アマゾン ウェブ サービス(aws)...
TRANSCRIPT
明日から
ラクに
なるかな
活用ガイド
アマゾン ウェブ サービス(AWS)
運用管理/自動化ツール
ソニービズネットワークス株式会社
クラウドポータルはソニービズネットワークスが
独自に開発した、AWS運用管理/自動化ツール。
AWS導入・運用支援サービス「マネージドクラウド with AWS」を
ご契約の方に、標準で提供しています。
ソニーグループの一員としてこれまで培ってきた
AWS運用ノウハウを活かし、自社運用を助ける機能を搭載。
また「使いやすさ」を追求し、大規模なAWS環境でも
簡単に運用でき、属人化を防ぎます。
AWSに移行しても、運用業務がなくなることはありません。
クラウドポータルで担当者の負担が軽くなれば、
日々の業務にも余裕が生まれるはず。
簡単な操作で使えて、
AWS運用をより効率化できること。
それがクラウドポータルのコンセプトです。
コーヒー片手にラクラク運用
!
3つの観点からAWS運用を支援する機能を提供
同じ管理画面を見ながら遠隔サポート
構成図や稼働状況をグラフィカルに 分かりやすく表示。
起動停止やスナップショット取得 などをGUIで簡単に設定。
AWSログからアプリログまで 各種ログの管理・監視を集約。
見える化
10のシナリオで見る、クラウドポータル活用法
こんな経験ありませんか?
AWSの運用
運用・監視自動化
管理者・開発者(貴社)
AWS認定アーキテクト(弊社)
AWS Cloud
etc.
Amazon EC2 Amazon RDS Amazon VPC Amazon S3
2 3
構成図をリアルタイムに生成なら
AWS環境の構成図はパワーポイントなどで、手作業で作成・更新しているケースが多いもの。しかし、AWS環境の変更にあわせて更新し続けるのはかなりの手間に。構成図と実際の構成にギャップが出てしまうことも…。
AWS Config の情報から Amazon Elastic Compute Cloud(Amazon EC2)や Amazon Relational Database Service(Amazon RDS)などの構成図を自動で生成。どのネットワークにどのサーバが含まれるのかを把握しやすく、管理負荷を軽減します。
設計情報をまとめた PDF ファイルもダウンロード可能監査対応ドキュメントとして利用できるPDF ファイルを出力できます。
・Windowsにインストールされているアプリケーション・適用されたWindows Update の KB 番号・Linuxのプロセス一覧 など
構成図や設定などをまとめた資料は監査対応としても必要に。「古い情報のまま」「資料がない」という状況では問題です。これらも手作業で作成していては大変です。
最新の構成を
簡単に把握したい
監査対応に必要な
設計書も作成が大変…!
アップデートしなきゃね
構成図?最新と言えば最新だよね…
Amazon EC2、Amazon RDSの構成を表示
Availability Zone(AZ)、サブネットなどのネットワーク構成も表示。ルーティング情報も確認できますthem
e.1
theme.2
見える化
自動化
運用・監視
4 5
コスト削減もサポートしますは
柔軟に拡張でき、使った分だけ課金される従量課金はAWSの特長であり魅力。ですが、「予想外に利用料が高くなってしまった」ということも。そんな事態を避けるためには、利用料金の監視や通知が有効です。
日次、月次、サーバごとなど利用料金をさまざまな角度で表示。グラフで表示されるため、いつから利用料金があがったのか、どのサーバが高いのかなども一目で分かります。
コスト削減を考える際には、インスタンスの稼働状況を確認しておくことがおすすめ。高スペックなインスタンスタイプで稼働しているのに、使用率が低いケースなどでは、インスタンスタイプを稼働状況にあわせて変更することでコスト削減につながります。
使った分だけ
課金されるから…
スペックの無駄も
見える化しよう
日ごとの利用料金推移をグラフ化。予測値も表示
サーバごとの利用料金も一目で把握
CPUやディスクの状況をグラフィカルに表示
リソースの使用状況を見える化し、スペック変更の判断をサポート
さらにインスタンスごとの稼働状況も見 える化。グラフィカルな 表 示でCPU やメモリ、ディスクの利用率が分かりやすく、「利用状況に対してスペックが高すぎる」といったこともすぐに分かります。
全部自分で使ったヤツだった
theme.1
theme.2
なんでこんなに利用料金高いんだっけ? 見
える化
自動化
運用・監視
6 7
ネットワークの利用状況も見えるなら
システムが遅いときの原因のひとつがネットワーク。といっても、拠点からAWS環境までの帯域やAmazon Virtual Private Cloud(VPC)のトラフィックなど原因はさまざま。まずはそれぞれの状況を確認し、原因を切り分けることが重要です。
ソニービズネットワークスでは AWS Direct Connect 接続サービスを提供し、AWS 環境までのセキュアなネットワークをワンストップで提供。トラフィックの状況まで見える化し「ネットワークがボトルネックなのか」も一目瞭然。「あまり使われていないから帯域を減らそう」といった判断も可能になります。
Amazon VPC のトラフィックを確認する際に有効なのが、ネットワークインターフェース間の IP トラフィックをキャプチャする VPC フローログです。ただし、VPC フローログを取得するには事前に Amazon CloudWatch Logs などで設定する必要があります。
ネットワークが遅い…
まずは原因切り分けを
VPC フローログは
事前に設定が必要です
原因、分かった?
帯域の利用状況をグラフィカルに表示。対策が可能に
クラウドポータルでは VPC フローログを取得する機能を搭載し、クリック1つでトラフィックログの取得を開始・停止できます。ネットワークトラブルの原因切り分けや調査がクラウドポータルで完結します。
開始ボタンをクリックするだけでOK!
VPC フローログもワンクリックで取得
ネットワークが混みあっておりまーす
theme.1
theme.2
見える化
自動化
運用・監視
8 9
起動停止も簡単に自動化なら
「システムを使わない時間はインスタンスを停止する」従量課金のAWSだからこそこういった運用はコスト削減に効果的です。もちろん手作業での起動停止は現実的ではなく、自動化が必須。ところが、スクリプトで自動化すると、今度はそのスクリプトの管理が課題に。属人化を招くほか、どのインスタンスがどういうスケジュール設定になっているか分からないといった事態に陥りかねません。
クラウドポータルでは、EC2 インスタンスや RDS インスタンスの起動停止を簡単に自動化。GUI ベースで、該当インスタンスの曜日や時間などを選ぶだけで、スケジュール設定が完了します。もちろん、設定内容も簡単に確認でき、管理を効率化。属人化を防ぎます。
起動停止自動化の
スクリプト管理が課題に
ぼくがやるの?
曜日や時間、日付などを選ぶだけで設定完了
サーバの夜間停止前任者しか設定できないんだよね
AWS の運用でもう一つ、自動化が欠かせないのがAmazon Simple Storage Service(Amazon S3)へのスナップショット取得。クラウドポータルではこちらも曜日や時間などを選ぶだけで設定完了。リストアにも対応し、誰でも簡単にバックアップの運用が可能です。
スナップショット取得の自動化も簡単
インスタンス一覧でスケジュール設定状況をまとめて把握!
スクリプトの管理負荷
管理の属人化
などが課題に
21:00 に停止
7:00 に起動
20:00 に停止
8:00 に起動
スクリプト
スナップショット
EC2インスタンス
Amazon S3
theme
インスタンス
インスタンス
見える化
自動化
運用・監視
10 11
夜だけスペックダウンも簡単なら
24時間稼働しなければいけないけれど、夜はあまり使われていない……そういったシステムなら、昼と同じスペックで稼働し続ける必要はないはずです。夜間だけスペックが低いインスタンスタイプに変更し、朝、もとに戻すことでコスト削減につながります。
クラウドポータルでは単にインスタンス起動停止を自動化するだけでなく、起動のタイミングでインスタンスタイプを変更することも可能です。これにより、サーバの拡張も夜間に自動でおこなえるように。また、夜だけスペックを下げる、といった運用も簡単に実現できます。
リソース不足時の第2候補も設定可能インスタンス起動時にリソース不足になってしまった場合に備えて、第2候補のインスタンスタイプを設定できます。一度起動に失敗しても、第2候補を利用してリトライすることで、成功率が格段に UP。朝出社したらシステムが使えない!という事態を避けられます。
夜間だけサーバを停止 or スペックを変更し、朝もとに戻す……こういった作業は自動化が有効ですが、AWS のリソース不足でエラーになり、インスタンスが起動しないことも!これでは朝からシステムが使えず、業務に支障が出てしまいます。
ほとんど使っていない夜も
同じスペック?
リソース不足で
起動エラーになることも!
おやすみなさい
夜はあんまり使ってないの
スケジュールとあわせて、起動時のインスタンスタイプを指定可能
m5.large
t3.large
朝、起動設定したがリソース不足により起動しない
第 2 候補にて起動
theme.1
theme.2
見える化
自動化
運用・監視
12 13
AZ 構成切り替えも自動化なら
シングルAZで運用しているRDSインスタンスにてメンテナンスが発生すると、強制再起動となり、10分近くDBが利用不可能に。マルチAZならば数十秒程度の通信断で済みますが、常に冗長構成とするのはコストがかかるため、どちらを優先するか悩ましいところです。
クラウドポータルを利用すれば、自動でシングル AZ・マルチ AZ の切り替えが可能に。切り替え自体にダウンタイムはないため、メンテナンス時間にあわせてスケジュール設定することで、コストをおさえながら、必要なときだけマルチ AZ 化できます。
theme
Amazon RDS のメンテナンスに
どう対応する?
怒らなくてもいいじゃない
DB を冗長化するとお金が!かかるのよー!
シングルAZ変更 / マルチAZ変更を選択するだけ!
シングル AZ
コスト
メンテナンス
マルチ AZ
6:00 ~ 26:00 2:00 ~ 6:00
メンテナンス時間にあわせてフレキシブルな運用を実現
Amazon RDSについてもインスタンスタイプやディスク容量の変更が可能。「手動で今すぐ変更」「メンテナンス中に変更」「任意の時間を指定して変更」から選ぶことができ、システムごとの事情にあわせた運用が可能です。
インスタンスタイプ / ディスク容量変更にも対応
シングル AZ マルチ AZ
見える化
自動化
運用・監視
14 15
監視から復旧まで簡単設定なら
システムが適切に、かつ安定して稼働し続けるために欠かせないのが監視。インフラ部分こそAWSに任せられますが、サーバやアプリケーションはユーザ自身でしっかり監視し、状況に応じた対処が求められます。AWSには監視のためのサービスもあり、それらを活用することも有効。リソースからアプリケーションの応答まで、多岐にわたる項目を効率的に管理する方法を事前に検討しましょう。
クラウドポータルでは、ロードバランサの機能を利用したポート監視(http/https/tcp)のほか、「Mackerel」と連携した外形監視などさまざまな項目の監視を実現。異常発生時には、「SIOS AppKeeper」によるプロセス再起動や特定スクリプトの実行など事前に登録したアクションを実行し、システムの自動復旧までおこないます。
監視とセットになるのが異常発生時の復旧。状況に合わせた対処が必要ですが、「まずは再起動」など対処が決まっているケースも多いはず。夜間など担当者がすぐに対応できないときでも迅速に復旧できるよう、復旧アクションを設定しておけば安心です。
theme.1
theme.2
AWSで稼働するアプリケーション
どう監視する?
異常発生時の復旧まで自動化したい
なにかあったら再起動しといてね
監視は、してます
※Mackerel、SIOS AppKeeper の利用は別途契約が必要です
監視も復旧も項目を選ぶだけで設定完了
●サービス監視
●自動復旧
管理者
連携用API
監視通知&実行結果通知
POST
再起動を実行
シェルスクリプト /Power Shell を実行
AWS API を実行
プロセス再起動
復旧アクション定義(再起動 / スクリプト実行 /API実行 /SIOS AppKeeper による
プロセス再起動)
再起動アクション
スクリプト実行
カスタマイズ API
SIOS AppKeeper 連携
外形監視ツール連携
Zabbix、Mackerel などのツールによる監視
閾値
AmazonCloudWatch
ELB
サービス応答監視
クラウドポータル各種閾値・監視
Amazon EC2
●リソース監視
見える化
自動化
運用・監視
16 17
適切なユーザ管理をサポートなら
AWS運用の基本のひとつとされるのが、ユーザ管理。AWS Identity and Access Management(IAM)を利用し、実行可能な操作や、対象インスタンスなど適切な権限を付与して運用することがベストとされています。
クラウドポータルのユーザ管理では、細かな権限設定にも対応。操作できるメニューや対象インスタンスの制限も簡単に設定でき、特に運用フェーズではマネジメントコンソールを直接操作するのではなく、クラウドポータル経由で利用するスタイルがおすすめします。ユーザ・権限管理を集約でき、アカウント管理を効率化できます。
たとえば「外部ベンダが特定の作業をおこなう数日間だけアカウントを発行したい」というときは、作業が終わってから該当アカウントを削除する必要があります。削除し忘れは情報漏えいのリスクに。適切なアカウント管理が不可欠です。
活用が進むほど
アカウント管理が煩雑に
期間限定でアカウントを発行したいときは?
3 日も待ってるんですけど…
ユーザ ID、あとでちゃんと追加するから!
theme.1
theme.2
Private subnet
ユーザによって“見えるインスタンス”を制御
開発部 Aさんは……
AWS Cloud
VPC
全社共通ファイルサーバ
Private subnet
Private subnet
開発部検証サーバ1
開発部検証サーバ 2
クラウドポータルでは期限付き IAM ユーザの申請~承認~アカウント発行といった一連のワークフロー機能を搭載。期間限定で利用するユーザ ID の管理を大幅に効率化できます。
期限付き IAM ユーザの申請フローも搭載
営業部のインスタンスは見えない
Private subnet
営業部 Bさんは……
AWS Cloud
VPC
全社共通ファイルサーバ
Private subnet
Private subnet
見積もり管理サーバ
営業支援システム
開発部のインスタンスは見えない
必要な権限を設定して申請すればOK
見える化
自動化
運用・監視
18 19
脆弱性診断までまとめて管理なら
AWS上で稼働するアプリケーションのセキュリティは、ユーザ自身で責任をもって対策する必要があります。脆弱性対策もそのひとつ。OSやミドルウェア、アプリケーションを定期的に検査し、セキュリティホールがないか、確認するのが理想です。
クラウドポータルは Amazon Inspector にも対応。対象インスタンスとルールを選択しておけば、ワンクリックで診断を実行できます。また脆弱性診断は 1 度やって終わりではありません。こちらも日づけや時間を設定するだけで簡単に自動化でき、継続的な診断を実現します。
AWS Trusted Advisor にも対応自社の AWS 環境についてコスト最適化・セキュリティ・耐障害性・パフォーマンスの 4 つの観点からチェックしてくれる「AWS Trusted Advisor」機能も搭載。AWS Trusted Advisor によるチェック結果を一覧で確認できるだけでなく、推奨された操作をその場で実行できる機能も!AWS の運用をクラウドポータルで完結できるようサポートします。
こういったセキュリティ対策をサポートするサービスが「Amazon Inspector」です。あらかじめ用意されたルールに基づいて、EC2 インスタンス上の脆弱性を診断し、結果をレポート。ベストプラクティスをベースに、リモートからのルートログインが有効になっていないか、などの設定も診断されます。セキュリティ対策を進めるにあたって、使わない手はないでしょう。
アプリケーションの
脆弱性検査してますか?
AWS が提供する
セキュリティ診断サービス
対策しとけよ
脆弱性が残ってるぞー
対象インスタンスとルールを選ぶだけで設定完了!
theme.1
theme.2
見える化
自動化
運用・監視
20 21
ELB/AWS WAF ログも一発検索なら
AWS上でWebアプリケーションを稼働させる際に多く利用されているのがElastic Load Balancing(ELB)とAWS WAF。オンプレミスではロードバランサやWAFも自分たちで用意する必要がありましたが、AWSのサービスを利用して、簡単に構築できる点はメリットです。
クラウドポータルでは Amazon Athena と連携し、Amazon S3 に保管したログを SQLクエリで検索可能に。Amazon Athena で検索するためには、AWS Glue による DB 化が必要ですが、各種ログのなかでも、ログ管理の要望が多い ELB と AWS WAF に関しては自動で DB 化。ログを「有効化」するだけで、Amazon S3 への保存を開始し、検索が可能になります。
「Web サイトにアクセスできない」「サイバー攻撃を受けたかもしれない」といった際には当然 ELB や AWS WAF のログを確認することになります。もちろんこれらのログは出力されていますが、過去のログを蓄積し、さらに検索しやすくするには、AWS Glue や AWS Athena などほかのサービスと組み合わせて設定する必要があります。
外部向けWebアプリケーションに
欠かせない ELB/AWS WAF
ELB/AWS WAF を
運用しやすくするログ管理とは
エラーコードなんて見たくない
うちの Webエラーになってますけど
ELB を一覧で表示
theme.1
theme.2
ELB
AWS WAFAmazon Athena との連携により、ELB・AWS WAF などのログを簡単に検索できるように
ELB ログ
WAF ログ
クラウドポータルAmazon S3
SQL
AWS Glue
AWS Glue
Amazon Athena
保存したログをSQLで検索できるように
見える化
自動化
運用・監視
22 23
3ヶ月に1度、機能追加をおこない、その数は5年間で400以上にのぼります。今後もさらなる機能追加・改善を目指します。
クラウドポータル 機能一覧
●AWSリソース管理 ・Amazon EC2/Amazon RDS管理 ・Amazon ECS管理/AWS Lambda管理 ・DNS管理/Amazon S3管理 ・構成管理/AWS設計情報ダウンロード●セキュリティグループ管理●利用料金管理●ネットワーク・トラフィック表示●Amazon VPC 管理
ソニービズネットワークス株式会社
ニーズにあわせて進化し続けるクラウドポータル
<お問い合わせ先> bit-driveインフォメーションセンターURL:https://www.bit-drive.ne.jp/TEL:0120-614-006(AM9:00~PM6:00 土日・祝日・夏季休暇・年末年始を除く)
「bit-drive」は、ソニービズネットワークス株式会社の商標または登録商標です。「ソニー」および「SONY」はソニー株式会社の商標または登録商標です。Amazon Web Services、“Powered by AWS”ロゴは、米国その他の諸国における、Amazon.com, Inc.またはその関連会社の商標です。本パンフレットに記載された社名、製品名、ブランド名等は、各社の商標または登録商標です。
2020年7月
見える化
●運用監視 ・Amazon EC2 リソース監視 ・Zabbix 運用管理 ・SIOS AppKeeper 運用監視(オプション)●Amazon Athena によるログ検索●セキュリティ評価サービス●Amazon Inspector 管理●AWS Trusted Advisor 連携
●クラウドポータルアクセス管理 ・アカウント作成、権限設定 ・マルチファクター認証 ・アクセス制御(IP アドレス制限) ・操作履歴確認 ・AWSリソースグループ管理●IAM ユーザ複製、有効期限設定 など
運用・監視
●インスタンス起動停止●バックアップ(スナップショット/イメージバックアップ)●カスタマイズ API ・独自作成のスクリプト登録・自動実行●Amazon EC2リモート管理 ・Windows/Linux のパッチ運用 ・リモートからの各種シェルコマンド実行●マネージド監視・自動復旧●Auto Recovery 有効化設定 などなど
自動化
実際の操作を試せる!クラウドポータル体験ツアー
https://www.bit-drive.ne.jp/managed-cloud/service/portal/trial/