これから始めるAWS移行のベストプラクティス

Transcript

1. これから始めるAWS移⾏のベストプラクティス 2020/06/16 中川翔太

2. 2 ⾃⼰紹介 中川 翔太 • クラスメソッド株式会社 • AWS事業本部 コンサルティング部 •

   2020 APN AWS Top Engineers • 好きなAWSサービス • CloudWatch • Systems Manager

3. 3 オンプレミスからクラウドへの移⾏状況 クラウドの普及が加速しています。 • 現在オンプレミス利⽤している国内企業のうち 4割を超える企業がクラウドへの移⾏を検討 • クラウドへの移⾏理由 • 運⽤負担の削減

   • ハードウェアコストの削減 h"ps://www.tsukaeru.net/blog-detail/cloud-2020

4. 4 クラウド化を妨げる原因 • セキュリティの不安 • コストや効果がどの程度かわからない • 移⾏の進め⽅がわからない

5. 5 想定する読者 • これからAWSへの移⾏を検討されている⽅ • 社内でAWS移⾏に取り組んいでいる⽅

6. 6 本⽇話すこと 話すこと • AWS移⾏のプロセスの全体像 • AWSサービスの活⽤パターン、検討ポイントの紹介 ゴール • AWS移⾏のポイントを理解する

7. 7 移⾏プロセス 移⾏ 運⽤ 計画 サーバー移⾏ データベース移⾏ データ移⾏ 移⾏計画の⽴案 ⽬的、移⾏の収集、移⾏⽅式、体制

   移⾏先の設計 AWS運⽤ 継続的な最適化

8. 計画 8

9. 9 計画 • 移⾏計画の⽴案 • ⽬的 • 移⾏対象の収集 • 移⾏⽅式

   • 移⾏体制 • 移⾏先の設計 移⾏ 運⽤ 計画

10. 10 何のために移⾏しますか︖ • ハードウェアの⽼朽化対策 • 負荷増⼤の対応 • コストの最適化 • 運⽤の⾃動化

    など 移⾏の⽬的を明確にする

11. 11 KPIを設定 移⾏の成果を判定するための定量的なKPIを設定 • TCOを◦％削減する • 運⽤作業が◦％減少する

12. 12 移⾏の対象は何ですか︖ • サーバー機器 • OS、MW、アプリのバージョン情報を収集 • ネットワーク機器 • ネットワーク図、FW/IDS/IPSの有無

    • ストレージ機器 • ディスク割当、NASやテープ装置の有無 • 特殊HW • プリンター、DVD-RW

13. 13 AWS Applica,on Discovery Service オンプレミスサーバーの使⽤状況 と設定データを収集 • エージェントベース検出 •

    物理/仮想サーバーにエージェントをイン ストール • エージェントレス検出 • VMware基盤にADS ⽤VMをデプロイ • ホスト名、IP、CPUやRAMのメトリクス、プ ロセス情報を収集 AWS Applica>on Discovery Service ADSはデータを エージェントか ら15分おきに 収集してS3へ アップロード

14. 14 移⾏⽅式は︖ • ソフトウェアを変更しない︖ • OSやミドルウェアの更新必要性は︖ • アプリケーションの改修は︖ 移⾏作業の範囲と内容を明確にする

15. 15 6R

16. 16 6R 使⽤停⽌ (Retire) 既存のアプリケーションを現状のまま維持する。 保持 (Retian) リホスト (Rehost) 再設計

    (Refactor) 再購⼊ (Repurchase) プラットフォーム再編 (Replatform) 既存のアプリケーションを廃⽌する。 クラウドネイティブなアプリケーションに再設計を⾏う。 既存のアプリケーションを新たなクラウドアプリケーションやSaaSなどへ置 き換える。 アプリケーションのアーキテクチャは変更せず、OSやデータベースのバー ジョンアップを⾏ったり、⼀部にマネージドサービスを利⽤したりする。 「リフト＆シフト」とも⾔う。⼀旦アプリケーションをそのまま移⾏し、そ の後クラウド上で最適化を図る。

17. 17 誰が移⾏する︖ 既存のIT部⾨の構成図

18. 18 Cloud Center of Excellence (CCoE) CCoEとは • 企業内でクラウドを推進す るチーム

    • クラウド環境を組織内でス ケールさせることでコスト を最適化に貢献することが 求められる • クラウドを⾃⾝の製品とし て扱い、アプリケーション チームを⾃⾝の顧客と扱う

19. 19 移⾏先の設計 • アカウント • ネットワーク • サーバー構成 • セキュリティ

    移⾏ 運⽤ 計画

20. アカウント 20

21. 21 AWSアカウントとは • AWS環境のリソースを分割 • セキュリティ上の境界 • AWS課⾦の単位

22. 22 マルチアカウント構成 環境や部⾨、⽬的別にアカウントを作成 • 権限をアカウントごとに分離 • コストをアカウントごとに分離

23. 23 AWSアカウント構造

24. ネットワーク 24

25. 25 ネットワーク AWSネットワークの全体像

26. 26 パブリック接続＆プライベート接続 ⼀般的なWebAP/DB構成 • Webサーバーはインターネット への接続が可能なパブリックサ ブネットに配置 • データベースは、VPC内のみ

27. 27 拠点との接続 専⽤線による拠点との接続構成

28. サーバー構成 28

29. 29 Amazon EC2 AWS上の仮想サーバー • 数分で起動 • サーバーの追加、削除、スペック変更を 数分で可能 •

    各種OSを利⽤可能 • AmazonLinux/Windows/RHEL/SUSE など • 秒単位の従量制課⾦

30. 30 マネージドサービスの活⽤ h"ps://www.slideshare.net/AmazonWebServicesJapan/20180425-aws-black-belt-online-seminar-amazon- rela>onal-database-service-amazon-rds-96509889/11

31. 31 Elas,c Load Balancing (ELB) ロードバランシングサービス • 複数のEC2インスタンスに負荷分散 • 複数あるターゲットの中から正常な

    ターゲットのみに振り分け • 負荷に応じてELB⾃体が⾃動増減 • 従量制課⾦

32. 32 Amazon RDS マネージドなリレーショナルデー タベースサービス • シンプルかつ迅速にスケールアップ • メンテナンス作業やバックアップ・リス トアをAWSに任せる

    • 多くのデータベースエンジンに対応 • MySQL, Oracle, PostgreSQL, SQL Server, MariaDB, Amazon Aurora

33. 33 Amazon Route53 マネージドな権威DNSサービス • SLA100%の⾼い可⽤性 • 低レイテンシなアーキテクチャを実現 • 位置情報ルーティング

    • DNSヘルスチェック • 他のAWSサービスとの連携 • パフォーマンスに優れたALIASレコード

34. 34 AWS Cer,ficate Manager (ACM) SSL/TLS証明書発⾏サービス • 証明書を発⾏、管理、展開、更新が容易 • 外部で発⾏した証明書をインポート可能

    • ELBなどACMに統合されるサービスの 証明書は無料で利⽤可能 • OV証明書やEV証明書は未サポート

35. セキュリティ 35

36. 36 責任共有モデル h"ps://aws.amazon.com/jp/compliance/shared-responsibility-model/

37. 37 セキュリティの検討事項 脅威検出・調査 リソースの変更管理・構成管理、イベント・操作の証跡 → AWS Config, AWS CloudTrail 変更管理・操作証跡

    データ保護 脆弱性管理 ID管理 ネットワーク セキュリティ AWSアカウント上の脅威アクティビティを検出, セキュリティイイベント集約 → Amazon GuardDuty, Amazon Detec>ve, AWS Security Hub EC2インスタンスの脆弱性管理、パッチ適⽤ → Amazon Inspector, Systems Manager Patch Manager AWSユーザー・権限の管理、シングルサインオン、Web/MobileAppのID管理 → AWS IAM, AWS Single Sign-On, Amazon Cognito 通信制御、アプリケーション脆弱性の保護、トラフィック暗号化 → Amazon VPC (SecurityGroup, Network ACL), AWS WAF, VPN データを暗号化、機密データの検出 → AWS Key Management Service, AWS CloudHSM, Amazon Macie

38. 移⾏ 38

39. 39 移⾏ • サーバー移⾏ • Server Migration Service • CloudEndure

    • データベース移⾏ • Database Migration Service / Schema Conversion Tool • データ移⾏ • AWS DataSync • AWS Snowball Edge 移⾏ 運⽤ 計画

40. サーバー移⾏ 40

41. 41 Server Migra,on Service (SMS) 仮想マシンの移⾏ツール • VMware、Hyper-Vの仮想マシ ンを移⾏ •

    エージェントレス型の移⾏ • 操作の増分変更をキャプチャし て⾃動転送をサポート • バックアップ⽤途での活⽤

42. 42 CloudEndure サーバーの移⾏サービス • エージェント型 • エージェントがCloudEndureポータ ルに対して通信 • Replication

    Serverにデータを転送 • CloudEndureコンソールからEC2の 起動モードを選択して実⾏ • テストモード → 移⾏前の検証⽤ • カットオーバーモード → 移⾏時⽤

43. 43 CloudEndureとSMSの使い分け 基本的にCloudEndureの利⽤を検討 → VMware/Hyper-V基盤でサーバーにエージェントを追加 できない場合にSMSを選択 CloudEndure SMS エージェント 必要

    不要 データ経路 インターネットまたは専⽤線 インターネットが前提 移⾏時間(⽬安) 30分以内 1時間〜2時間 移⾏対象のインター ネット接続 必要 不要

44. データベース移⾏ 44

45. 45 データベース移⾏ データベース移⾏のポイント • 切り替え時のダウンタイムはどの程度許容できるか • 移⾏パターン • ⼀括移⾏（エクスポート →

    インポート） • ⼆段階移⾏ (初期データ移⾏ → 差分データ移⾏） • 無停⽌移⾏ (レプリケーション → 昇格) • AWS Database Migration Service

46. 46 データベース移⾏パターン 無停⽌移⾏ DBンのレプリケーション機能を利⽤し、継続的に同期しておい たDBをシステム移⾏時にマスターとして昇格する⽅式。 データの突き合わせや整合性の確認が複雑になることも。 許容されるダウンタイムが短い場合に検討する。 ⼆段階移⾏ ⼀括移⾏ 事前にDBエクスポートしたファイルをAWS上に転送して、DB

    インポートします。移⾏時に差分データインポートする⽅式。 ダウンタイムが最⼩限になるが初期データの差分管理は必須。 更新量が多くないケースで検討する。 DBエンジンの機能を利⽤して、DBエクスポートしたファイルを AWS上に転送し、DBインポートする⽅式。 データの突き合わせが⾏いやすく信頼性が⾼いが、データ量が多 いとダウンタイムが⻑くなる。 データ量が少なく、ダウンタイムが許容されるときに検討する。 ダウンタイム 複雑性 ⻑ 短 ⼤ ⼩

47. 47 AWS Database Migra,on Service (DMS) RDBの移⾏⽀援サービス • セットアップ・利⽤が容易 •

    異なるDBエンジン間のデータ移⾏が 可能 • AWS SCTと連携してスキーマを変換 • ⼀括移⾏と無停⽌移⾏に対応

48. 48 AWS Schema Conversion Tool (SCT) スキーマ移⾏を補助すツール • ソースDBのテーブルや制約、ファンク ションやストアドプロシージャーなど⼤

    部分の移⾏難易度をレポート • スキーマ移⾏⽤のSQLを⽣成 • 同⼀または異なるDB間をサポート • DMSと連携 h"ps://dev.classmethod.jp/ar>cles/data-migra>on-from- oracle-to-mysql-with-dms/

49. データ移⾏ 49

50. 50 AWS DataSync AWSストレージサービスへ の⾼速なデータ転送サービス • エージェントを介してS3や EFSなどのストレージサービ スに⾼速・⾃動的に転送

51. 51 AWS Snowball Edge ハードウェアストレージで⼤量データを オフライン転送するサービス • ペタバイト規模のデータ移動 • 回線に依存しない・圧迫しないデータ転送

52. 運⽤ 52

53. 53 運⽤ 運⽤ • モニタリング • バックアップ・リストア • コスト管理 最適化

    移⾏ 運⽤ 計画

54. 54 運⽤の検討項⽬ モニタリング コスト管理 バックアップ・リストア 傾向を掴み、リソース/アカウントごとに⾼額利⽤が発⽣していないことを分析 → Cost Explorer EC2、RDSで定期的なバックアップを取得し、リストア⼿順を⽤意する

    → AMI, EBSスナップショット, RDSスナップショット, AWS Backup パフォーマンスや死活に関するメトリクスを収集し、異常時に通知する → CloudWatch, CloudWatch Logs, RDS Performance Insight イベント対応 AWSの障害やCloudWatchで検知したアラートに対応 → Personal Health Dashboard, CloudWatch Alarm セキュリティ 脆弱性管理やパッチ適⽤、脅威の検出と調査（P39のスライドの項⽬全般） → Amazon Inspector, Systems Manager Patch Manager, GuardDuty

55. 最適化 55

56. 56 最適化 計画で⽴てたKPIが達成されていますか︖ • TCOを◦％削減する • 運⽤作業が◦％減少する

57. 57 最適化 改善を繰り返す • マネージドサービスの活⽤を検討 • インスタンスの台数は適切か • 必要以上に⼤きいリソースを使⽤していないか

58. 58 Amazon EC2 Auto Scaling • 希望台数を満たすようにイ ンスタンスを⾃動調整 • 事前定義したスケジュール

    や負荷状況に応じてインス タンスをスケーリング

59. 59 AWS Compute Op-mizer • メトリクスや設定を機械学習で分析し、最適なインスタンスを提案 • 無料で利用可能 h"ps://dev.classmethod.jp/ar>cles/aws-compute-op>mize

60. None

61. 61 マイグレーション⽀援サービス 1. AWSクラウドへの移⾏計画策定段階のコンサルティング h"ps://classmethod.jp/news/200416-migra>on/

62. 62 マイグレーション⽀援サービス 2. CCoE（Cloud Center of Excellence）構築⽀援 お問い合わせフォームはこちらから h"ps://classmethod.jp/inquiry/

63. 63 合わせて読みたい クラウドへシステムを マイグレーションするときの整理指針 https://pages.awscloud.com/rs/112-TZM-766/images/C-03.pdf テクニカルライブラリー AWSマイグレーション計画編 https://classmethod.jp/download/technical-library-migration- plan/ テクニカルライブラリー

    AWS移⾏編 https://classmethod.jp/download/technical-library-aws/