準的な
仕組みで接続可能
- ネットワークを通じて利用可能で、標準的な
- リソースの共用
- 複数のユーザーにマルチテナントモデルを利用して提供
- スピーディな拡張性
- ユーザーに許可された範囲で、需要に応じて即座にスケールアウト/スケールインできる
- サービスが計測可能
- リソースの利用状況はモニタされ、コントロールされ、報告される。ユーザーにも明示される
- これにより従量課金が可能になっている
- オンデマンド・セルフサービス
- サービスモデル
- 種類
- IaaS: CPUやメモリ、ストレージなどのインフラまでインターネット経由で提供する
- PaaS: アプリケーションの開発・実行環境をインターネット経由で提供する
- SaaS: 従来はパッケージとして提供されたアプリケーションをインターネット経由で提供されるもの
- 自由度
- 低: SaaS < Paas < IaaS : 高
- 種類
- クラウドの実装形態
- パブリッククラウド: 不特定多数のユーザーが共有して利用するクラウドサービス
- プライベートクラウド: 特定の企業や組織専用に構築・利用されるクラウド環境
- ホスティング型: 外部のクラウドに独自の環境を構築する
- オンプレミス型: 機器などを自分で用意する
- ハイブリットクラウド: 複数の実装形態を組み合わせる
- ベアメタル:(意味:むき出しの金属、ソフトウェアがインストールされていない、まっさらな状態のサーバーやHDD)
- ベアメタルクラウド: 物理サーバーをネットワーク経由でアクセス
ハードウェアとソフトウェア
- コンピュータを構成する5大装置
- 制御装置
- 記憶装置
- 演算装置
- 入力装置
- 出力装置
- ハードウェア
- コンピュータや電子機器の物理的な部品や装置、物理的な基盤
- CPU、メモリ、ディスク、NIC
- GPU: もともと画像処理、ビデオレンダリング、近年は人工知能にも利用されている
- ソフトウェア
- コンピュータに指示を与えて特定のタスクを実行させるためのプログラムや命令の集まり
- OS、アプリケーション、ミドルウェア、OSS
- サーバー
- データやサービスを提供するコンピュータやソフトウェア
- Web、アプリケーション、DB、DNS、DHCP、FTP、ファイルサーバー
ネットワーク
- コンピュータなどの複数デバイス同士でデータをやり取りするために、それらがケーブルや電波を介して相互につながっている状態、その技術
- LAN、WAN
- インターネット、イントラネット
- スイッチ: L2(データリンク層)、MACアドレス
- L3もある(LAN内)
- ルータ: L3(ネットワーク層)、IPアドレス
- L3スイッチとの違い: LAN <> WAN
- ロードバランサ: アクセスを振り分け、負荷分散
- ファイアウォール: 通信を監視し、不正なアクセスをブロック
- UTM: 統合脅威管理、複数のセキュリティ機能がまとまっているもの。FWと同様だが、FWより複雑な攻撃にも対応可能
- LANとWAN
- LAN: 建物内の範囲でのネットワーク
- WAN: 大規模なインフラのネットワーク、LANとLANをつなぐ
- IPアドレス
- プライベートIPアドレスとパブリックIPアドレス
- MACアドレス
- 通信プロトコル
- TCP(接続確率後、通信、信頼性)とUDP(接続確率なしで送信、高速)
- OSI参照モデル
- L1: 物理層
- L2: データリンク層
- L3: ネットワーク層
- L4: トランスポート層
- L5: セッション層
- L6: プレゼンテーション層
- L7: アプリケーション層
- NAT
- グローバルIPとプライベートIPとの変換
- NAPT: NAT+Port
- ARP: IPからMACを調べる
- ARPリクエスト(問い合わせ)→ARPリプライ(回答)
- DHCP: IPアドレスを自動的に割り当て
- ISP: インターネットサービスプロバイダ、インターネットに接続するためのサービスを提供する事業者
- IX: Internet Exchange、複数のISPを相互接続する専用設備
- DNS: 人にとってわかりやすい名前(example.com)とIPアドレスを変換する
- 権威DNS
- キャッシュDNS
- URL: https://www.example.com/blog/hogehoge
セキュリティ
- 情報セキュリティ管理
- 情報資産: 情報はデータや知識、人々が意思決定に使うもの。その価値の高いものを情報資産
- 攻撃や災害で、情報資産が失われたり、奪われたりする
- 情報セキュリティ3要素(CIA)
- 機密性(Confidentiality): 許可された人のみアクセス。
- 完全性(Integrity): 情報が変更されない、完全な状態
- 可用性(Availability): 情報が必要なときにアクセスできる
- 上記以外に
- 真正性
- 信頼性
- 責任追跡性
- 否認防止
- 情報セキュリティマネジメント
- 情報セキュリティマネジメントを管理する仕組み(ISMS)
- リスク値 = 資産価値レベル × 脅威レベル × 脆弱性レベル
- セキュリティインシデント: セキュリティ上の脅威となる事象
- CSIRT: 対応する専門組織
- SOC: サイバー攻撃など監視、セキュリティを維持、向上
- 情報セキュリティ対策
- 人的セキュリティ対策: 従業員や利用者への教育、アクセス権限
- ソーシャルエンジニアリング: 人の心理や行動の隙を利用する、なりすまし、トラッシング(ゴミ箱から)
- 技術的セキュリティ対策: ツールやシステム
- ルータ、暗号化、認証認可、FW、セキュリティ対策ソフト
- 物理的セキュリティ対策: 物理的な方法
- 入退室管理、施錠管理、監視カメラ
- 人的セキュリティ対策: 従業員や利用者への教育、アクセス権限
- セキュリティ実装技術
- 情報資産はさまざまな脅威にさらされている
- 人的ミス、自然災害、環境影響(停電、故障)、他人からの攻撃
- サイバー攻撃
- DoS、DDoS
- SQLインジェクション
- XSS
- フィッシング
- コンピュータウィルス、マルウェア
- 共通鍵暗号方式: 暗号化と復号に同じ鍵
- 公開鍵暗号方式: 暗号化に受信者の公開鍵、復号は受信者の秘密鍵
- デジタル署名: 公開鍵暗号方式で改ざん防止と本人確認。文書のハッシュ値を暗号化して署名データとする。ハッシュ値を比較することで改ざんを検知する
- SSL/TLS
- IPsec
- IPsecはL3で動作
- VPNはIPsecを使った通信
- トンネリング、認証、暗号化、カプセル化
- SSH: Secure Shell
- Telnet: 暗号化はされていない
- 情報資産はさまざまな脅威にさらされている
- セキュリティ法規
- サイバーセキュリティ基本法
- 2014年に成立、2015年1月に施行
- 具体的な施策の提示ではなく、基本事項のみ
- 不正アクセス禁止法
- 他人のパスワードを不正取得
- 個人情報保護法
- 情報セキュリティに関する評価基準
- プライバシーマーク制度
- ISMS認証制度: JIS Q 27001
- ISMSクラウドセキュリティ認証: JIS Q 27001、ISO/IEC 27017
- PCI DSS: クレジットカード情報を安全に取り扱う目的
- サイバーセキュリティ基本法
システムマネジメント
- システム運用
- 情報技術システムなどを正常に機能させるための日常的な操作、保守、管理プロセス
- システム監視: システムが正常に稼働しているか定期的に確認
- 変更管理: システム構成要素への変更による影響を抑えながら有益な変更が行なえるように管理
- 構成管理: 情報システムを構成するHWやSWなどの要素を管理
- 資産管理: ITに関連する資産(ライセンスなど)の状況把握と管理
- キャパシティ管理: システムに必要な能力やリソースを管理
- 情報技術システムなどを正常に機能させるための日常的な操作、保守、管理プロセス
- Abuse: 通常の利用目的とは異なる方法でシステムを悪用する行為全般
- 事業継続計画(BCP: Business Continuity Plan)
- 災害が発生した際に、業務やサービスを中断せずに継続するための計画や手順
- 災害復旧(DR: Disaster Recovery): 災害時にシステム継続利用が不可能になった際の復旧や修復
- 可用性: システムやサービスが利用可能である能力
- 稼働率(%)
- SLA(Service Level Agreement)
- サービス品質や性能に関する契約条件
- 可用性の維持
- 冗長化
- 負荷分散
- バックアップ・リストア
- コールドスタンバイ(スタンバイ側はOFF)
- ホットスタンバイ(どちらもアクティブ)
クラウドインフラの基盤技術
- データセンター
- 電源・空調・セキュリティが強化
- 災害対策
- セキュリティ対策
- 24/365監視
- 仮想化技術
- 仮想化とは
- 複数の仮想環境に分割し、それぞれの環境が独立したコンピュータシステムとして動作する
- 仮想化の技術
- ハイパーバイザー(Hypervisor): 物理的なHW上で直接実行され、仮想サーバーの作成、実行、管理を行なうソフトウェア
- タイプ1:ベアメタル
- HW上に直接インストールされる、高パフォーマンス
- タイプ2:ホスト型
- ホストOS上にインストールされる、利便性
- タイプ1:ベアメタル
- KVM(Kernel-based Virtual Machine)
- ハイパーバイザー(Hypervisor): 物理的なHW上で直接実行され、仮想サーバーの作成、実行、管理を行なうソフトウェア
- 障害発生時の対応方法
- 仮想サーバーを別のホストへ移動させる
- ライブマイグレーション機能
- HA機能
- 仮想サーバーを別のホストへ移動させる
- 仮想化とは
- コンテナ
- アプリケーションとその依存関係をパッケージ化し、環境から隔離された形で実行する技術
- Namespaces
- Cgroups
-
Docker
- Docker is an open platform for developing, shipping, and running applications.
- BUILD -> SHARE -> RUN
- 効率的な開発と運用
- Kubernetes
- クラウドネイティブ
- API
- クラウドネイティブ
- クラウド環境で最大限に活用するために設計された技術や方法論の集合
- コンテナ
- サービスメッシュ
- マイクロサービス間の通信を制御し、監視するための専用インフラ
- マイクロサービス
- イミュータブルインフラストラクチャ
- サーバーをアップグレードせず、常に新しいサーバーを作ってインフラを差し替える
- 宣言型API
- スケーリング
- 水平スケーリング、垂直スケーリング
- オートスケール
- 自動化とIaC
- 作業時間を短縮
- 作業ミスを減らす
- 無人で対応
- マネージドサービス
- クラウド事業者がインフラやアプリケーションの管理・運用・保守を行ない、ユーザー自らが構築・運用しなくてよいもの
- サーバーレス
- 開発者がサーバーの管理を気にすることなくアプリケーションの構築と実行を可能にする
- DevOps
- ソフトウェア開発と運用を統合し、連携を強化
- 継続的なテストと監視
- 小さな変更を素早く
- CI/CD
- コードのテストからリリースまでを自動化
- CI(Continuous Integration)
- CD(Continuous Delivery)