●オンプレミスでホストされる仮想サーバーに相当するAWSサービス
EC2(Elastic Compute Cloud)
AWSクラウドでサイズが変更できるコンピューティング/仮想サーバーを提供するサービス
オンプレミス環境にあるサーバーと同じ性能を持ったサーバーをインターネット上で瞬時に作成する事ができる
●AWSのEC2インスタンスのCPU使用率を監視するために利用するべきサービス
CloudWatch
AWSリソースとAWSで実行するアプリケーションのモニタリングサービス
EC2インスタンスのモニタリングをダッシュボードに表示させることで、CPU使用率を監視する事ができる
●EC2インスタンスへの外部PCからのアクセスを制御したいときに利用する機能
セキュリティグループ
セキュリティグループはEC2インスタンスやDBインスタンスなどのインスタンスの通信トラフィックを制御するファイアウォール、HTTPやSSHなどのプロトコルを指定して通信を許可する設定を行う事ができる
●オンデマンドインスタンス
一週間という期限だけで利用する場合はオンデマンドインスタンスを利用する
オンデマンドインスタンスを使用すると、長期的なコミットメントなしで1時間ごとにコンピューティング容量を支払う事ができるため1週間だけの課金で済むことでコスト最適にサーバーを利用できる
●リザーブドインスタンス
リザーブドインスタンスは1年間または3年間の長期使用をする場合に、オンデマンド料金に比べて大幅な割引価格(最大75%)が適用され、特定のアベイラビリティゾーンで使用するキャパシティーを予約できる
●スケジュールドリザーブドインスタンス
週一回金曜日や10時から17時といった定期的な利用時間に限ってインスタンスを利用する場合にコスト最適となる
※現在このインスタンスは利用が停止されている
●Dedicated host
オンデマンドインスタンスを物理的に占有する場合に選択するオプション設定
●AWS DMS(Database Migration Service)
データベースの機能に悪影響を与えずにオンプレミス環境・AWS間やAWSのデータベース間の移行をサポートする
移行中でもソースデータベースは完全に利用可能な状態に保たれ、データベースを利用するアプリケーションのダウンタイムを最小限に抑えられる
●AWS Migration Hub
大規模な移行を実施している際に移行時実施状況の把握するためのサービス
AWS Migration Hubを利用することで、AWSの提供する移行関連のツールの実行状況などを一元的に管理する事が可能となる
●AWS Application Discovery Service
オンプレミスデータセンターに関する情報を収集することによって、移行プロジェクト計画を立案するのを支援する
●AWS Server Migration Service(SMS)
データベースではなくサーバーの移行を支援するサービス
オンプレミスのVMware vSphere,Microsoft Hyper-V/SCVNN,またはAzure仮想マシンのAWSクラウドへの移行を自動化する
AWS SMSは、サーバー仮想マシンをクラウドホストのAmazonマシンイメージ(AMI)として段階的にレプリケートし、Amazon EC2にデプロイする。AMIを使用すると、クラウドベースのイメージを簡単にテストして更新した上で、本番環境にデプロイする事ができる
移行関連のAWSサービス
●AWS Application Discovery Service
オンプレミス環境のサーバーの設定データや使用状況データなどを収集して、サーバーの依存関係マッピングなどの移行に必要な情報を抽出することで移行計画の準備を支援するサービス
●AWS Schema Conversion Tool
ソースデータベーススキーマやデータベースコードオブジェクトの大部分を自動的にターゲットデータベース互換フォーマットへと変換するツール
●AWS Database Migration Service
データベースを短期間に安全にAWSに移行する際に利用する
AWSのデータベース間の移行にも利用される
●AWS Server Migration Service
数千のオンプレミスワークロードを実行する仮想サーバー構成をAWSに移行可能な移行支援ツール
●VM Import/Export
仮想マシンイメージを既存の環境から Amazon EC2 インスタンスにインポートすることや、元のオンプレミス環境にエクスポートを実行
●CloudEndure
移行元サーバーに導入したエージェントを解してディスクイメージを転送しEC2に変換して移行するサービス
BCP(事業継続計画)向けにイメージ転送を継続する機能などが提供されている。
●AWS Migration Hub
各移行ツールの実行状況を追跡できるダッシュボードサービス
●AWS Snow Family
オンプレミスに運んで直接移行データを取得して、AWSに運ぶ事ができるデータ移行デバイス。
Snowball Snowball edge Snowmobileがある
●AWS DataSync
オンプレミスのストレージと、S3またはEFS(elastic file system)との間のデータ転送を自動化するサービス
オンプレミス環境側にDataSync Agentをデプロイしてデータを転送する
●AWS Transfer Family
SFTP,FTPおよびFTPSに対応したデータ転送サービス。
S3を利用してアップロードファイルのアーカイブや処理に使用できる。
・SFTP FTP FTPS SCP
FTP:(File Transfer Protocol)
ファイルを転送するための規約
FTPS:(File Transfer Protocol over SSL/TLS)
FTPの脆弱性をカバーするために、転送される情報をSSL/TLSを利用して暗号化するプロトコル
SFTP:(SSH File Transfer Protocol)
FTPで転送される情報をSSH(Secure Shell)を利用して暗号化するプロトコルのこと
SCP:(Secure Copy Protocol)
SFTPと同様にSSHを利用しているセキュリティ面で安全性の高いプロトコル
SFTPに比べて通信速度は速いがこのSCPを利用する場合はサーバにUNIX系のシェルが備えられている必要がある
●AWS Outputs
AWS インフラストラクチャとサービスを事実上すべてのオンプレミスまたはエッジロケーションに提供し、真に一貫したハイブリッドエクスペリエンスを実現
●ウェブベースのユーザーインターフェイスを使用してAWSリソースを管理できるインターフェースの名前
AWSマネジメントコンソール
AWSのGUIツール
●Cloud Trail
AWS CloudTrailはユーザーアクティビティログを取得する事ができる
ユーザ、ロール、またはAWSのサービスによって実行されたアクションは、CloudTrailにイベントとして記録される。イベントには、AWSマネジメントコンソール、AWS CLI、およびAWS SDKとAPIで実行されたアクションが含まれる
●EBS(Elastic Block Store)ボリューム上のデータ消失を予防するためのアクション
スナップショットの作成
EBSはポイントタイムスナップショットを作成することで、Amazon EBSボリュームのデータをAWS S3にバックアップして、データ消失を防ぐ事ができる
スナップショットは増分バックアップ
つまり、最後にスナップショットを作成した時点から、ボリューム上で変更のあるブロックだけが保存される
●アプリケーションのリアルタイムな高速処理に利用可能なデータベースとして機能するサービス
ElasticCache
クラウド内のインメモリデータストアまたはキャッシュを簡単にデプロイ、操作、およびスケーリングできるようにするDBサービス
●Amazon SNS(Simple Notification Service)
・完全マネージド型のpub/sub メッセージングサービス。コンポーネント間のメッセージ通知やアラート通知に利用する
・AWS上でイベント通知やメッセージング処理/プッシュ通知をするといった場合はSNSを選択する
●Amazon SQS(Simple Queue Service)
・完全マネージド型のメッセージキューイングサービス。実行処理の分散並列処理を可能にする
・AWS上でキューイング処理/タスク並列分散処理/ポーリング・pull型の通知をする場合はSQSを選択する
●Amazon SES(Simple Email Service)
・Eメールの送受信機能を提供するサービス。アプリケーション上のEメール通知機能を実装できる
・Eメール機能を実装する場合はSESを選択する
●Amazon MQ
・業界標準APIやプロトコルを利用して、クラウド内のメッセージブローカーを利用できる、Apache ActiveMQ向けのマネージド型メッセージブローカーサービス
・業界標準APIやプロトコルやApache Active MQ向けのキューイングを実装するという場合はMQを選択する
●CloudFront
低レイテンシーの高速転送により世界中の視聴者に安全にデータや動画などコンテンツを配信する高速コンテンツ配信ネットワーク(CDN)サービス
●Amazon Elastic Transcoder
開発者は簡単かつ、低コストでメディアファイルをさまざまなデバイスで再生できるように変換できる
●Amazon Interactive Video Service
マネージド型のライブストリーミングソリューションであり、インタラクティブな動画エクスペリエンスの作成
●稼働率を向上させるには
マルチAZ展開
マルチAZ構成を実施すれば99%以上の稼働率のSLAを達成する事ができる
AWSグローバルインフラストラクチャは主にリージョンとアベイラビリティーゾーン(AZ)によって構成されている。
リージョンないのアベイラビリティーゾーンは、低レイテンシー、高スループット、高度な冗長ネットワークで接続されている。
アベイラビリティゾーンとは、1つのAWSリージョンないでそれぞれ切り離され、冗長な電力源、ネットワーク、そして接続機能を備えている1つ以上のデータセンターのこと
マルチAZ構成はアベイラビリティーゾーンを2つ利用した構成
●インターネットゲートウェイ
インターネットへの出入り口となるゲートウェイで、デフォルトゲートウェイとして利用される事が多い
●NATゲートウェイ
プライベートサブネットのリソースからインターネットへのトラフィックを可能にするためのゲートウェイ
●Egress-Only InternetGateway
IPv6向けのインターネットゲートウェイ
IPv6経由でのVPCからインターネットへの送信を可能にし、インターネットからのインスタンスへの接続は防ぐ
●カスタマゲートウェイ
オンプレミス環境と接続する際に利用するゲートウェイ
カスタマーゲートウェイデバイスまたはソフトウェアアプリケーションに関する情報をAWSに提供する
●仮想プライベートゲートウェイ
仮想プライベートゲートウェイは、VPN(virtual Private Network)トンネルのAmazon側にあるルーター
VPN接続時に利用する
●ELB(Elastic Load Balancing)
ELBはアプリケーションへのトラフィックを複数のターゲット(Amazon EC2インスタンス、コンテナ、IPアドレスなど)に自動的に分散するロードバランサー
EC2インスタンスのトラフィック分散に利用する事ができる
ELBはインスタンスのヘルスチェックを行なって正常・異常を判断する
従ってELBを設定することによって、正常なEC2インスタンスにのみトラフィックを送信する事が可能
●AZを指定せず直接リージョンに指定されるサービス
・Amazon s3
・Route53
・IAM
・Direct Connect
・CloudFront
・WAF
・Shield
・Trusted Advisor
・Artifact
・AWS Personal Health Dashboard
●インターネットからアクセスする事ができず、かつ複数のEC2からアクセスする事ができるストレージ
EFS(Elastic File System)
●ブロックストレージ
EC2にアタッチして活用するディスクサービス
ブロック形式でデータを保存
高速・広帯域幅
例:EBS、インスタンスストア
●オブジェクトストレージ
安価かつ高い耐久性をもつオンラインストレージ
オブジェクト形式でデータを保存
例:S3、Glacier
●ファイルストレージ
複数のEC2インスタンスから同時にアタッチ可能な共有ストレージサービス
ファイル形式でデータを保存
例:EFS
●Route53
可用性と拡張性に優れたクラウドのドメインネームシステム(DNS)サービス
Amazon Route53は名前解決を活用して、www.example.comのようなドメインをコンピュータが互いに接続するための数字のIPアドレスに変換して、インターネット上で利用可能なようにルーティングする事ができる
AWS Route53はIPv6にも完全準拠している
●ユーザーの設定なしにスケーリングが自動で実施されるサービス
S3
S3はユーザ側で設定しなくても、AWS側でストレージリソースを自動的にスケールアップ/ダウンして、変動する需要に対応する
●S3のデータ容量制限
・バケット
オブジェクトの保存場所。
リージョンに設置されるため、名前はグローバルでユニークにする
データ保存容量は無制限であり、自動でストレージ容量が拡張される
・オブジェクト
S3に格納されるファイル形式で、オブジェクトに対してURLが付与される。
バケット内に保存可能なオブジェクト数は無制限
・保存可能なオブジェクトサイズの制限
オブジェクトあたりのデータサイズは0KBから5TBまで保存可能
●AWSアクセス
IAMユーザー:個人
IAMグループ:複数
●AWSコンソールログイン時にユーザ名とパスワードに追加して高いセキュリティを実現する機能
MFA(Multi-Factor Authentication)
AWSではセキュリティを向上させるためには、多要素認証(MFA)を設定してAWSリソースを保護する事が推奨されているIAMユーザーまたはAWSアカウントのルートユーザーに対してMFAを有効にすることで、ユーザー認証の際にIDとパスワードに加えて、MFA認証を求められることになり、セキュリティを強化できる
●AWSデータサービスのうち、デフォルトで自動バックアップを実行する設定になっているサービス
Aurora for MySQL
Amazon AuroraのDBインスタンスは起動すると常に自動バックアップが有効になっている
Auroraの自動バックアップは無効にする事ができない
Auroraのバックアップ保持期間は、DBクラスターによって管理される
バックアップはデータベースのパフォーマンスに影響を与えない
●Auroraとは何か
マルチAZで分散されたクラスター構成により、従来のRDSよりも高速・高性能なリレーショナルデータベース
●「単一障害点」に対処するため、障害検出と対処を可能な限り自動化するために利用可能なAWSサービス
・ELB
・Route53
・AutoScalling
●スポットインスタンス
・オンデマンド価格より低価で利用できるAWS管理用に保持されているが未使用のEC2 インスタンス。
ユーザは未使用のEC2インスタンスを静止状態割引(最大90%)でリクエストできる
・実行時間に柔軟性がある場合や、中断できる処理に利用する
●DynamoDB
完全マネージド型のNoSQLデータベースサービスであり、テーブルサイズは無制限だが、1つのデータは400KBに制限
・パフォーマンス
ハイスケーラブルで無制限に性能を拡張できる
負荷が高くなっても応答速度が低価しない低レイテンシー
高可用性(SPOFなしでデータは三箇所のAZに保存)
マネージド型のためメンテナンスフリー:CloudWatchで運用
・データ容量の制限
ストレージの容量制限がない
テーブルのサイズには実用的な制限はない
テーブルは項目数やバイト数について制限がない
データ項目には制限あり
項目のサイズ制限は400KBであり、大きなデータを格納できあに
●AWSのリレーショナルデータベース
・Amazon RDS
・Amazon Aurora
・Amazon Redshift
・Amazon RDS Custom
・Amazon RDS on Outputs
●AWSのNoSQL型データベース
・Amazon DynamoDB
・Amazon ElasticCache
・Amazon DocumentDB
・Amazon Keyspaces
・Amazon Neptune
・Amazon Timestream
●CloudFrontはコンテンツを低遅延で世界中のユーザーに配信するために使用するもの
エッジロケーション
CloudFrontはエッジロケーションにキャッシュを保存してグローバルなコンテンツ配信を実施する
エッジロケーションはAZとは異なるデータセンタであり、Route53、CloudFront、AWS WAFなどが配置されている
世界で50箇所以上設置されていて、DNSやコンテンツ配信サービスが使用されている
●Wavelength Zone
5Gネットワークのエッジにある電気通信事業者のデータセンター内にAWSのコンピューティングサービスとストレージサービスを組み込んだAWSのインフラストラクチャのロケーション
ここを利用して5Gベースの低遅延アプリケーションをデプロイできる
●カーブアウト
一部を切り出し、独立化させること
●AWSクラウドの一部をカーブアウトさせる事ができるサービス
VPC(virtual private cloud)
AWSクラウドのネットワークからユーザ専用の領域を切り出すことができる仮想ネットワークサービス
●会社の新規に作成するAWSアカウントをコントロールして、アカウント内のエンティティに必要なAWSサービスへのアクセスのみに許可を与える必要があるこの要件を満たすサービス
AWS Organizations
アカウント作成を自動化して、ビシネスニーズを反映したアカウントのグループを作成し、アカウント内部の権限範囲を管理することができる
これにより、アカウントのエンティティに必要なAWSサービスへのアクセスのみを許可するための権限範囲をSCPというポリシーによって管理する事ができる
●セキュリティグループ
設定
・サーバー単位で適用
・ステートフル
インバウンドのみ設定すればアウトバウンドも許可される。(状態を維持)
・許可のみをIn /outで指定
・デフォルでは同じセキュリティグループ内通信のみ許可
・全てのルールを適用
●ネットワークACLs設定
・VPC /サブネット単位で適用
・ステートレス
インバウンド設定だけではアウトバウンドは許可されない
・許可拒否をIn /outで指定
・デフォルトでは全ての通信を許可する設定
・番号の順序通りに適用
●クラウドコンピューティングモデル
・Saas:アプリケーションまで提供
・Paas:ミドルウェアまで提供
・Iaas:ハードウェアまで提供
●s3でオブジェクトが削除される際にMFAを利用してオブジェクトが削除される際に認証を求める設定を行う必要がある 事前に有効化する必要のもの
バージョニング
S3でS3バージョニングを設定するとMFA(多要素認証)Deleteを利用する事ができる
この設定を行うと、バケット所有者は、特定のバージョンを削除したりバケットのバージョニング状態を変更したりするリクエストに、MFA認証を含める事が必要になります。
MFA Deleteでは以下のいずれかの操作で追加の認証が必要になる
・バケットのバージョニング状態を変更する
・オブジェクトバージョンを完全に削除する
●EC2インスタンスのイメージを取得して、そのイメージから新しいインスタンスを作成する機能
AMI(AWS Machine Image)
EC2インスタンスの起動時にAmazonマシンイメージを選択して起動するOSなどの設定を決める事ができる
●データ分析種類
・Redshift
通常の業務システムデータなどのBIシステムやデータウェアハウスとして利用可能なリレーショナルデータベースサービス
S3をデータレイクとして設定し、Redshiftはリレーショナルデータベース形式のビックデータ処理にクエリを利用した処理が可能となる
データ解析にのみに特化したリレーショナルデータベース
・EMR
Apache HadoopやApache Sparkなどのビッグデータフレームワークとして、大量のデータを処理および分析するマネージド型クラスタープラットフォーム
これらのフレームワークと関連するオープンソースプロジェクトを使用することで、分析用のデータやビジネスインテリジェンスワークロードを処理できる
●AWS セキュリティ自動検知系サービス
・Amazon GuardDuty
悪意のある操作や不正なトラフィック通信を継続的にモニタリングする脅威検出サービス
機械学習を使った自動検出が可能
・Amazon Inspector
ソフトウェアの脆弱性や意図しないネットワークのエクスポージャーがないか継続的にAWSワークロードをスキャンする自動脆弱性管理サービス
・Amazon Macie
S3のデータを機械学習によって自動的に検出、分類、保護するサービス
不正アクセスやデータ漏洩などを監視する
・Amazon Detective
CloudTrailのログ、VPCフローログ、GuardDutyの結果を自動収集して、潜在的なセキュリティ案件を分析するサービス
●AWS Athena
インタラクティブなクエリサービスで、Amazon S3内のデータを標準SQLを使用して簡単に分析ができる
保管サービスと異なり、Amazon Athenaは S3統合して利用可能なサーバレスサービスであり、準備する時間を要せずに、 S3バケットを指定してSQLによる解析を即時に実行することが可能
●EC2インスタンスにPC端末から接続する際に必要なもの
キーペア(秘密鍵と公開鍵)
●ユーザーが設定する事なく初めからマルチAZ構成のフォールトトレランスを考慮して設計されているAWSサービス
・S3
・DynamoDB