こんにちは、ちゃりおです。
AWS Summit Tokyo2019 Day3に参加してきました。
Contents
AWS Summitとは
AWS Summit は、クラウドコンピューティングコミュニティが一堂に会して、アマゾン ウェブ サービス (AWS) に関する情報交換やコラボレーション、学習を行うことができる日本最大級のカンファレンスです。世界 25 ヵ国 35 都市で開催され、あらゆる業界や学習レベルの技術者が、AWS を利用することでいかに自社のビジネスを迅速に革新し、柔軟で信頼性の高いソリューションを大規模に提供できるかを発見できる機会です。
今回は、幕張メッセで6月12日~14日の三日間行われました。
AWSアイデンティティサービス クラウドジャーニーをセキュアにすすめるために
セッション概要
Amazon Web Services, Inc. Security BDM
Quint Van DemanAWS へのクラウドジャーニーにおいて AWS ID の管理サービスに触れる機会は多いものです。そこには、オンプレミス時代に類似のものが存在したものもあれば、クラウド特有のものもあります。本セッションでは、AWS のアイデンティティサービスを網羅的にご紹介し、クラウドジャーニーにおいて堅牢な基盤を迅速かつ確実に形成する手助けとなる情報をご説明します。また、ユースケースに基づく活用の形もご紹介します。
レポート
- アイデンティティとは?
- 誰が、何に、アクセスできるかを制御する
- AWS Organization
- 複数のAWSアカウントを一元管理できる
- AWSアカウントを分けることで、管理、ネットワークアクセス、権限管理を分離できる
- リージョンとリソースの制限もできるように
- AWS SSO
- 複数のAWSアカウントへのアクセスを管理
- IAM
- AWS APIへの認証認可
- EC2のIAMロール
- 一時的な認証情報を自動取得、認証情報のローテーション
- Cognito
- Webアプリ、モバイルアプリのためのアクセスコントロールを行うサービス
感想
AWSのアイデンティ周りのサービスを一通り概要の把握ができます。
資料内にハンズオンのリンクが多かったので、後ほどやってみたいです。
DevOpsの劇的改善 古いアーキテクチャから王道のマネージドサービスを活用しフルリプレイス
セッション概要
株式会社ビズリーチ キャリトレ事業部 プロダクト開発部 部長
外山 英幸2014年に誕生したキャリトレ。当時はメンテナスしやすかったものの、度重なる機能追加によりシステムの負債は溜まり続けていきました。より良い仕組みが登場しても乗り換える余裕もなく、効率の悪いDevOpsを行うしかない状態で、上がり続ける負荷対応やセキュリティ品質要求、監査対応などに多大なコストを割き続ける…そんな状況を打破するために決断したフルリニューアル。Cognito、APIGateway、ECS、Aurora、CodePipline等、AWS的王道の仕組みを使い倒したプロジェクトとなります。
レポート
- アーキテクチャが古く保守コストが増加していた
- 技術負債のたまりづらい拡張しやすいシステムを目指し、フルリプレイス
- 認証基盤
- 認証チェックが面倒、認証との連携が難しい、セキュリティオートメーション難しいという課題があった
- 新システムではCognitoを使用
- 認可
- Cognito + API Gatewayを使用
- 認可とアプリケーションを疎結合にできた
- Webサーバのリプレイス
- ELBでスティッキーセッションを使っていたので、Elasticacheを使用するように
- ビルド・デプロイ
- Jenkinsでのビルドが年々重くなっていた
- 本番はjenkins + code pipeline+ code build
- code pipelineで承認フェーズを挟むようにした
- DBのAurora化
- レプリ遅延大幅に減る
- iopsの考慮が不要に
- batchのマネージド化
- cloudwatch + stepfunction
- ecsのランタスクで実行
- 運用方法のリプレイス
- VPN証明書の管理がつらい
- sts + ssmで時間制限ありのリモートアクセスを実装
- Infrastructure As Code
- teraformでインフラ管理
- PR駆動でインフラの構築が可能に
感想
自分自身も、仕事でAWS環境のリプレイスを行っているので、見習いたいところが多かったです。
STS + SSMでのリモートアクセスいいと思いました。
証明書の管理とか面倒ですし、セキュリティリスクもあるのでリスク低減できる方法だと思います。
Amazon RDSにおけるパフォーマンス最適化とパフォーマンス管理
セッション概要
アマゾン ウェブ サービス ジャパン株式会社 技術統括本部ソリューションアーキテクト
新久保 浩二DBのパフォーマンスを最適化する上でDBのパフォーマンスメトリクスを収集し定期的に分析することが重要になります。Amazon RDSでは、Performance Insightsを利用することでメトリクスの収集、蓄積を自動化し、パフォーマンス問題発生時点の問題解析を迅速に行うことができるようになります。パフォーマンス問題の解析のためにPerformance Insightsが取得するメトリクス”Database Load”の意味を理解するとともに、Performance Insightsを使ったパフォーマンス分析のケーススタディを説明します。また、クエリーパフォーマンスの管理という観点からAurora PostgreSQLに備わるクエリ実行計画管理なども合わせて解説します。
レポート
- データベースのパフォーマンス管理
- 監視>発見>分析>解決のサイクルを繰り返す
- KPIを決める(どこまでのパフォーマンスをもとめるか)
- Performance Insights
- データベースの健全性をモニタリングできる
- OS側のメトリクス、データベースロード、Top N
- データベースロード
- アクティブセッションをCPUを使っている処理と、待機中の処理ブレークダウンできる
- 待機イベントは、IO Read /IO Writeにさらにブレークダウンできる
- 最大vCPUを超えているかで問題か判断する
- 問題の分析
- OSリソースが飽和しているパターンとそれ以外のパターンが有る
- アクティブセッションをみることで必要なCPUの数がわかる
- Top Nでインパクトの高いSQLを把握できる
感想
現状OSリソースとログくらいしかみれていなったので、データベース側からもモニタリングできるPerfomance Insights使ってみたいと思いました。
Amazon Aurora with PostgreSQL Compatbility
セッション概要
アマゾン ウェブ サービス ジャパン株式会社 技術統括本部 ソリューションアーキテクト
江川 大地Amazon Aurora はクラウドに適したデータベースとは何かを1から考え実装された新しいデータベースエンジンであり、Amazon Relational Database Service (RDS) を使ったマネージド型サービスです。そのため、パッチ適用、バックアップといった時間のかかる管理タスクを自動化し、ユーザが必要な運用タスクにフォーカスすることができます。本講演では、皆様に意識していただきたい運用上のポイントについてご紹介したいと思います。
レポート
- Auroraのアーキテクチャ
- ストレージとSQLを実行するレイヤーが分離されている
- ストレージ: クラスターボリューム、6つのコピーを3つのAZに
- SQLレイヤー: クラスターボリュームに書き込み
- 高可用性設計
- Auroraレプリカ マルチAZ配置が可能
- 自動でフェイルオーバー(フェイルオーバー先のレプリカの優先度付けが可能)
- バックアップ
- 自動バックアップ
- ストレージレイヤで非同期にバックアップ
- 監視
- Cloudwatch ハイパーバイザ
- 拡張モニタリング OS
- PeformanceInsight DB
- ソフトウェアメンテナンス
- メンテンナンスウィンドウないでマイナーバージョンアップを行う
- 本番は手動操作が推奨
感想
Auroraでできることについて確認できました。
停止やリードレプリカの優先度づけができるようになっていたり、日々アップデートしているようです。
