Subscribed unsubscribe Subscribe Subscribe

AWSトレーニング

本日はとある企業にお邪魔します。

Mac Book Proにステッカーではなく、オレンジのカバーが貼ってあります。
やはりセンスを感じます。
ちなみにプレゼンターはプリンシパルソリューションアーキテクトの荒木靖宏さんです。

まずは事前資料を再度説明されます。

昨年4月以降にアカウントを作成された方はデフォルトVPCが最初から一つ作られています。(VPC With a Single Public Subnet)

Main Route Tableは以下のようになっています。

Destination Target
10.0.0.0/16 Local


VPC内のみで通信しますよという意味です

  • Public SubnetのWEBサーバーを止めたい
上記設定のみにする。  
反映には数秒かかる
すでに仮想化、冗長化されています
  • 社内を通してからインターネットに接続したい
0.0.0.0.0のTargetをlgwにする
  • Public SubnetとPrivate Subnetの違い
0.0.0.0.0のTargetにigwのものがRoute Tableにあるかどうか
  • 提案資料にPublic IPがあると困る
Automatically Assign Public IPのチェックを外す
  • Elastic Network Interfaces
private IP
public IP
MAC アドレス
SG

※MACアドレスでライセンスが固定されたソフトウェアが。。の要望に応えたハイグレードのもの
  • EC2のサブネットを決める
ブランクにすればDHCPで自動的に決まる
  • NAT
Route Table
0.0.0.0/0 NAT

※ハイパーバイザーレベルで自身のVPC以外へのトラフィックは落とすようになっています
お客様のネットワークにCGWが必要
そこからAWSにvirtual private gatewayに繋げる
  • SGとNetworkACLの違い
OS側はSG → サーバー管理者(ステートフル)
ネットワーク側はNetworkACL → ネットワーク管理者(ステートレス)
※ネットワーク管理側はOutBoundの管理をちゃんとする
  • SGの番号
若い方から評価
連番ではなく、10ずつぐらいがいい
  • サーバーにログインしている場合のSGの変更
OK
  • SG
web
db
elb

※機能ごとに作成することを推奨します
  • DBのSG
WEBサーバーからのSGをSourceに指定する
※オートスケーリング等でIPが変わるので
  • EIP
Associateしていれば課金されない
※EC2で課金されているので

VPCを使ったHigh Availability

  • AZ
複数のデータセンターで構成されています
DC=AZではない
プライベートネットワークで相互接続しています(数百Gbps)
電源系統は別です
地盤も別

リージョン内のAZは全て使うことを推奨します(マルチAZ)

各AZごとにアプリが成立するようにする
  • マルチリージョンの考慮点
リージョンの選定はお客様の判断です
  • MZでのSG
SGはリージョン毎に独立しています
コマンドラインで移す
EC2 AMI Copy
  • Hot/Cold
AMIのコピーを使えば1AZで構築したものを他のAZに移せる
待機系はストレージ料金だけで済む
ある企業では月5万くらい
  • Hot/Warm
Route53のWRRで99%を1AZへ、1%は2AZへ流せる
  • Route53
近いリージョンに飛ばすこともできる
静的ならCloudFront25箇所のエッジサーバーでキャッシュされる
  • S3バケット同期(DB)
Amazon SQS or SWF
S3の変更をlamdaが検知して、SQS or SWFを使う

DynamoDBとAWS Data Pipeline
  • ファイル
Block Storageでrsyncやxcopyでもいい
AWS DirectConnectでCorporate Networkを経由して、US EastとIrelandを結ぶなど

DirectConnectはBGPルーターを使用してください

ハードウェアルーターがトラブルが少ない
カスタマーゲートウェイはPublic IPが必要でIKE(UDP:ポート500)とIPsec(IP protocol 50)を許可してください

VPC作成する際にカスタマーゲートウェイを設定して、作成すればサンプルがダウンロードできる

DirectConnect基本編

  • Why DirectConnect
ネットワークの一貫性があり、責任が明確になる

コロケへの専用線引き込みと違って、サーバーの設置場所を限定しない
  • 論理的接続
専用線はEquinix TY2に引けばよい(相互接続ポイント)
or
通信事業者やAPNのサービスを使用する
  • 料金
ポートは月3~5万
1G当り、45セント
  • 用途
VPC宛でも、Public宛でも

Private ASの場合はそのIPがAWSとの通信専用になる
  • Public IPを持たないヒト
AWS Allocated Public IPがあります
  • VPCへの接続
Private ASを使用したBGP接続

VLANを上限500本
BGP
TCP MD5
802.1q VLAN
マネージメントコンソールで設定提供(Cisco,Juniper)
  • DirectConnect
DXCPへのアウトソーシングもある

自分で手配
↓
AWS MCで仕様申請
↓
LOA(Lette of Autorization)発行
↓
LOAをEquinix
↓
VLAN ID決定
※VPCならPrivate ASの必要
↓
お客様ルーターでVLAN,BGPの設定
↓
AS番号/Prefix/VLANID/LOAをMCで選択
  • end user
エンドユーザーがcreate VGW
↓
IT部がCreate a Virtual Interface
↓
エンドユーザーがAccept Virtual Interface
  • DXとVPCの上限
BGPの経路数はVPC当り100以下
VPNの接続数はVPC当り50以下

VPCで使うCloudFormation

  • Why CloudFormation
複雑なシステムの構成を失敗せずに作成できますでしょうか
CloudFormationではjson形式で記載することで作成できます
  • CloudFormationの利用FAQ
起動セットは最大20です
説明フィールドの文字数は最大4096文字
テンプレートのパラメーターの最大は20?

Amazon LinuxがChefよりもいいのでは

Chefはオンプレミス前提のツール

テンプレートを使用して、カスタマイズしたいリソースのみをカスタマイズする

CloudFormationの利用自体は無料

簡単ならElastic Beanstalk
かゆいところまでなら CloudFormation

GIthubに登録して触っているのがオススメ

VisualOps
CoffeeFormation
toroposphere

CloudFormerは既存のものからjsonを作成する