Mais conteúdo relacionado Semelhante a LiBRA 07.2020 / ITソリューション塾・第34期 SDI (20) Mais de Masanori Saito (20) LiBRA 07.2020 / ITソリューション塾・第34期 SDI17. Infrastructure as Codeの特徴(1)
17
環境構築手順書
① AをBする。
② CをDにする。
③ FをGにする。
・・・
+#!/bin/sh+yum
install -y httpd httpd-
devel php php-
mbstring php-pdo
php-mysql mysql-
インフラ設定インフラ構築手順作成
環境構築手順書 1
① AをBする。
② CをDにする。
③ FをZにする。
・・・
環境構築手順書 2
① AをBXする。
② CをDYにする。
③ FをZにする。
・・・
環境構築手順書 3
① AをBXする。
② CをDYにする。
③ FをGZにする。
・・・
+#!/bin/sh+yum
install -y httpd httpd-
devel php php-
mbstring php-pdo
php-mysql mysql-
手作業で作業ミスが心配
変更を繰り返すと管理が大変
実際の環境と履歴が一致しない
対象が増えると管理しきれない
設定に手間がかかる
テスト・確認が複雑
18. Infrastructure as Codeの特徴(2)
18
変更履歴
① XXXXXXXXX
② XXXXXXXXX
③ XXXXXXXXX
・・・
クラウド個別システム
×
×
システム資源が物理的に固定さ
れるので、インフラ構築はその
制約の下で行われる。
物理サーバーを構成変更しなが
ら使い続ける。
システム資源が仮想化されるの
で、インフラ構築に物理的な制
約をうけることはない。
仮想サーバーの追加・破棄を頻
繁に繰り返すことができる。
変更履歴を管理 動作している状態を管理
構成は不変
Imutable Infrastructure構成は変化し続ける
19. Infrastructure as Codeを実現するソフトウェア
19
仮想マシン 仮想マシン 仮想マシン
Orchestration: 複数サーバーの管理を自動化
Configuration: OSやミドルウェアの設定を自動化
Bootstrapping: OSの起動を自動化
OS OS OS
Virtualization: 仮想マシンの構築・起動
ミドルウェア
アプリケーション
OSや仮想化ソフトウェアのインストール/設定作業を自動化
データベースサーバ/Webサーバ/監視エージェントなどのミドル
ウエアのインストールやバージョン管理、OSやミドルウエアの設定
ファイルや、OSのファイアウォール機能などの設定などを自動化
複数台のサーバ群を監視し、新しいサーバをシステムに登録したり、
障害のノードをシステムから取り除いたり、サーバへのアプリケー
ションのデプロイをサポート
KickStart
22. システム利用形態の歴史的変遷
OSOS
AP AP APAP AP AP
3 2 1
1950年代〜/バッチ 1960年代〜/タイムシェアリング
メインフレーム メインフレーム
ミニコン
OS
AP AP AP
OS OS
VM VM VM
1970年代〜/仮想化(仮想マシン)
メインフレーム
ミニコン
OS
AP AP AP
OS OS
1980年代〜/分散化
ミニコン
PCサーバー
OS
AP AP AP
OS OS
VM VM VM
2000年代〜/仮想化(仮想マシン)
PCサーバー
クラウド
(IaaS)
OS
AP
設定
AP
設定
AP
設定
コンテナ コンテナ コンテナ
2015〜/コンテナ
PCサーバー
クラウド
(PaaS)
メインフレームの時代
オープン・システムの時代クラウドの時代
29. Chromebook
インターネット
データ
文書作成 表計算
プレゼン ・・・ ブラウザ
画面表示・入出力操作
通信
画面表示・入出力操作
通信
オフィス・アプリ
データ
文書作成 表計算
プレゼン ・・・
オフィス・アプリ
クラウドサービス Google Apps for workなど
ブラウザ
文書作成 表計算
プレゼン ・・・
PC / Windows・Mac OS など Chromebook / Chrome OS
38. 政府の基盤システム Amazonへ発注
38
人事・給与や文書管理など各省共通
の基盤システムをAWSに発注。
整備・運用にかかる費用は2026年度
までで300億円を超える見通し。
政府は各省庁のシステムについて4〜
8年で原則クラウドにする方針を打ち
出している。
目的は、コストの大幅減と、最新の
デジタル技術の取り込みにつなげる
ため。
自前で管理する手間が減り、人員の
効率的な配置など生産性の向上も見
込める。
https://www.nikkei.com/article/DGXMZO55498840R10C20A2MM8000/
2020.02.12
43. 構築事例:AWSサービスを活かしたアーキテクチャ
EC2
Internet
クライアント
Elastic Load
Balancing
EC2
冗長化
EC2
EC2
冗長化
Web AP DB
DNS
Route 53に
設定するのみ
死活監視のソフトウェア不要
基本的に無料/アラーム設定でメール通知
DBMSはインストール不要
Oracle、SQL Server等のライセンス料込
EC2の接続先を変更するだけ
冗長構成はMulti-AZを選択するのみ
EC2:4台
365日24時間稼働:$700.8
ELB:2台
365日24時間稼働:$473.04+α
RDS:
365日24時間稼働:$455.52
Route53:
1年間:$26.4(最少)
リージョン:東京
<EC2>
インスタンスタイプ:t2.micro
(最少)
料金:$0.020/1時間
<ELB>
料金:$0.027/1時間
+$0.008/1GB
<RDS>
インスタンスタイプ: t2.micro
(最少)
年間:約$1655.76
約198,691円
Cloud
Watch
Route 53
RDS(Master)
RDS(Slave)
DynamoDB
セッション
管理
※2015/3/20時点
54. セルフ・サービス・ポータル
調達・構成変更
サービスレベル設定
運用設定
・・・
数分から数十分
直近のみ・必要に応じて増減
経費・従量課金/定額課金
クラウド
システム資源のECサイト
見積書
契約書
メーカー
ベンダー
サイジング
調 達
費 用
数週間から数ヶ月
数ヶ月から数年を想定
現物資産またはリース資産
従来の方法
調達手配
導入作業
59. 徹底した標準化
大量購入
負荷の平準化
APIの充実・整備
セルフサービス化
機能のメニュー化
クラウド・コンピューティングのビジネス・モデル
クラウド・コンピューティング
オンデマンド
従量課金
自動化・自律化
システム資源
の共同購買
サービス化
低コスト 俊敏性 スケーラビリティ
SDI (Software Defined Infrastructure)
65. クラウド・サービスの区分
自社所有 IaaS
仮想マシン
CaaS PaaS FaaS
ユーザー企業が管理
ハードウェア
仮想マシン
コンテナ
管理機能
ミドルウェア
アプリケーション
OS
SaaS
ランタイム
データ
ハードウェア
仮想マシン
コンテナ
管理機能
ミドルウェア
アプリケーション
OS
ランタイム
データ
ハードウェア
仮想マシン
コンテナ
管理機能
ミドルウェア
アプリケーション
OS
ランタイム
データ
ハードウェア
仮想マシン
コンテナ
管理機能
ミドルウェア
アプリケーション
OS
ランタイム
データ
ハードウェア
仮想マシン
コンテナ
管理機能
ミドルウェア
アプリケーション
OS
ランタイム
データ
ハードウェア
仮想マシン
コンテナ
管理機能
ミドルウェア
アプリケーション
OS
ランタイム
データ
ハードウェア
仮想マシン
コンテナ
管理機能
ミドルウェア
アプリケーション
OS
ランタイム
データ
IaaS
ベアメタル
クラウドサービス事業者が管理
連携機能
CaaS PaaS FaaS SaaS
70. クラウドに吸収されるITビジネス
70
アプリケーション・ビジネス
• ビジネス開発
• システムの企画
• システム設計
• プログラム開発・テスト
• 開発・テスト環境の構築
• 本番実行環境の構築
• セキュリティ対策
• 運用管理
• トラブル対応
ネットワーク・ビジネス
• ネットワークの設計
• ネットワーク機器の導入・設定
• セキュリティ対策
• 監視・運用管理
• トラブル対応
インフラ・ビジネス
• インフラの設計
• インフラ機器の導入・設定
• セキュリティ対策
• 監視・運用管理
• トラブル対応
クラウド・データセンター内
ネットワーク
クラウド・データセンター間
バックボーンネットワーク
5G通信網のタイムスライス
SIMによる閉域網
サーバーレス/FaaS・PaaS
コンテナ運用・管理マネージドサービス
SaaS
Google GKE Azure AKS
AWS Outposts
Google On-prem
Microsoft Azure Stack
オンプレミス型マネージド・システム
アジャイル
開発
DevOps
72. AWS Outposts の仕組み
VPC Subnet Subnet Subnet
AZ AZ AWS Outposts
Nitro Hypervisor
Amazon EC2、EBS、
ECS、EKS、EMR、
Amazon RDS for
PostgreSQL / MySQL、
Amazon S3
ネットワーク(Direct Connect)
AZ(Availability Zone):設備の構成単位。各AZは一つあるいは複数のデータセンタから成り、AZ同士は地震や台風などで同時に被災しにくいよう
に、ある程度距離を離して設置。AWSの東京リージョンは4つのAZで構成する。
AWSコンソールから構成パ
ターン・カタログから注文する
と2週間程度で24インチラック
に収めた機器一式が届けられる。
AWSのスタッフがラックを設
置し、電源とネットワークを接
続すれば、使い始められる。
AWSがリモートで
運用。ソフトの
アップグレードや
パッチ適用は基本
的に無停止。仮想
マシンの再起動が
必要な場合は、そ
の旨の通知
マネージメント
コンソール
低遅延処理
ローカルでの
大量データ処理
AWS Region(地域の単位 例:東京)
Vmware Cloud for AWS
Outopsts もある
78. サイバー・セキュリティ対策の実践
78
事故の発生 事故の影響 受容
脅威 ぜい弱性 機密性
完全性
可用性対策
受容レベル
説明責任
コスト 影響
どこまでやればよいのかを?
対策コスト負担
3要件への影響
業務の受容レベル
最適な組合せ
情報セキュリティの3項目
機密性:情報を盗まれない。
完全性:情報をデタラメな内容に書き換えられない。
可用性:システムを停止・破壊され業務継続を妨げられない。
85. FIDO2とSSO
85
FIDO2認証デバイス 認証サーバー クラウド・サービス
Azure ADなど
リスク軽減
パスワードの盗用という不正な手口が利用できなくなり、また生体情報などで本人確認の厳密化を行う
ため、リスクが軽減する。
コスト削減
「パスワードを覚える」「パスワードを複雑化する」「パスワードを絶えず変更する」「パスワード忘
れによる新しいパスワードの設定」などが不要となる。パスワードレスになれば、人がかける時間を削
減、漏洩による損害がなくなる。
ユーザーエクスペリエンス向上
「普段利用している端末ブラウザーでパスワードを保存しているため、他のPC端末やスマートフォンか
らサービスにアクセスしようと思ってもパスワードが思い出せない」「サービスごとに文字種別や桁数
の規則が違うため、何のサービスにどのパスワードを設定しているかすぐに忘れてしまう」「定期的な
変更で違うパスワードを設定したのはいいが、それを思い出せない」などがなくなり、利便性が向上し、
業務の生産性も向上する。
87. Microsoft 365Security Center での対応
87
標的型メール受信
未知のマルウェア、フィッシング
PC への
侵入行為
ID の窃取
侵入範囲の拡大
偵察
情報への
不正アクセス
被害発覚
PC への侵入検知・隔離
Microsoft Defender ATP
標的型メールの検出と排除
Office 365 ATP
自動的な分類・保護・追跡
Azure Information Protection
メールからの保護
デバイスの保護 ID の保護 (オンプレミス)
ID の保護 (クラウド) 機密情報の保護(監視)
機密情報の保護
なりすまし検知・防止 (クラウド)
Azure Active Directory Premium
なりすまし検知・防止 (オンプレミス)
Azure ATP
未許可アプリ、不正な操作の監視
Cloud App Security
セキュリティ統合監視:Microsoft 365 Security Center
88. Microsoftのセキュリティ・プラットフォーム
Azure AD
Azure Sentinel
Azure Sentinel : SIEM(Security Information and Event Management)。Office 365 ATP、Windows Defender ATP、Azure AD、Azure ATP、Microsoft
Cloud App Security、Azure Security Centerなどの脅威検知エンジンで収集したログ、サードパーティのセキュリティソリューションのログ、Deviceログ、Emailロ
グなどを1つに集め、ビルトインされた機械学習モデルやAIを使って脅威の検知を行う
Azure ADなどの様々なログから、機械学習モデル
やAIを使って脅威の検知を行う
ID およびアクセス管理サービス。様々なリソースへのサイ
ンインとアクセスを管理し、シングルサインオン環境を提供
Azure AD : ID およびアクセス管理サービスであり、リソースへのサインインとアクセスを支援。Microsoft Office 365、Azure portal、その他何千という SaaS アプ
リケーションなど、外部リソース。企業ネットワークとイントラネット上のアプリや、自分の組織で開発したクラウド アプリなどの内部リソース。
AD(オンサイト)
Microsoft
Defender ATP
(オンサイト)
Microsoft
Defender ATP
(モバイル) インターネット
クラウド・サービス
Microsoft Defender ATP(Advanced Threat Protection) : 企業のネットワークによる高度な脅威の防止、検出、調査、および応答を支援するために設計された
プラットフォーム。
フェデレーション(認証連携)
同期