AWS クラウドプラクティショナー取得に向けて勉強した情報を記載。
クラウドとは
クラウドとは、インターネット経由でコンピューティング(仮想サーバー),データベース,ストレージ,アプリケーションなど様々なITリソースをオンデマンドで利用できるサービスの総称
オンプレミス
サーバー,ネットワーク,ソフトウェアなどの設備を自分たちで導入し運用すること
AWSの強み
・固定費が変動費に変わる
リソースを利用したときに利用した分だけ料金を支払う方式にすることができる。
・低コスト運用
クラウドを利用することで、サーバーなどの設備の導入費が掛からず、低コストで運用することができる。
・キャパシティ予想が不要
必要に応じてリソースの増減(リソースの調整、スケールアップ、スケールダウン)を行うことができるため、前もってキャパシティの予想をする必要がない。
・速度と俊敏性の向上
分単位の短い時間で新しいリソースの調達が可能
・データセンターの運用と保守への投資が不要
AWSの利用費用の中に、「データセンターの利用料」や「ハードウェアベンダーへの保守費用」などが含まれている。
・デプロイ時間の短縮
クラウドを利用することで遠く離れたデータセンターにアクセルすることができ、数分でデプロイをすることができる。
クラウドアーキテクチャの設計原理
・故障に備えた設計(Desingn for Failure)
機器の故障に備えて単一障害点(SPOF)を無くす設計理論
一つのデータセンターのみで運用しない。
単一のインスタンスのみで構成しない。
・コンポーネントの分離
・弾力性の実装
弾力性とは、リソースの性能を柔軟にスケールアウト、スケールインすることができる特性
下記のスクーリング方式を利用することで実装することができる。
1.巡回スクーリング
一定期間(毎日、週、月、四半期)に発生する定期的な方式
2.イベントベーススケーリング
新製品の立ち上げや、マーケティングキャンペーンなど予定されているイベントでリクエストが急激に増加されると予想されるときに実施する方式
3.オンデマンドの自動スケーリング
監視サービスを利用し、CPUの稼働率やネットワークの状況を見て自動で実施する方式
・並列化を考慮
クラウドでは並列化を簡単に行える。
ロードバランサーを使用することができる。
スケールアップ:性能を上げる
スケールアウト:台数を増加
・動的、静的コンテンツの取り扱い
動的コンテンツ:クラウド上のリソースの近くに保管
静的コンテンツ:外部に出して、エンドユーザーの近くで保管
AWS Well-Architected フレームワーク
AWSのセキュリティ
・責任共有モデル
セキュリティの責任を負う範囲をAWS側とユーザー側で分けて、それぞれでセキュリティを守る方式
AWSはクラウドを本体のセキュリティを担当
ユーザーはクラウド内のセキュリティを担当
・AWSが責任を持つ範囲
物理的なセキュリティ(自然災害など)
データセンターのセキュリティ
ハイパーバイザーのセキュリティ
・ユーザーが責任を持つ範囲
管理プレーンの保護(ID,パスワード,キーペア,APIキー,アクセス制御,権限管理)
マネージドでないサービス
Amazon EC2のサービス(OS層以上)
ファイアウォール(セキュリティグループ)の設定
IAM (AWS Identity and Access Management)
クラウドリソースへのアクセス管理サービス
権限の付与が可能
セキュリティグループ
一つ以上のインスタンスのトラフィックを制御する仮想ファイアウォール
インスタンスごとに個別でファイアウォールの設定が可能
『AWS Shield』と『AWS WAF』
・AWS Shield
DDos攻撃に対する保護サービス
→「DDos攻撃とは」
ネットワークのトラフィック(通信量)を増大させ、通信を
処理している箇所に負荷を与える
下記の二つのプランがある
standard(無償)DDos攻撃から保護
Advanced(有償):standardのサービスに加えて、『AWS WAF』が無償で無制限に利用可能
・AWS WAF(Web Application Firewall)
マネージド型のWebアプリケーションファイアウォール
Webサイトのアプリケーションに特化したファイアウォール
データの中身を解析可能
基本利用料は無料。Webセキュリティルールに基づき課金される。
【適用サービス対象】
CloudFront
ALB(Application Load Balancer)
API Geteway
EC2※1.
※1.ALB(Application Load Balancer)を用意する必要がある
Inspector
・Amazon Inspector
AWSのEC2上にデプロイされたアプリケーションとコンプライアンスを向上させるための、脆弱性診断を自動行うサービス
下記の診断が可能
1.脆弱性や漏洩
2.ネットワークセキュリティにおけるベストプラクティス
3.承認におけるベストプラクティス
4.OSのセキュリティにおけるベストプラクティス
5.アプリケーションセキュリティにおけるベストプラクティス
6.PCI DSS 3.0アセスメント
「PCI DSSとは」
→クレジットカード会員情報を保護することを目的に定められた情報セキュリティ基準
・AWS Artifact
AWSのコンプライアンスレポートにオンデマンドでアクセスできる無料のサービス
SOC(Organization Control),
PCI(Payment Card Industry)
などのレポートが取得可能
・KMS(AWS Key Management Service)
AWS上で暗号キーを作成、管理、制御できるサービス
AWSのテクノロジー
●4-1 AWSのサービス
AWSには現在、180を越えるサービスがある
●4-2 グローバルインフラストラクチャ
・リージョン
全世界に現在(2020年5月)に
24個のリージョンと1個のローカルリージョンがある
リージョンによって利用できるサービス、コストが異なる
「マルチサイトアクティブーアクティブ」
→複数リージョンに完全に稼働する同じシステムを構築して、災害の際にダウンタイムを最小にする構成
・アベイラビリティゾーン(AZ)
リージョン内に2個以上のアベイラビリティゾーンがある※1
複数のデータセンターから構築
※1.ローカルリージョンには1つのアベイラビリティゾーンがある
・エッジロケーション
リージョンとは違う場所にある
1.低レイテンシーなDNSクエリの実現
DNSサービスである『Amazon Route53』が利用される。
2.コンテンツの低レイテンシー配信
CDN(Cnntents Delivery Network)サービスである
『Amazon CloudFront』が利用される。
3.分散サービス妨害攻撃(DDos)からの保護
Route53とCloudFrontは分散サービス妨害攻撃(DDos)に対する保護サービス(AWS Shield Standard)のが適応
高度なレベルの保護を適応するにはAWS Shield Advancedが必要
コンピューティングサービス
●5-1 EC2
・EC2の概要
EC2(Amazon Elastic Compute Clnud)
『Elasticとは』
→弾力性がある、伸縮自在な
・EC2の特徴
1.必要なときに必要なだけの量を使用
必要なときに必要なだけのインスタンスを稼働させることができるため、事前に必要なインスタンスを予想する必要がない。