2020年5月28日 AWSの基本機能を学ぶハンズオン(AWS入門)
•
6 gostaram•1,109 visualizações
2020年5月28日 AWSの基本機能をハンズオンオンラインセミナーの資料です。 ■5月28日(木) AWSを使ってみよう ~AWSの基本機能をハンズオンで学ぶオンラインセミナー https://kis-seminar.connpass.com/event/174335/ ハンズオン内容: ・AWSのアカウント登録 ・Identity and Access Management (IAM) を使った、AWS リソースへのアクセスユーザー作成 ・VPC(Virtual Private Cloud)を使った、インターネットに接続するパブリックサブネットの構成 ・EC2(Amazon Elastic Compute Cloud)を使った、Linux仮想サーバーの立ち上げ 【正誤表】 182ページと194ページ 画面のハードコピーと説明文が一致していません。すいません。 ルートテーブルの設定 10.10.0.0/16 が正しい表記です。
Recomendados
Mais conteúdo relacionado
Mais de 地球人
2020年5月28日 AWSの基本機能を学ぶハンズオン(AWS入門)
- 1. AWS 2020年5月28日 株式会社KIS 二見 孝一 AWSを使ってみよう < AWSの基本機能をハンズオンで学ぶ > 2020年5月28日 オンラインセミナー資料
- 8. AWS 8/264 ・機器を自己所有 :オンプレミス ・機器を借りる :レンタルサーバー ・サービスを受ける:クラウドサービス 1.クラウドとは? (2) オンプレミスとクラウド 自家用車 タクシーレンタカー
- 16. AWS 16/264 2.クラウドサービスの種類 (1) クラウドサービスの種類 No 略称 名称 概要 1 SaaS Software as a Service サービスソフトウェア環境を提供 2 PaaS Platform as a Service システムの稼働・開発環境を提供 3 IaaS Infrastructure as a Service サーバーや記憶装置などのインフラ 機能を提供 4 DaaS Desktop as a Service デスクトップ操作環境をネットワー クで提供(仮想ディスクトップ) 5 FaaS Function as a Service サーバレスで、機能単位に実行環境 を提供
- 18. AWS 18/264 2.クラウドサービスの種類 (3) 主要なクラウドサービス サービス ロゴ 特徴 Amazon Web Service(AWS) シェア世界1、豊富な実績と多機 能 Microsoft Azure ビジネスで主流のマイクロソフト 製品と連携 Google Cloud Platform(GCP) Googleクラウド製品と連携、強固 なインフラ IBM Cloud Watson連携、基幹システムと高 い親和性 Alibaba Cloud 中国製クラウド、アジア圏で急速 拡大中
- 20. AWS 20/264 2.クラウドサービスの種類 (5) Amazon Web Services (AWS) ・Amazonが提供するパブリッククラウドサービス ・世界22のリージョン、69のアベイラビリティーゾーンで運用。 日本には東京と大阪にアベイラビリティゾーンがある ・2004年からサービスを提供しているシェアNo.1のサービス 機能も豊富。ストレージには一日の長がある ・パブリッククラウドのデファクトスタンダードとも言えるサービス サービス系アプリやビッグデータ分析、ストレージなど、幅広い 利用に適した優等生な性能を誇る
- 21. AWS 21/264 2.クラウドサービスの種類 (6) Microsoft Azure ・Microsoftが提供するパブリッククラウドサービス ・世界57のリージョン、140ヵ国でサービスを提供 ・Office 365などのMicrosoft製品との親和性が高い ・市場唯一の一貫性のあるハイブリッドクラウドを謳っており、 Active Directoryを導入している企業には移行しやすい。 ・Azure Marketplaceに多種多様なアプリケーションがあり さまざまな機能拡張を比較的容易に行える。 ・Microsoft製品との連携やActive Directoryを使ったイントラネット をクラウドに移行したい場合などに有効
- 22. AWS 22/264 2.クラウドサービスの種類 (7) Google Cloud Platform(GCP) ・Google が提供するパブリッククラウドサービス ・世界21のリージョン、64のゾーン、200以上の国と地域でサービスを提供 し、日本には東京と大阪にゾーン設置 ・Google 検索や Gmail 、YouTube 、 Google マップなどのサービスと同等 の、高性能・高速・セキュアで安定したインフラを利用 ・多言語対応PaaSである Google App Engine は、アプリケーションの ユーザが急激に増えた際にも自動的にスケールされる ・数分でテラバイトのデータ処理可能なBigQueryや、ディープラーニング用 サービスのCloud Machine Learningなどビッグデータ解析にも向いている ・Gmail や Googleカレンダー 、スプレッドシートなどのGoogleサービスと の連携に最適で、Google App Engine も利用可能
- 23. AWS 23/264 2.クラウドサービスの種類 (8) IBM Cloud ・IBMが提供するパブリッククラウドサービス ・世界に60ヵ所のデータセンターを持つ ・データの完全性、低レイテンシー、並列処理が必要なAI集約型の ワークロードを強化すると謳っているほか、IBM Watsonと 機械学習の幅広いAPIを提供している ・IBMは基幹業務システムの構築実績が豊富で、レガシーな オンプレミス環境で構築された基幹業務システムのクラウド移行先 として強みを持つ ・機械学習やWatsonを活用したビッグデータ分析を行いたい場合や、 オンプレミスの基幹業務システムのクラウド移行などに向く
- 25. AWS 25/264 2.クラウドサービスの種類 (10) それぞれサービス名が異なる 各クラウドサービスにより、提供される機能にそれぞ れ名前が付けられている。 面倒くさいけど覚えるしかない。(;^ω^) 【サーバー機能の名称例】 クラウドサービス サーバーサービスの名称 AWS Amazon Elastic Compute Cloud (EC2) Azure Virtual Machines GCP Compute Engine
- 26. AWS 26/264 2.クラウドサービスの種類 (11) たくさんサービスはあるけれど・・・ 今回はシェアNo1のAmazon Web Service (AWS)について学びます。 簡単なハンズオンとデモでAWSの概要をつか んでみましょう。
- 29. AWS 29/264 3. AWSのサービス (3) AWSの主なサービス:サーバー関連1 サービス名 概要 EC2 仮想サーバー Elastic Container Service Dockerコンテナの実行&管理 Lightsail 仮想サーバーとネットワーク一式の管理 Batch バッチジョブの実行 VPC ネットワーク環境 API Gateway Web APIを構築するサービス CloudFront コンテンツキャッシュサービス(CDN) Route 53 DNSサービス
- 30. AWS 30/264 3. AWSのサービス (3) AWSの主なサービス:サーバー関連2 サービス名 概要 Direct Connect AWSネットワークに専用線で接続 Transit Gateway VPCどうしを接続 Elastic Load Balancing (ELB) 負荷分散 Simple Mail Service (SES) メールサービス GameLift ゲームホスティングサービス Amplify モバイルアプリとWebサービス構築&デプロイ Lambda サーバーレスでコード実行
- 31. AWS 31/264 3. AWSのサービス (4) AWSの主なサービス:メディア サービス名 概要 Elastic Trancecoder メディア変換サービス Elemental MediaLive ライブビデオコンテンツの変換 Elemental MediaPackage 動画の配信パッケージ
- 32. AWS 32/264 3. AWSのサービス (5) AWSの主なサービス:ストレージ サービス名 概要 Simple Storage Service (S3) 汎用的クラウドストレージ Transfer for SFTP SFTPサービス(暗号化ファイル転送) Elastic Block Store (EBS) EC2で使うストレージ FSx for Windows Windowsファイルシステムサービス S3 Glacier S3の長期保存サービス Backup バックアップサービス Storage Gateway オンプレミスとクラウドを接続するハイブリッ ドストレージ
- 33. AWS 33/264 3. AWSのサービス (6) AWSの主なサービス:データベース サービス名 概要 Aurora カスタマイズ高性能RDS DynamoDB NoSQL(非リレーショナル)データベース DocumentDB MongoDB互換のドキュメントデータベース EasticCache インメモリキャッシュシステム RDS リレーショナルデータベース
- 34. AWS 34/264 3. AWSのサービス (7) AWSの主なサービス:セキュリティ サービス名 概要 Identify and Access Management(IAM) ユーザー管理 Cognito アプリケーション認証サービス GuardDuty 脅威の検出 Certificate Manager 証明書の生成 Firewall Manager ファイアウォールの一元管理 WAF Webのファイアウォール
- 35. AWS 35/264 3. AWSのサービス (8) AWSの主なサービス:データ集計・分析 サービス名 概要 Athena S3に保存したデータの集計 Redshift 大量データの集計サービス Kinesis リアルタイムのデータストリーム分析 Elasticsearch Service ログ、モニタリング、セキュリティー等のデー タ分析サービス Elastic MapReduce (EMR) Hadoopなどのビッグデータ利用 QuickSight データ可視化のBIツール
- 36. AWS 36/264 3. AWSのサービス (9) AWSの主なサービス:アプリケーション連携 サービス名 概要 Step Functions 順次プログラム実行サービス Simple Queue Service (SQS) アプリケーション連携のキューイングサービス Simple Notification Service(SNS) アプリケーション間のメッセージング
- 37. AWS 37/264 3. AWSのサービス (10) AWSの主なサービス:機械学習 サービス名 概要 SageMaker 機械学習モデルの構築、トレーニング、デプロ イ Lex 音声やテキストに対応したチャットボット Polly テキストを音声に変換 Textract ドキュメントからテキストやデータを抽出 Translate 言語翻訳 Transcribe 自動音声認識
- 38. AWS 38/264 3. AWSのサービス (11) AWSの主なサービス:IoT サービス名 概要 IoT Core IoTのクラウド接続サービス FreeRTOS マイコン向けリアルタイムOS IoT ボタン クラウドプログラミングのダッシュボタン Greengrass クラウド機能をエッジデバイスに拡張・展開
- 39. AWS 39/264 3. AWSのサービス (12) AWSの主なサービス:クライアント向け サービス名 概要 WorkSpaces 仮想ディスクトップ AppStream 2.0 ディスクトップアプリケーションをWebブラウ ザにストリーミング WorkLink 社内のWebサイトへのモバイルアクセス
- 40. AWS 40/264 3. AWSのサービス (13) AWSの主なサービス:開発ツール サービス名 概要 Cloud9 Webブラウザで操作できる統合開発環境 CodeBuild プログラムのビルドやテストツール CodeDeploy 開発したプログラムを配備する CodePipeline 開発したツールをビルドしてデプロイするまで を自動化 CodeStar ビルドから配備まで一式を提供 コマンドラインインター フェイス コマンドでAWSを操作するツール
- 41. AWS 41/264 3. AWSのサービス (14) AWSの主なサービス:コスト管理 サービス名 概要 Cost Explore コストと使用状況を分析 Budgets 設定した予算を超えそうになったら通知
- 44. AWS 44/264 4.ハンズオン(アカウント登録) (3) AWSにログインする ・AWSのサイトにアクセスし、アカウント を作成してみよう(無料枠あり) ・登録にはクレジットカード番号が必要です
- 59. AWS 59/264 5.AWSの用語 (1) AWSで使う主要な用語1 用語 意味・内容 Region 地理的に離れた領域のデータセンター群。東京リージョン(ap- northeast-1)、バージニア北部リージョン(us-east-1)、オレゴン リージョン(us-west-2)など、現時点で22のリージョンがある AZ 冗長化のため、リージョン内に複数の設備群を置いたものをAZ (Availability Zone)という。現時点で69のAZがある EC2 EC2(Amazon Elastic Compute Cloud)とは、AWSが提供する「仮想 サーバー」 VPC VPC(Amazon Web Service Virtual Private Cloud)とは、ユーザー専 用の仮想ネットワーク AMI Amazon Machine ImageはEC2の仮想マシンを生成するテンプレート で、各種OS、アプリの組み合わせがある EBS Elastic Block StoreはEC2用の永続的ストレージ Elastic IP EC2のインスタンスに対して固定IPを割り当てるサービス
- 60. AWS 60/264 5.AWSの用語 (1) AWSで使う主要な用語2 用語 意味・内容 ELB Elastic Load Balancingはロードバランサ―で、スケールアウト (サーバー数を増やす)したEC2に対し、クライアントからのアプリ ケーションに対するリクエスト分配を行う S3 Simple Storage Serviceは安価なオンラインストレージサービスで保 存データ容量に上限がない RDS Relational Database Serviceはリレーショナルデータベースサービス で、MySQLやPostgreSQL、Oracle、SQL Serverなどを利用可能 IAM AWS上のユーザーとアクセス権限を管理するのがIAM(AWS Identity and Access Management) Route53 AWSが提供するDNS (ドメインネームシステム) で、ドメイン名 (www.amazon.com など) を IP アドレス (192.0.2.44 など) に変換 する CloudWatch AWSの各種リソースを監視する、フルマネージド運用監視サービスで、 異常時のアラート通知や自動復旧も可能
- 61. AWS 61/264 5.AWSの用語 (1) AWSで使う主要な用語3 用語 意味・内容 フルマネージド サーバーリソースなど、提供されるサービス外のことは一切気にしな くてよいこと プロビジョニング 各種リソースの必要量を予測し、提供できること。またはその事前準 備のこと ワークロード 作業量、作業負荷 レイテンシー 処理を完了するまでの時間遅延 デプロイ ソースコード等々を稼働環境へセットし、稼働可能な状態にすること インスタンス 稼働する仮想サーバーのことで、稼働数などの数を数える単位
- 62. AWS 62/264 6.AWSの価格 (1) AWSの価格について ・課金要素は、サーバー、ストレージ、データ転送 ・夜間や休日に稼働を止めて料金節約も可 課金要素 課金体系 サーバー 仮想サーバーの稼働時間に応じて時間単位で課金される。 選択するインスタンスファミリーやサイズに応じて時間単価 が異なるが、目安として一時間あたり2円程度。 未利用時に稼働を止めると課金されない。 ストレージ 容量1Gb単位に課金される。サービスにより値段が異なるが、 おおよその目安として1カ月1Gbの契約で約10円。 データ転送 同じデータセンター内での転送や、AWSへ向かう方向は無料。 AWSからインターネットへの転送は有料で、おおよそ1Gbあ たり20円程度。
- 63. AWS 63/264 6.AWSの価格 (2) AWSのインスタンスについて 利用特性に合わせて、 ・汎用(M5,M4,T2) ・コンピューティング最適化(C5,C4) ・メモリ最適化(R5,R4) などのインスタンスファミリーと、 ・サイズ(large,small など) を選択する https://aws.amazon.com/jp/ec2/instance-types/ インスタンス ファミリー (特性) 世代 サイズ micro、small、medium、large m5.xlarge 【参考】インスタンスタイプは 200以上が用意されている
- 64. AWS 64/264 6.AWSの価格 (3) インスタンスファミリーの価格 ・新しいインスタンスファミリーの方が高性能で安い ・アジアパシフィック(東京)のEC2メモリ最適化インスタンス の価格比較例 r5.xlarge r4.xlarge r3.xlarge $0.304 $0.320 $0.399 vCPU 4コア(ECU16.0) メモリ32.0GB vCPU 4コア(ECU13.5) メモリ30.5GB vCPU 4コア(ECU13.0) メモリ30.5GB R4の方が約20%安い R5の方が約24%安い
- 65. AWS 65/264 6.AWSの価格 (4) リージョンの価格 ・リージョンにより価格が異なる ・コンプライアンスやレイテンシなどの要件を踏まえつつ、 アジアパシフィック(東京)以外のリージョンも検討する EC2 x1e.xLarge の時間単価 アジアパシフィック (東京) 米国西部 (オレゴン) $38.688 $26.688 X1e.32xlargeの例では米国西部が31%安い
- 66. AWS 66/264 6.AWSの価格 (5) 購入オプション ・EC2の契約方法により価格が異なる ・AWSが提供する見積もりツールなどを活用する 契約方法 特徴 利用シーン オンデマンド インスタンス 初期費用なし コミットなし 従量課金 ピーク増減するWeb/Appサーバ 一時利用のキャンペーンサイト 昼にしか使わない開発サーバ リザーブド インスタンス 長期(1年,3年)の長期 利用により割引適用 (最大で75%引き) 常時稼働しているサーバ DB,キャッシュサーバ (最低限必要の)Web/Appサーバ スポット インスタンス AWSの余剰リソースを 安価に利用可能 分散処理のタスクノード、クローラ メディアプロセッシング
- 67. AWS 67/264 7.最低限押さえておくこと (1) 押さえておくべき項目1 ・最低限押さえておきたい10の項目 AWS Well-Architected Framework ホワイトペーパーより抜粋 No 押さえておくべきこと SEC 1 AWSルートアカウントには必ずMFA(他要素認証)を設定し、最小 限の利用に留める(極力使用しない) SEC 2 ユーザは各個人に固有の認証情報(IAMユーザ)を払い出し、必要 に応じた最小限の権限を付与する SEC 3 認証情報をハードコーディングせず、IAMロールを活用する SEC 4 セキュリティ関連のログ取得し、一元的に監視と分析をする SEC 6 各レイヤでのセキュリティ対策を実施する。アクセス設定
- 68. AWS 68/264 7.最低限押さえておくこと (1) 押さえておくべき項目2 ・最低限押さえておきたい10の項目 AWS Well-Architected Framework ホワイトペーパーより抜粋 No 押さえておくべきこと REL6 バックアップを取得し、定期的なリカバリテストでRTO・RPOを 満たすことを確認している REL7 マルチAZまたは複数リージョンでシステムが実行されている疎結 合なアーキテクチャを採用している。 障害を監視し自動的に回復する仕組みがある COST2 請求ダッシュボードやAWS Cost Explorerで積極的に使用料金を 把握し、分析している COST5 メトリクスに基づき、サイジングを実施している COST6 利用率を分析し、購入オプションを検討している。 リージョン毎の料金差も考慮している
- 69. AWS 69/264 8.ストレージの理解 (1) AWSのストレージを理解する 1 ・特性により、いくつかのストレージが用意されている ストレージ 特性 インスタンスストア 仮想サーバ(Amazon EC2)がインスタンス稼働中に使うロー カルストレージ。インスタンスを停止するとデータは消える EBS 仮想サーバ(Amazon EC2)にマウントで きるディスクサービ ス。インスタンスを停止してもデータを保持する S3 安価かつ高い耐久性を持つオンライン ストレージサービス Glacier 超安価かつ高い耐久性を持つコールドス トレージサービス StorageGateway オンプレミス環境と連携したバックアッ プ&ストレージサー ビス Zocalo マルチデバイス対応でフルマネージド型 の文書保存・共有 サービス
- 85. AWS 85/264 9.AWSの構成イメージ (1) 構成例1 VPCをパブリック(公開用) とプライベート(非 公開)のサブネットに分割して配置した例
- 93. AWS 93/264 10.ハンズオン(IAM) (1) AWSマネジメントコンソールへのサインイン AWSマネジメントコンソールにサインインする 方法は2種類ある 1.AWS アカウントのルートユーザー認証情報を使用し、 AWS マネジメントコンソールにサインインする https://console.aws.amazon.com/console/home 2.AWS Identity and Access Management (IAM) ユーザー としてサインインする 専用 URL とアカウント認証情報を管理者から教えてもらう IAMユーザーでのサインインが推奨されている 今回のハンズオンでは、IAMの管理者権限ユーザーを作成する
- 94. AWS 94/264 10.ハンズオン(IAM) (2) AWSのIAMとは AWS Identity and Access Management (IAM) は、AWS リソースへ のアクセスを安全に管理する仕組み IAM を使用して、リソースを使用するために認証 (サインイン) され、 許可された (アクセス許可を持つ) ユーザーを制御します AWS アカウント ルートユーザーは、日常タスクでは使用せず、IAMの 機能を通すほうが安全 AWS のユーザーとグループを作成および管理し、アクセス権を使用し てリソースへのアクセスを許可/拒否できる
- 97. AWS 97/264 10.ハンズオン(IAM) (5) IAMの作成(管理者)1 AWS Identity and Access Management (IAM) で管理者アカウントを作成 https://docs.aws.amazon.com/ja_jp/mediapackage/latest/ug/setting-up-create-iam-user.html 1.AWSアカウントのルートユーザーでサインインし、IAM コンソールを開く https://console.aws.amazon.com/iam/ 2.ナビゲーションペインで [ユーザー]、[ユーザーを追加] の順に選択し、 管理者ユーザー名を「Administrator」と入力する 3. [AWS マネジメントコンソール access (アクセス)]を利用可能にする(チェックボックス) ユーザーセットに付与するアクセス許可は、プログラムによるアクセス、AWSマネジメント コンソールへのアクセス、またはその両方を選べる 4.[Next: Permissions (次へ: アクセス許可)] を選択し、[アクセス許可の設定] ページで、 [Add user to group (ユーザーをグループに追加)] を選択し、新しいユーザーに管理者権限の グループを割り当てる 管理者権限グループが未作成の場合、次の手順で管理者グループを作成する
- 98. AWS 98/264 10.ハンズオン(IAM) (6) IAMの作成(管理者)2 5.管理者権限を持つグループの作成 [Create group] を選択し、[グループの作成] ダイアログボックスで、[グループ名] に 「Administrators」と入力 [Filter policies (フィルタポリシー)] を選択し、次に [AWS managed -job function (AWS 管 理ジョブの機能] を選択してテーブルのコンテンツをフィルタリングする ポリシーリストで、[AdministratorAccess] のチェックボックスをオンにして[Create group] を 選択する 6.アクセス許可の境界を設定(オプション) 7.ユーザーにタグをつける(オプション) 8.[Create user] でユーザーを作成する
- 99. AWS 99/264 10.ハンズオン(IAM) (7) IAMの作成(一般)3 AWS Identity and Access Management (IAM) を作成してみよう https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/id_users_create.html#id_users_create_console 1.マネジメントコンソール にサインインし、IAM コンソールを開く https://console.aws.amazon.com/iam/ 2.ナビゲーションペインで [ユーザー]、[ユーザーを追加] の順に選択し、 新しいユーザーのユーザー名を入力する 3.ユーザーセットに付与するアクセス許可は、プログラムによるアクセス、AWSマネジメント コンソールへのアクセス、またはその両方を選べる 4.[Next: Permissions (次へ: アクセス許可)] を選択し、[アクセス許可の設定] ページで、 新しいユーザーにアクセス許可を割り当てる方法を指定する ・[ユーザーをグループに追加] ・[Copy permissions from existing user (既存ユーザーからアクセス許可をコピー)] ・[Attach existing policies to user directly (既存のポリシーをユーザーに直接アタッチ)]
- 100. AWS 100/264 10.ハンズオン(IAM) (8) IAMの作成(一般)4 5.アクセス許可の境界を設定(オプション) 6.ユーザーにタグをつける(オプション) 7.[Create user] でユーザーを作成する 8.シークレットアクセスキーをダウンロードする ユーザーのアクセスキー (アクセスキー ID とシークレットアクセスキー) を表示するには、 表示する各パスワードやアクセスキーの横にある [表示] をクリック。 アクセスキーを保存するには、[Download .csv] を選択し、ファイルを保存する。 * AWS API を使用するシークレットアクセスキーを表示またはダウンロードできるのはこのときだけ。 このステップを行った後に、シークレットキーに再度アクセスすることはできないので注意。 9.各ユーザーに、IAMに関する情報(ユーザー名、サインインページへのURL)を通知する
- 101. AWS 101/264 10.ハンズオン(IAM) (9) IAMで管理者アカウントを作成する AWSコンソールのIAMにアクセスし、管理者 アカウントを作成してみよう 1.AWS アカウントのルートユーザー認証情報を使用し、 AWS マネジメントコンソールにサインインする https://console.aws.amazon.com/console/home 2.AWS Identity and Access Management (IAM) の画面で 管理者権限のIAMユーザーを作成する
- 116. AWS 116/264 10.ハンズオン(IAM) (24) IAMの仕組み(全体像) EC2のインスタンスに割り当てるIAMロールを作成します その前にIAMの仕組みの全体像を見てみましょう AWS アカウント、IAM ユーザー、IAM グループ、IAM ロール、ポリシーの関係
- 117. AWS 117/264 10.ハンズオン(IAM) (25) IAMの仕組み1 ポリシーには2種類ある ・管理ポリシー 独立したポリシーで、エンティティ( ユーザー、グループロール )に 割り当てることができる ・インラインポリシー エンティティ( ユーザー、グループロール )に組み込まれたポリシー エンティティを削除するとポリシーも削除される JSON形式で自作できる IAMポリシーを設定する際は、最小限のアクセス権を付与するか、業 務の実行のために必要な機能にのみ絞ってアクセス権限を付与する
- 119. AWS 119/264 10.ハンズオン(IAM) (27) IAMの仕組み3 IAMポリシーのアクセス許可は、 ・どのAWSサービスの ・どのリソースに対して ・どういうアクションを許可するか を設定します アクセス許可の例: どのAWSサービス(EC2, RDS, S3 など)の、 どのリソース(EC2.instance image route-table, S3.bucket object, RDS.cluster db snapshot など)に対して、 どういったアクション(リスト, 読込み, 書込み, アクセス権限の管理, すべて など) を許可 するか
- 121. AWS 121/264 10.ハンズオン(IAM) (29) IAMの仕組み5 IAMグループには複数のIAMポリシーを関連付けできる IAMグループには複数のIAMユーザーを所属させられる
- 133. AWS 133/264 11.EC2の前にVPC (1) AWSのEC2を使ってみよう EC2(Amazon Elastic Compute Cloud)とは、インスタ ンスと呼ばれる仮想コンピューティング環境のこと このハンズオンでは、EC2でLinuxサーバーを構築し、 Webサーバーを立ち上げます その前に、必須となる知識としてVPCやAWSのネットワー ク機能を理解する必要があります
- 134. AWS 134/264 11.EC2の前にVPC (2) VPCとは ・Amazon VPC(Virtual Private Cloud)は、ユーザー専用のプライベートな クラウド環境を提供するサービス ・EC2インスタンス同士を接続する仮想ネットワークであり、VPCの内部に IPサブネットを構築してその中に、EC2やRDSなどのリソースを配置する ・設計の自由度が高く、ネットワークを構築してさまざまな外部通信が可能 (セキュリティグループ、ネットワークACL)でセキュリティを設定可能 【VPC設計上の留意点】 ・オンプレミス環境も含め、全てのVPCでプライベートIPアドレスの重複なく CIDR blockを定義すること ・VPCはできるだけ大きく作り、サブネットに割り当てていないCIDR blockを 確保しておくこと(サブネット追加の拡張性確保のため)
- 135. AWS 135/264 11.EC2の前にVPC (3) ゲートウェイについて インターネットGateway VPC内からインターネットに接続するためのゲートウェイ。VPC内のシステムが グローバルIPを使えるようになる。 Virtual Private Gateway オンプレミス環境に接続するためのゲートウェイ。自社とVPCを接続するとき使用 NAT Gateway VPC内に構成したプライベートサブネットからインターネットに接続するための ゲートウェイ。プライベートIPをNATゲートウェイが持つグローバルIPに変換し、 外部と通信する AWS Direct Connect AWSへの専用線サービスで、自社のサーバーとVPN接続する時に使用する Shared VPC VPCを複数のAWSアカウントで共有できる
- 140. AWS 140/264 11.EC2の前にVPC (8)セキュリティーグループとネットワークACL 3 項目 セキュリティグループ ネットワークACL 主な機能 サーバ(EC2等)との通信のアクセス制御 サブネット間を跨ぐ通信のアクセス制御 適用先 各インスタンス (EC2、RDS、ELBなど) に適 用。インスタンス単位 サブネットに適用 State ステートフル(通信の復路は動的に許可され る) ステートレス(通信の復路も明示的に許可設定が必要) ルール ホワイトリスト方式(許可のみ追加可能) ホワイトリスト方式/ブラックリスト方式 ・原則拒否して許可のみ追加(ホワイトリスト) ・原則許可して拒否のみ追加(ブラックリスト) 適用順番 定義したルールをすべて適用 上から順にルールを適用 方向 in と out で個別にルール設定可 in と out で個別にルール設定可 インスタンス管理者がセキュリティグループを 適用すればその管理下になる サブネット内のすべてのインスタンスがACLの管理下に 入る デフォルト ・セキュリティグループ外からのインバウンドはすべて拒否 ・セキュリティグループ外へのアウトバウンドはすべて許可 ・セキュリティグループ内はインバウンド、アウトバウンド共に許可 ・インバウンド、バウトバウンドすべて許可。(デフォルトのACL) ・インバウンド、バウトバウンドすべて拒否。(カスタムのACL)
- 141. AWS 141/264 11.EC2の前にVPC (9) セキュリティーグループの設定例 インバウンド タイプ プロトコル ポート範囲 ソース HTTP TCP 80 0.0.0.0/0 HTTPS TCP 443 0.0.0.0/0 SSH TCP 22 0.0.0.0/0 上記の設定だと、すべての送信元からのHTTP,HTTPS,SSHのトラフィックを中に通す設定となる アウトバウンド タイプ プロトコル ポート範囲 送信先 すべて すべて すべて 0.0.0.0/0 上記の設定だと、すべての送信先へすべてのトラフィックを外に通す設定となる
- 142. AWS 142/264 11.EC2の前にVPC (10) ネットワークACLの設定例 インバウンド ルール 番号 タイプ プロトコル ポート範囲 送信元 許可/拒否 100 すべてのトラフィック すべて すべて 0.0.0.0/0 ALLOW * すべてのトラフィック すべて すべて 0.0.0.0/0 DENY 上記の設定だと、すべての送信元からのトラフィックを中に通す設定となる (ルールは上に記述したものが優先される) アウトバウンド ルール 番号 タイプ プロトコル ポート範囲 送信先 許可/拒否 100 すべてのトラフィック すべて すべて 0.0.0.0/0 ALLOW * すべてのトラフィック すべて すべて 0.0.0.0/0 DENY 上記の設定だと、すべての送信先へのトラフィックを外に通す設定となる (ルールは上に記述したものが優先される)
- 144. AWS 144/264 ■インターネットに接続するサブネットの設定方法 1.VPCにInternet Gatewayをアタッチする 2.ルートテーブルでプロトコルとポートの設定を行う 3.ルートテーブルをサブネットに関連付け、アウトバウンド がInternet Gatewayを指すように設定する 4.サブネット内のEC2インスタンスにパブリックIP アドレスまたはElastic IPアドレスを適用する 5.Security GroupとNACLを組み合わせて、 EC2インスタンスの関連トラフィックを制御する 12.ハンズオン(VPC) (1) VPCのネットワーク設定手順
- 145. AWS 145/264 12.ハンズオン(VPC) (2) ハンズオンで作成するシステム構成 シンプルなLinuxサーバーをパブリックサブネット上に構築します。 (今回、プライベートサブネットは未使用とする) AWS VPC KIS-edu-vpc01 10.10.0.0/16 Availability Zone : ap-northeast-1-a パブリックサブネット : KIS-edu-Pub-Subnet01 10.10.1.0/24 EC2 KIS-edu-Web00 Linux Nginx インターネットゲートウェイ KIS-edu-IGW01 EC2 KIS-edu-Web01 EC2 KIS-edu-Web02 ルートテーブル KIS-edu-RT-Pub01
- 148. AWS 148/264 12.ハンズオン(VPC) (5) VPCウィザード: VPC設定の選択1 ・1個のパブリックサブネットを持つVPC インターネットに直接アクセスできる AWS クラウドの分離されたプライベート空間でインスタンスは 実行されます。インスタンスのインバウンドおよびアウトバウンドのネットワークトラフィックを厳重 に管理するには、ネットワークアクセス ACL とセキュリティグループを使用します。 作成: /24 サブネットを持つ /16 ネットワークです。パブリックサブネットインスタンスは Elastic IP または パブリック IP を使用してインターネットにアクセスします。 VPCウィザード 参考資料
- 149. AWS 149/264 12.ハンズオン(VPC) (6) VPCウィザード: VPC設定の選択2 ・パブリックとプライベートサブネットを持つVPC この設定は、パブリックサブネットに加えて、インスタンスにインターネットからアドレスを指定できないプラ イベートサブネットを追加します。プライベートサブネットのインスタンスでは、ネットワークアドレス変換 (NAT) を使用してパブリックサブネットを介してインターネットへのアウトバウンド接続を確立できます。 作成: 2 個の /24 サブネットを持つ /16 ネットワークです。パブリックサブネットインスタンスは Elastic IP を使用 してインターネットにアクセスします。プライベートサブネットインスタンスは、ネットワークアドレス変換 (NAT) を介してインターネットにアクセスします。(NAT デバイスには時間単位料金がかかります。) VPCウィザード 参考資料
- 150. AWS 150/264 12.ハンズオン(VPC) (7) VPCウィザード: VPC設定の選択3 ・パブリックとプライベートサブネットおよびハードウェアVPNアク セスを持つVPC この設定は、Amazon VPC とデータセンターの間に IPsec 仮想プライベートネットワーク (VPN) 接続を追加し て、実質的にデータセンターをクラウドに拡張すると同時に、Amazon VPC のパブリックサブネットのインスタ ンスがインターネットに直接アクセスできるようにします。 作成: 2 個の /24 サブネットを持つ /16 ネットワークです。1 個のサブネットはインターネットに直接接続され、も う 1 個のサブネットは IPsec VPN トンネルを介して企業ネットワークに接続されます(VPN の料金が適用され ます) 。 VPCウィザード 参考資料
- 151. AWS 151/264 12.ハンズオン(VPC) (8) VPCウィザード: VPC設定の選択4 ・プライベートのサブネットのみで、ハードウェアVPNアクセスを 持つVPC インターネットからアドレスを指定できないプライベートサブネットを持った AWS クラウドの分離さ れたプライベート空間でインスタンスは実行されます。このプライベートサブネットは、IPsec の VPN トンネル経由で自社データセンターに接続できます。 作成: /24 サブネットを持つ /16 ネットワークで、Amazon VPC と企業ネットワークの間で IPsec VPN トン ネルをプロビジョニングします。(VPN の料金が適用されます。) VPCウィザード 参考資料
- 153. AWS 153/264 12.ハンズオン(VPC) (10) VPCウィザード: VPC設定 ステップ1 今回のハンズオンでは「1個のパブリックサブネットを持つVPC」 を作成する VPCウィザード 参考資料
- 154. AWS 154/264 12.ハンズオン(VPC) (11) VPCウィザード: VPC設定 ステップ2 VPC名、アベイラビリティーゾーン、サブネット名を入力し、VPC を作成する VPCウィザード 参考資料
- 155. AWS 155/264 12.ハンズオン(VPC) (12) VPCウィザード: VPC設定 ステップ2 VPCが作成されたことを確認する VPCウィザード 参考資料
- 156. AWS 156/264 12.ハンズオン(VPC) (13) VPCウィザード: VPC設定 ステップ2 作成したVPCの内容を確認する 作成したサブネット内にインスタンスを配置します VPCウィザード 参考資料
- 159. AWS 159/264 12.ハンズオン(VPC) (16) VPCの削除3 VPCダッシュボードで、空にしたVPCを削除する 「VPCの作成」から「VPCの削除」を選択する VPCの削除 参考資料
- 165. AWS 165/264 12.ハンズオン(VPC) (22) VPCの作成1 VPCダッシュボードの「VPC」を選択し、「VPCの作成」を選択 1.「名前タグ」と「IPv4 CIDR ブロック」に値を入力する 2.「作成」を選択
- 169. AWS 169/264 12.ハンズオン(VPC) (26) サブネットの作成2 サブネットの情報を設定し、「作成」を選択 ・名前タグ ・VPC ・アベイラビリティーゾーン ・IPv4 CIDR ブロック
- 172. AWS 172/264 12.ハンズオン(VPC) (29) サブネットの作成5 サブネット上に配置したインスタンスに、IPアドレスを自動割り当 てする場合、IPアドレスの自動割り当てを有効化しておく
- 173. AWS 173/264 12.ハンズオン(VPC) (30) サブネットの作成6 サブネット上に配置したインスタンスに、IPアドレスを自動割り当 てする場合、IPアドレスの自動割り当てを有効化しておく
- 181. AWS 181/264 12.ハンズオン(VPC) (38) インターネットゲートウェイの作成7 インターネットゲートウェイがVPCにアタッチされたことを確認 次は、ルートテーブルの設定を行う
- 191. AWS 191/264 12.ハンズオン(VPC) (48) ルートテーブルの設定10 送信先に 0.0.0.0/0(すべてのアドレス)を設定し ターゲットは 「internet Gateway」を指定する Internet GateWay を指定すると、作成済のインターネットゲートウェイが選択画面に表示される
- 192. AWS 192/264 12.ハンズオン(VPC) (49) ルートテーブルの設定11 送信先に 0.0.0.0/0(すべてのアドレス)を設定し ターゲットは 「internet Gateway」を指定する Internet GateWay を指定すると、作成済のインターネットゲートウェイが選択画面に表示される 設定したいインターネットゲートウェイを設定し、「ルートの保存」を押す
- 194. AWS 194/264 12.ハンズオン(VPC) (51) ルートテーブルの設定13 ルートが追加されたことを確認する 送信先 ターゲット 10.0.0.0/16 VPC内のすべてのIPアドレス Local VPC内に送信する 0.0.0.0/0 すべてのアドレス (ルールは上から評価されるため、この時点で、条件 としてはVPC以外のIPアドレスということになる) インターネットゲートウェイ (送信先がVPC以外なら、インターネットに出て行くこ とになる)
- 198. AWS 198/264 12.ハンズオン(VPC) (55) デフォルトVPC デフォルト VPC では、独自の VPC とサブネットを作成および設定することなく、 Amazon EC2 リソースを起動できる。 各アベイラビリティーゾーン、インターネットゲートウェイ、およびインターネット ゲートウェイへのルートを持つルートテーブルで、デフォルトサブネットがあるデ フォルト VPC が作成される。 必要ならデフォルトVPCを作成する(設定画面は省略)
- 199. AWS 199/264 13.ハンズオン(EC2) (1) AWSのEC2を使ってみよう これまで作成したAWS環境を使って、EC2の仮想サーバーを立ち上げます EC2(Amazon Elastic Compute Cloud)の機能 • インスタンスと呼ばれる仮想コンピューティング環境 • サーバーに必要なOSやアプリをパッケージ化した Amazon Machine Image (AMI) と呼ばれる、インスタンス用に 事前に設定されたテンプレート • インスタンスタイプと呼ばれる、 CPU、メモリ、ストレージ、ネットワーキングキャパシティーのさまざまな構成 • キーペアを使用した安全なログイン情報(AWS はパブリックキーを保存し、ユーザーはプライベートキーを保存) • インスタンスを停止または終了するときに削除される一時データ用のストレージボリューム • Amazon Elastic Block Store (Amazon EBS) を使用したデータ用の永続的ストレージボリューム • リージョンおよびアベイラビリティーゾーンと呼ばれるリソース用の複数の物理的な場所 • セキュリティグループを使用した、プロトコル、ポート、ソース IP 範囲を指定できるファイアウォール • Elastic IP アドレスと呼ばれる、動的クラウドコンピューティング用の静的な IPv4 アドレス • タグと呼ばれ、作成して Amazon EC2 リソースに割り当てることができるメタデータ • 残りの AWS クラウドから論理的に分離され、ユーザー独自のネットワークにオプションで接続できる、仮想 プライベートクラウド (VPC) と呼ばれる仮想ネットワーク
- 202. AWS 202/264 13.ハンズオン(EC2) (4) AWSのEC2を作成する Linuxの仮想マシンを作成し、Webサーバーを立ち上げてみよう。 1.AWSコンソールにログインする 今回はIAMユーザー(研修用アカウント)でログインします URLとユーザー名/パスワードは講師の指示に従ってください 【参考資料】 ■Amazon Elastic Compute Cloud Linux インスタンス用ユーザーガイド https://docs.aws.amazon.com/ja_jp/AWSEC2/latest/UserGuide/ec2-ug.pdf
- 209. AWS 209/264 13.ハンズオン(EC2) (11) AMI(マシンイメージ)2 無償で提供されているものもあれば、販売されているものもある 自分自身が独自に作った構成をAMIとして作成することも可能 有償のAMIを使用する時は、料金体系を確認する AMIの種類 内容 マイAMIと共有AMI 自分で作成したAMI 他人が共有してくれたAMI AWS Marketplace マーケットプレイスで販売されているもの SAPやMicrosoft製品がセットアップされたもの や、OSS製AMIなどがある コミュニティーAMI コミュニティーで公開されているAMI
- 211. AWS 211/264 13.ハンズオン(EC2) 【おさらい】AWSのインスタンスについて 利用特性に合わせて、 ・汎用(M5,M4,T2) ・コンピューティング最適化(C5,C4) ・メモリ最適化(R5,R4) などのインスタンスファミリーと、 ・サイズ(large,small など) を選択する https://aws.amazon.com/jp/ec2/instance-types/ インスタンス ファミリー (特性) 世代 サイズ micro、small、medium、large t2.micro
- 212. AWS 212/264 13.ハンズオン(EC2) (13) STEP3:インスタンスの設定1 ステップ3:インスタンスの詳細の設定 で必要な情報を設定 全体の設定項目 詳細は次のスライドで
- 213. AWS 213/264 13.ハンズオン(EC2) (14) STEP3:インスタンスの設定2 ステップ3:インスタンスの詳細の設定 で必要な情報を設定 全体の1/2設定項目 2/2は次のスライドで
- 218. AWS 218/264 13.ハンズオン(EC2) (19)【参考】命名規則について AWSの命名規約はケバブケースを推奨(kebab-case) 命名規約の代表的なものを紹介しておきます 名称 規則性 例 主に使われる場所 キャメルケース 単語の先頭を大文字にする camelCase プログラム変数 スネークケース 単語の間をアンダーバーでつなぐ snake_case データベース ケバブケース 単語の間をハイフンでつなぐ kebab-case HTML
- 231. AWS 231/264 13.ハンズオン(EC2) (32) SSHでの接続確認4 SSHクライアントソフト「PuTTY」で使用するため、プライベートキーファイ ル(*.pem)を.ppk 形式のファイルに変換する PuTTYgenによるファイル変換を実施する ■PuTTY を使用した Windows から Linux インスタンスへの接続 https://docs.aws.amazon.com/ja_jp/AWSEC2/latest/UserGuide/putty.html
- 232. AWS 232/264 13.ハンズオン(EC2) (33) SSHでの接続確認4 SSHクライアントソフト「PuTTY」を起動し、接続確認を行う。 ■PuTTY を使用した Windows から Linux インスタンスへの接続 https://docs.aws.amazon.com/ja_jp/AWSEC2/latest/UserGuide/putty.html
- 233. AWS 233/264 13.ハンズオン(EC2) (34) SSHでの接続確認4 SSHクライアントソフト「PuTTY」で使用するため、プライベートキー (*.pem)を.ppkファイルに変換する
- 234. AWS 234/264 13.ハンズオン(EC2) (35) SSHでの接続確認5 社外のネットワークからTeraTermで接続確認してみる 指定するIPアドレスは、インスタンスのパブリックIP
- 242. AWS 242/264 14.さらに学びたい人は (1) AWS CloudFormation 今回は仕組みを理解できるように手動でのハンズ オンを行いました 各種の設定をコードで書けるCloudFormationとい う機能があります。 AWSの環境を構築するときに、リソースの設定や プロビジョニングを、コードで書いたテンプレー ト化できて、 CloudFormationを使えば、管理と 手間を大きく削減できます
- 244. AWS 244/264 14.さらに学びたい人は (3) AWSのレベルアップサイト2 ■トレーニングライブラリ https://www.aws.training/LearningLibrary/
- 250. AWS 250/264 AWSのしくみと技術がこれ1冊でしっかりわかる教科書 (図解即戦力)小笠原種高 (著)技術評論社 クラウドサービスとは?初心者にも分かるクラウド入門 https://jpn.nec.com/cloud/smb/column/01/index.html クラウドとは https://altus.gmocloud.com/suggest/cloud/ 【初心者入門編】クラウドとは?まず押さえたいメリット・デメリット https://www.internetacademy.co.jp/trends/it- strategy/merit-and-demerit-of-cloud.html クラウドサービスとは?クラウドの種類やメリット・デメリットを解説! https://securesamba.com/media/8279/ 初心者向けに解説!クラウドとは? https://eng-entrance.com/what-is-cloud みんな使ってる!? クラウドサービスのおさらい https://cs.zaq.ne.jp/jpluszaq/articleDetail?cn=20161018202021 《図解》いまさら聞けないクラウド用語: SaaS、PaaS、IaaSってどういう意味? https://data.wingarc.com/saas-paas- iaas-11087 コレ1枚で分かる「サーバレスとFaaS」 https://www.itmedia.co.jp/enterprise/articles/1701/16/news026.html 昨今注目される新たなクラウドアーキテクチャ「FaaS」とは https://knowledge.sakura.ad.jp/15940/ 【比較表あり】クラウドのメリット・デメリット 完全解説! https://securesamba.com/media/7976/ クラウドのメリット・デメリット http://www.toha-search.com/it/cloud-merit.htm 【クラウド型×オンプレミス型】メリット&デメリット https://boxil.jp/mag/a76/ クラウドサービスのメリット・デメリット https://cloud-textbook.com/21/ 3大クラウドを比較 https://ferret-plus.com/9360 パブリッククラウド比較 https://www.softbank.jp/biz/future_stride/entry/technology/20180509/ 参考文献/出典 Webサイト1 以下のサイトを参考・引用させていただきました
- 251. AWS 251/264 主要クラウドベンダーのセキュリティホワイトペーパー比較 https://www.cloud-ace.jp/column/detail10/ AWS、Microsoft、Googleの主要な「クラウドAIサービス」は? https://techtarget.itmedia.co.jp/tt/news/1906/06/news04.html IaaS+PaaSクラウド市場、AWSの首位ゆるがず Azure、Google、Alibaba含む4社で市場の7割超占める 19年3Q https://www.itmedia.co.jp/news/articles/1911/13/news073.html AWS入門 初心者が覚えておくべきAWSの基本 https://business.ntt-east.co.jp/content/cloudsolution/column-37.html 【2020年】AWS全サービスまとめ https://dev.classmethod.jp/articles/aws-summary-2020/ AWS入門者向け 初心者が最初に理解すべきEC2とVPCの基本的な用語解説 https://avinton.com/academy/aws/ AWS用語解説 https://qiita.com/tanaka-t/items/1059f1820d140c225e4a AWSでサーバーを構築するために理解すべき手順とポイント https://business.ntt- east.co.jp/content/cloudsolution/column-10.html#section-02 何から手をつければ良い?AWSを勉強する際のポイントをまとめてみました https://style.potepan.com/articles/11679.html AWSご利用開始時に… 最低限おさえておきたい のこと https://d1.awsstatic.com/webinars/jp/pdf/services/20190123_10things_at_least_for_AWSBeginner.pdf AWSの料金を見積もるためにAWSの料金体系を理解しよう https://business.ntt-east.co.jp/content/cloudsolution/column- 36.html AWS Well-Architected フレームワーク https://d1.awsstatic.com/whitepapers/ja_JP/architecture/AWS_Well- Architected_Framework.pdf ガイドと API リファレンス https://docs.aws.amazon.com/index.html 参考文献/出典 Webサイト2 以下のサイトを参考・引用させていただきました