$30 off During Our Annual Pro Sale. View Details »

AWS を使う上で知っておきたいオンプレミス知識/aws-on-premise-essentials

emi
April 13, 2024

AWS を使う上で知っておきたいオンプレミス知識/aws-on-premise-essentials

2024-04-14(日)14:00 - 16:00 JST
第24回 クラウド女子会 春のLT大会!
https://cloudgirl.doorkeeper.jp/events/171005
https://dev.classmethod.jp/articles/aws-on-premise-essentials/

登壇資料です。当日は一部かいつまんで話します。
on-premise:敷地内に

emi

April 13, 2024
Tweet

More Decks by emi

Other Decks in Technology

Transcript

  1. 2 目次 • オンプレミスとクラウド • ソフトウェア、ミドルウェア • 接続、名前解決 • バックアップと災害対策

    • セキュリティ • 監視、運用 • おわりに 当日は一部かいつまんで話します
  2. 5 オンプレミスとクラウド • オンプレミス • 自社でハードウェア、ソフトウェア、 インフラを所有・管理 • 初期投資が大きい •

    柔軟性や拡張性に制限がある • 自社で保守・運用を行う必要がある • キャパシティ計画が重要 • セキュリティは自社で管理 • クラウド • ハードウェア、インフラは クラウドプロバイダーが所有・管理 • 初期投資が小さく、従量課金モデル • 高い柔軟性と拡張性を持つ • 保守・運用はクラウドプロバイダーと 共同で管理 • キャパシティ計画は不要 • セキュリティはクラウドプロバイダーと 共同で管理
  3. 7 「AWS でシステム構築してください」 • AWS アカウントを取得 • メールアドレス • クレジットカード

    • ログインして IAM ユーザーを作成 • セキュリティは各ユーザーの権限と MFA 設定で担保 • VPC でネットワークを用意 • EC2 インスタンスを起動 準備ができた!サービスを作り始めるぞ
  4. 9 「オンプレミスでシステム構築してください」 • どこに置くか • 置く場所の確保 • 台数は?サーバーラックの大きさは? • 年間通して湿度、温度などを適切に管理

    • 暑くなったり寒くなったりすると機器は壊れる • 停電時の電源確保 • 通常電源とは別で電源装置を購入・管理 • セキュリティ • 誰でも入室できる執務室? 湿度、温度管理 電源装置 入退館管理 データセンターに置き ネットワーク経由で接続 自社に置く Router Router 自社で管理するのは大変なので データセンターにハウジングする、 一部ハウジングして一部自社に置くなど
  5. 10 「オンプレミスでシステム構築してください」 • サーバーの種類 タワー型 デスクトップ PC 同様に そのまま置く ラックマウント型

    サーバーラックの中に ボード上のサーバーや ネットワーク機器 UPS などを格納する S e r v e r UPS Router FW Server Server ブレード型 筐体の中に電源と冷却装置があり ブレード型のサーバーをいくつも収納 省スペース・高価
  6. 11 「オンプレミスでシステム構築してください」 • サーバーの種類 タワー型 デスクトップ PC 同様に そのまま置く ラックマウント型

    サーバーラックの中に ボード上のサーバーや ネットワーク機器 UPS などを格納する S e r v e r UPS Router FW Server Server ブレード型 筐体の中に電源と冷却装置があり ブレード型のサーバーをいくつも収納 省スペース・高価 どれを買う?レンタルする? メーカーは?スペックは? ストレージサイズは? 各種メーカーに相見積もりしよう
  7. 13 「オンプレミスでシステム構築してください」 • OS のライセンスが必要なら購入 • 各種ミドルウェアも購入 • バックアップソフト、セキュリティソフトどれにする? •

    機器がデータセンターに届いたぞ! • ラッキング作業 • ネットワーク機器設定 • 各種ソフトウェアインストール • 通信確認 準備ができた!サービスを作り始めるぞ
  8. 17 ソフトウェア、ミドルウェア • オンプレミス環境にはなぜバックアップや DR やセキュリティ対策 などのソフトウェアがたくさんあるのか? オンプレミスには AWS Backup

    や Inspector、GuardDuty などの 便利な機能が無いから。 自分たちで作るしかない、 もしくはソフトウェアを買って 実装するしかない。
  9. 18 ソフトウェア、ミドルウェア • クラウド上でもそのまま使用する? • 必要なソフトウェアはもちろん導入する必要がある • クラウド上で利用する場合のライセンス体系はどうなっている? • サーバー筐体に対して一つ?ユーザー数分の購入が必要?使用量ベース?

    • ソフトウェアを購入しなくても、AWS 上で提供されるサービスで 代替できないか? • バックアップソフトではなく AWS Backup や AMI の取得、各種サービス のバックアップ機能で補えないか • セキュリティソフトは GuardDuty、Inspector 等で 代替できる部分はないか
  10. 22 接続、名前解決 • インターネット通信 • 多くの通信は HTTPS になっている • 既存の

    SSL/TLS 証明書は何か • ドメイン認証(DV)認証レベル:★ • 企業実在認証(OV)認証レベル:★★ • Extended Validation(EV)認証レベル:★★★ • どこで証明書を購入して誰が管理しているか • ACM の使用検討 • インポートが必要? • パブリック証明書と呼ばれる DV 証明書は無料で取得できる https://jp.globalsign.com/ssl/about/types-of-ssl.html https://www.digicert.com/jp/difference-between-dv-ov-and-ev-ssl-certificates
  11. 23 接続、名前解決 • HTTPS • Web 通信に特化、クライアント(Webブラウザ)から サーバー(Webサイト)までの HTTP トラフィックのみを暗号化

    • Web サーバーと Web クライアントが SSL/TLS をサポートしている必要 がある • VPN • すべてのトラフィックを暗号化 (HTTP、HTTPS、FTP、SMTP などすべてのプロトコル) • デバイスから VPN 機器までの間すべてのデータを暗号化 • VPN の暗号化は個々のアプリケーションとは独立して機能
  12. 25 接続、名前解決 • VPN 接続(サービス名:Site to Site VPN) • 仮想プライベートネットワーク(VPN)技術を使用し

    AWS と 別のネットワークとの間に安全でプライベートなトンネルを確立する
  13. 26 接続、名前解決 • VPN 接続(サービス名:Site to Site VPN) • AWS

    側の VGW、オンプレミス(顧客拠点)の CGW 間でデフォルトで 2 本のトンネルが確立される • BGP(Border Gateway Protocol、自律システム(AS)間でルーティング情報を交換する ためのルーティングプロトコル)を使用しルーティング情報を動的に交換する(伝播)
  14. 27 接続、名前解決 【オンプレ担当者にお知らせする】 ・VGW のパブリック IP アドレス、ASN ・AWS 側のネットワーク構成(重複しないか?) 【確認する】

    ・AWS との接続に使用するインターネット回線はあるか 【AWS 担当者にお知らせする】 ・オンプレミス(顧客)拠点の VPN デバイスのパブリック IP アドレス、ASN ・オンプレミス(顧客)拠点のネットワーク構成(重複しないか?) ASN:自立システム番号
  15. 32 接続、名前解決 • システムへのアクセス経路(インターネット経由?VPN経由?) • ユーザーのアクセス経路は? • メンテナンスや保守運用のアクセス経路は? • 拠点間の閉領網接続サービスは使っているか?

    • 閉領網接続サービスを利用している場合は、その閉領網接続サービスから AWS に対して VPN 接続するなど • サービスは Web サービスか? • オンプレ拠点側のネットワーク機器設定は自社で実施?ベンダー外注? • ホストに接続する際、固定 IP や名前解決が必要か
  16. 33 接続、名前解決 • オンプレミスとの接続 • インターネット通信 • VPN 接続 •

    Direct Connect(専用線) • DirectConnect、VPNで L2 延伸はできない • https://aws.amazon.com/jp/directconnect/faqs/ • >Q: AWS Direct Connect を使用して、AWS クラウドに VLAN のいずれかを 拡張することはできますか? • >いいえ、VLAN の AWS Direct Connect での使用は、仮想インターフェイス間の トラフィックを分離することのみを目的としています。 https://repost.aws/ja/questions/QUsR218VNHRoeuTH4fdbzC9Q/%E3%82%AA%E3%83%B3%E3%83%97%E3%83%AC%E2%87%94aw- s%E9%96%93%E3%81%AE-l-2- %E6%8E%A5%E7%B6%9A%E3%81%AE%E5%AE%9F%E7%8F%BE%E5%8F%AF%E5%90%A6%E3%81%AB%E3%81%A4%E3%81%84%E3%81 %A6
  17. 38 バックアップと災害対策 • バックアップの目的は? • ユーザーのミス? • 災害対策? • 何が失われたら困るか?

    • RPO、RTO は? • リストア手順はどこまで必要? • 誰が実施するのかも確認 • DR 対策は必要? • Backup & Restore、Pilot Light、Warm Standby、Active-Active • 切り替え手順はどこまで必要?
  18. 41 セキュリティ • オンプレミスのセキュリティポリシーを AWS 上でどう担保するか • 例えば入退出管理…AWS ではログイン管理と考えることができる •

    適切な IAM の設計 • 不審なアクセスを防ぐ • セキュリティグループ、サブネット分割、WAF、通信暗号化 • 業界特有の法令要件や社内コンプライアンスへの適合性 • 「機密情報をクラウドにおいてはならない」などの規定がある? • データの所在地、データ保護、証跡管理など…
  19. 44 監視、運用 • 監視 • オンプレミスでは SNMP(Simple Network Management Protocol)

    などでサーバーやネットワーク機器の状態を監視 • 必要に応じて SNMP を継続使用することも可能 • セキュリティグループで SNMP を許可する必要がある • 監視ツールを AWS のサービスで代替できないか検討 • CloudWatch で EC2 インスタンスやその他各リソースの CPU、ディス ク使用率などのメトリクスを監視できる • CloudWatch Agent を EC2 インスタンスにインストールするとより詳 細なメトリクスの収集やカスタムメトリクスの収集も可能 • CloudWatch Alert で通知や自動アクションの設定も可能
  20. 45 監視、運用 • 運用 • 既存の運用は何をしているか? • 日次、週次、月次 • 既存で手動運用している部分が

    AWS の機能で自動化できそうなら 自動化する • パッチ適用→ SSM パッチマネージャー • 再起動→ EventBridge でスケジュールできる
  21. 46 監視、運用 • 「パトランプで警告を鳴らしオペレーターから電話する」という オペレーションがある場合 • オペレーターを介さず通知できる手段はないか • Amazon SNS

    からの通知で代替できないか • Slack、Teams、メール • Amazon Connect での電話発信 • PagerDuty、Datadog などの利用 • クラウド対応のパトランプもある模様
  22. 49 おわりに • クラウド移行成功の鍵 • 既存システムの状況をより詳細に把握する • システム利用者との情報・認識のズレをなくす • そのためにもオンプレミス(IT

    の基礎)について学ぶと役に立つ • もしよくわからない言葉が出てきたら臆さずに聞いてみる • プロジェクト成功のために既存システムを理解しようとする姿勢 • オンプレミスについてふわりと感じていただけましたら幸いです
  23. 51 参考 • [AWS] Site to Site VPN の冗長化を考える •

    https://dev.classmethod.jp/articles/redundancy-of-aws-site-to-site-vpn/ • AWS入門ブログリレー2024〜AWS Site-to-Site VPN編〜 • https://dev.classmethod.jp/articles/introduction-2024-aws-site-to-site-vpn/ • Site-to-Site VPN 単一および複数の VPN 接続の例 • https://docs.aws.amazon.com/ja_jp/vpn/latest/s2svpn/Examples.html • 冗長な Site-to-Site VPN 接続を使用してフェイルオーバーを提供する • https://docs.aws.amazon.com/ja_jp/vpn/latest/s2svpn/vpn-redundant-connection.html • クラウドに移行→オンプレミスに戻す、なぜ広まる?自前サーバへ回帰の理由 | ビジネスジャーナル • https://biz-journal.jp/it/post_380059.html