サーバーを消してみた。2015.03.22 JAWS-DAYS LT

伊東　知治（株）TGL http://www.tgl.co.jp/

AWS歴　約２年半。

好きなAWSサービス。　

Amazon VPC と Route53。

C# と RubyOnRails が好き。

#本日携帯を無くす。（さきほど取り戻しましたw）

自己紹介

Agenda

● “社内”からはじめよう。● 上と下の説得● 実行に移す。● S3どうする？● 今後。● 最後に。

“社内”からはじめよう。

AWSへ移すために考えたこと。

“社内”からはじめよう。

まずは現状把握。

“社内”からはじめよう。

AWSと自社の転送コストがかかるので、

通信トラフィック

を測ることが大事です。

“社内”からはじめよう。

VMをAWSに移動するなら、EBSになる。確保した容量に対して課金があるので、

台数と容量

も把握しておく必要があります。。

“社内”からはじめよう。

マネージドサービスを活用できれば、運用コストを下げらるので、

S３へ切り出せないか

も一緒に検討します。

“社内”からはじめよう。

ユーザー管理はDirectoryService で。

Active Directoryと連携

も一緒に検討します。

“社内”からはじめよう。

移行した後のイメージ。

上と下の説得

社内説得1 お金を出してくれる人へ。

TCOTCO計算ツールhttp://aws.amazon.com/jp/tco-calculator/

で考えてもらう。

上と下の説得

社内説得1 お金を出してくれる人への説得材料に。

AWSに移行すると、82% TCOが下がるようです。

上と下の説得

社内説得1 お金を出してくれる人への説得材料に。

セキュリティ

上と下の説得

多いのは、誤操作、管理ミス、紛失など、約 80%

http://www.jnsa.org/seminar/2014/0610/data/A4_incident.pdf

人がからめばからむほどセキュリティリスク。

と考えるのも、あながち間違いではない。

上と下の説得

人がからむ状況を低減すれば、セキュリティ確保につながる。

それができるのがクラウドです。

上と下の説得

現場が気になること。その１

BCP（事業継続計画）

上と下の説得

現場が気になること。その２

Userbility（使用性）

上と下の説得

現場が気になること。その 3

Pros/Cons（メリット/デメリット）

上と下の説得

現場が気になること。その 4

Risk Assessment（想定リスク）

上と下の説得

リスクをとっても価値がある！

ことを伝える。

実行に移す。

セキュアに社内とつなぐ方法は２通り。

Direct Connecthttp://aws.amazon.com/jp/directconnect/

Amazon VPCでVPN接続http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_VPN.html

実行に移す。

AWS Direct ConnectAWS Direct Connect への接続には、シングルモード光ファイバー、1000BASE-LX（1310nm）（1 ギガビットイーサネットの場合）、ま

たは 10GBASE-LR（1310nm）（10 ギガビットイーサネットの場合）が必要です。この接続上で 802.1Q VLAN がサポートされている必

要があります。

使うには、いろいろ条件があります。

要件

AWS Direct Connect を使用するには、お客様のネットワークが以下のいずれかの条件を満たしている必要があります。

● ネットワークが既存している AWS Direct Connect ロケーションと同じ場所にある。利用可能な AWS Direct Connect ロケーションの詳細については、http://aws.amazon.com/directconnect/ をご覧ください。

● AWS Partner Network（APN）のメンバーである AWS Direct Connect パートナー企業のサービスを利用している。接続に役立つ AWS Direct Connect パートナーのリストについては、http://aws.amazon.com/directconnect を参照し

てください。

● 独立系サービスプロバイダを利用して AWS Direct Connect に接続する。

さらに、以下のネットワーク条件もあります。

● AWS Direct Connect への接続には、シングルモード光ファイバー、1000BASE-LX（1310nm）（1 ギガビットイーサネットの場合）、または 10GBASE-LR（1310nm）（10 ギガビットイーサネットの場合）が必要です。この接続上で 802.1Q VLAN がサポートされている必要があります。

● ネットワークがボーダーゲートウェイプロトコル（BGP）と BGP MD5 認証をサポートしている必要があります。必要に応じて、双方向フォワーディング検出（BFD）プロトコルを設定することもできます。

Amazon Virtual Private Cloud（Amazon VPC）に接続するには、初めに以下を実行する必要があります:

● 自律システム番号（Autonomous System Number/ASN）を提供します。Amazon はお客様に、169.x.x.x の範囲内のプライベート IP アドレスを 1 つ割り当てます。

● 仮想プライベートゲートウェイを作成して、それをお客様の VPC に付けます。仮想プライベートゲートウェイの作成の詳細については、『Amazon VPC ユーザーガイド 』の「Adding a Hardware Virtual Private Gateway to Your VPC」をご覧く

ださい。

Amazon EC2 や Amazon S3 などの公共の AWS 製品に接続するには、以下を提供する必要があります:

● お客様が所有するパブリックの ASN（こちらをお勧めします）またはプライベートの ASN。

● 各 BGP セッション用のパブリック IP アドレス（/31）（BGP セッションの両端に 1 つずつ）。この接続に割り当てられているパブリック IP アドレスがない場合は、AWS にログオンし、AWS サポートでチケットを開きます。

● お客様が BGP 経由でアドバタイズするパブリックルート。

見積もりをとる。

＃あくまで私がとった見積もりであり、＃全部が全部この通りというわけでは＃ありません。

魔物A初期費用：１５万月々：３０万

魔物B初期費用：10万月々：20万

高い。意外と。。。 というのが正直な感想。

自社ネットワーク運用コストと大きく開きがあった

ということに気づく。

けっこう100Mで事足りてたりしたので。。

(改めて）実行に移す。

AWS Virtual Private CloudAmazon Virtual Private Cloud（Amazon VPC）で、アマゾン ウェブ サービス（AWS）クラウドの論理的に分離したセクションを確保し、ここで、お客

様が定義する仮想ネットワークで AWS リソースを起動することができます。独自の IP アドレスレンジの選択、サブネットの作成、ルートテーブ

ル、ネットワークゲートウェイの設定など、仮想ネットワーク環境を完全にコントロールできます。

実行に移す。

VPCと自社ルーターをVPN接続

実行に移す。

絶賛稼働中

実行に移す。 閉域網ができたので、

絶賛移動中

実行に移す。

＃こんな綺麗じゃありません。

突撃！うちのサーバールーム。

突撃。TGLのサーバールーム。

＃まだすべては、消せてないです。

突撃。TGLのサーバールーム。

これからもっと消していく予定。

移動してよかったこと。

メリットその１

すぐ作れる。すぐ消せる。

移動してよかったこと。

メリットその2。

サーバー管理からの解放

移動してよかったこと。

メリットその3。

コスト意識

従量課金なので、

高まりました。

移動してよかったこと？

気になるところもあります。

Flets依存。

S3どうする？

Amazon S3Amazon Simple Storage Service（Amazon S3）は、安全で耐久性があり拡張性の高いオブジェクトストレージを、開発者や IT チームに提供します。Amazon S3 は、シンプルなウェブサービスインターフェイスにより、ウェブのどこからでもお好みの量のデータを簡単に保存し取得します。Amazon S3 では、実際に使用したストレージ分のみお支払いいただきます。最低料金や初期費用はありません。

S3はVPNの外。

S3どうする？

現実解は、３つ または、これらのハイブリッド。

❖ ポリシーベース❖ Storage Gateway❖ EC2 Nat

S3どうする？

ポリシーベース。 IAM グループを利用。

S3の特定フォルダのみアクセス権を与えるIAMポリシー。

S3どうする？

バケットポリシーでもできますが。。。

グループ単位では、設定できない。

IAMのグループ単位で基本のアクセス権を管理して、例外的に認めるケースをバケットポリシーで一時的に制御。がベストプラクティスかな。

S3どうする？

AWS Storage Gateway.AWS Storage Gateway は、オンプレミスのソフトウェアアプライアンスをクラウドベースのストレージと接続し、組織のオンプレミスの IT 環境と AWS のストレージインフラストラクチャ間でシームレスでセキュアな統合を実践するサービスです。このサービスを利用すると、スケーラブルでコスト効率の高いストレージとして AWS クラウドに安全にデータを保管できます。AWS Storage Gateway は、お客様の既存のアプリケーションで動作する業界標準のストレージプロトコルをサポートしています。頻繁にアクセスするデータをオンプレミスで維持することにより低レイテンシーのパフォーマンスを提供し、すべてのデータを暗号化して Amazon Simple Storage Service（Amazon S3） または Amazon Glacier に安全に保管します。

社内にS3専用の仮想マシンを立てて、セキュアにやりとりしましょう。

S3どうする？

AWS Storage Gatewayの料金。

● gateway 1個につき$119

● storage● I/O

S3どうする？

AWS Storage Gateway

安心感はあるが、オンプレ側に準備が要る

社内にまたHWを用意するのがちょっとね .....料金的にも少々お高め。

S3どうする？

EC2 Nat

http://docs.aws.amazon.com/ja_jp/AmazonVPC/latest/UserGuide/VPC_NAT_Instance.html

Public Subnet経由で、インターネット接続

S3どうする？

EC2 Nat

Private Subnetを一部解放する点がつっこまれどころ。

S3どうする？

TGLは、

ポリシーベースで、シンプル管理します。

今後。

● すべてのインフラAWS化（サーバー類）

● WorkPlaces、WorkDocs導入

今後。

会社のすべてをAWSにするために、暴れたいと思います。

今後のTGLに期待。。。。

#しないでくださいw

ご静聴ありがとうございました。