0
Amazon Virtual Private Cloud    Hands-on Training  Amazon Data Services Japan K.K.          ©2011-2012 Amazon Web Services...
ハンズオンのシナリオシステム構築を3つのフェーズに分けて実施頂きます。最初はEC2インスタンスが1台という小規模なシステムで開始します。従業員数の増加に伴って、システムリソース増強のため、システムを拡張していきます。システム規模の拡大に伴い、シ...
ハンズオンで作成する構成                                               Availability Zone - A                         Public Subnet 10....
Phase 1
ハンズオンで作成する構成 - Phase 1                                              Availability Zone - A                           Public...
VPCの作成          ©2011-2012 Amazon Web Services May not be         reused or redistributed without written permission
VPCの作成 “Get Started createing a VPC”を選択します。                        ©2011-2012 Amazon Web Services May not be              ...
VPCの作成 “VPC with a Single Public Subnet Only”を選択します。                         ©2011-2012 Amazon Web Services May not be    ...
VPCの作成 SubnetのAvailability Zoneの指定を行います。                      ©2011-2012 Amazon Web Services May not be                   ...
VPCの作成 “No Preference”を“ap-northeast-1a”に変更して”Create VPC”をクリックします。                      ©2011-2012 Amazon Web Services May...
VPCの作成 VPCが作成されます。                ©2011-2012 Amazon Web Services May not be               reused or redistributed without ...
VPCの作成 左ペインの”Your VPCs”にてVPCが出来ているか確認できます。                 ©2011-2012 Amazon Web Services May not be                reused...
VPCの作成 SubnetメニューにてSubnetが1つ作成されていることを確認ください。                 ©2011-2012 Amazon Web Services May not be                reu...
VPCの作成 Subnetの“Route Table”をご確認ください。 Local IPのTargetが“local”、それ以外が”igw-e0348f89”になっています。 Internet Gatewayの名前はランダムに生成されます。 ...
EC2の配置          ©2011-2012 Amazon Web Services May not be         reused or redistributed without written permission
EC2の作成 “Launch Instance”からEC2を起動します。                     ©2011-2012 Amazon Web Services May not be                    reus...
EC2の作成 “Classic Wizard”を選択 します。                      ©2011-2012 Amazon Web Services May not be                     reused ...
EC2の作成 「Community AMIs」タブを選択し、Viewingは「All Images」を選択。 Bitnami-SugarCRMのAMI “ami-3cbf153d”を検索して選択。                    ©201...
EC2の作成 EC2を配置するSubnetを選択します。 “VPC”タブを選択し、配置するSubnetを選択します。Instance Typeは”Small”を選択します。                   ©2011-2012 Amazon...
EC2の作成 ローカルのIPアドレスを指定します。 指定しない場合は自動的にIPアドレスが割り当てられます。               ©2011-2012 Amazon Web Services May not be            ...
EC2の作成 管理を分かりやすくする為、タグを付けます。 この例では”AZ-A-CRM1”とします。              ©2011-2012 Amazon Web Services May not be             reus...
EC2の作成 Key Pairは既存のものを使用します。 もし無い場合は“Create a new Key Pair”を選択して作成してください。                   ©2011-2012 Amazon Web Services...
EC2の作成 VPC内で使用できるSecurity Groupを作成します。 22(SSH)と80(HTTP)のポートをアクセス可能に設定します。                 ©2011-2012 Amazon Web Services M...
EC2の作成 設定内容を確認し、Launchします。                ©2011-2012 Amazon Web Services May not be               reused or redistributed ...
EC2の作成 下記リンクからEC2 Instance情報を確認できます。                 ©2011-2012 Amazon Web Services May not be                reused or re...
ELASTIC IPの割当て          ©2011-2012 Amazon Web Services May not be         reused or redistributed without written permission
Elastic IPの割当て  “Allocate New Address”からウィザードを開始します。                     ©2011-2012 Amazon Web Services May not be        ...
Elastic IPの割当て  “VPC”を選択し、“Yes, Allocate”をクリックすると、Elastic IPが割当てられます。                     ©2011-2012 Amazon Web Services M...
Elastic IPの割当て  割り当てるElastic IPを選択し、”Associate Address”を選択します。                      ©2011-2012 Amazon Web Services May not...
Elastic IPの割当て  プルダウンメニューからElastic IPを割り当てるEC2インスタンスを選択します。                  ©2011-2012 Amazon Web Services May not be    ...
Elastic IPの割当て  Instance画面にてElastic IPが割当てられていることを確認できます。                   ©2011-2012 Amazon Web Services May not be     ...
Elastic IPでのアクセス              Elastic IPを使って、SSHでログインが出来るか確認します。              ログイン名は”bitnami”です。           ©2011-2012 Amaz...
Elastic IPでのアクセス ブラウザからElastic IPでアクセスしてみます。 アクセスできたら”Access my application”をクリックします。                    ©2011-2012 Amazon...
SugarCRMの設定 ユーザ名「user」、パスワード「 bitnami」でログインします。 “Your Information”ページまで[Next]をクリックして進みます。                    ©2011-2012 Am...
SugarCRMの設定 First Name, Last Name, Email Addressを入力し次に進みます。                       ©2011-2012 Amazon Web Services May not b...
SugarCRMの設定 タイムゾーンを”Asia/Tokyo(GMT+9)”に設定します。                   ©2011-2012 Amazon Web Services May not be                 ...
SugarCRMの設定 “Next >”で次に進みます。                     ©2011-2012 Amazon Web Services May not be                    reused or re...
SugarCRMの設定 “Finish”で設定を完了します。                   ©2011-2012 Amazon Web Services May not be                  reused or redi...
SugarCRMの設定 設定したユーザ名を確認します。必要に応じてパスワードを変更ください。              ©2011-2012 Amazon Web Services May not be             reused o...
ハンズオンで作成する構成 - Phase 1                                                 Availability Zone - A                           Pub...
Amazon Web Services:セキュリティプロセスの概要  物理的セキュリティAWS は大規模データセンターの設計、構築、運用において、長年の経験を有しています。この経験は、AWS プラットフォームとインフラストラクチャに活かされてい...
Amazon Web Services:セキュリティプロセスの概要  環境的セーフガードAmazon のデータセンターは最新式で、革新的な構造的かつ工学的アプローチを採用しています。火災検出と鎮火自動火災検出および鎮火装置が取り付けられ、リスク...
Amazon Web Services:セキュリティプロセスの概要天候と温度サーバーその他のハードウェアの運用温度を一定に保つために、天候コントロールが必要です。これによって過熱を防ぎ、サーバー停止の可能性を減らすことができます。データセンター...
Phase 2
ハンズオンで作成する構成 - Phase 2                                                 Availability Zone - A                           Pub...
SUBNETの追加(DB用)         ©2011-2012 Amazon Web Services May not be        reused or redistributed without written permission
VPCのページ、Subnetメニューから”Create Subnet”にてSubnetを追加作成します。                  ©2011-2012 Amazon Web Services May not be           ...
DB用に2つのSubnetを作成します。それぞれAvailability ZoneがA / Bに属する様に作成する必要があります。下記の様に設定して”Yes, Create”をクリックしてください。   for Availability Zon...
合計3つのSubnetが出来ていることを確認ください。               ©2011-2012 Amazon Web Services May not be              reused or redistributed w...
DB Subnet Groupの作成  RDSのページに移動して、データベース用のDB Subnet Groupを定義します。                  ©2011-2012 Amazon Web Services May not be...
まずはAvailability Zone-AのSubnetをリストに追加します。                    ©2011-2012 Amazon Web Services May not be                   re...
さらにAvailability Zone-BのSubnetをリストに追加します。                    ©2011-2012 Amazon Web Services May not be                   re...
これでDB Subnet Groupが定義されました。                  ©2011-2012 Amazon Web Services May not be                 reused or redistrib...
次にRDSを作成します。                ©2011-2012 Amazon Web Services May not be               reused or redistributed without writte...
今回はMySQLを選択します。               ©2011-2012 Amazon Web Services May not be              reused or redistributed without writt...
下記の様に設定します。今回はMulti-AZは”No”とします。                                                     ※ 後程使用するので、メモしておくこと                  ...
下記の様に設定します。                                           “bitnami_sugarcrm”とします。                               VPCを選択。       ...
今回は下記の様に設定します。             ©2011-2012 Amazon Web Services May not be            reused or redistributed without written pe...
最後の設定内容を確認して”Launch DB Instance”をクリックします。                 ©2011-2012 Amazon Web Services May not be                reused ...
下記のリンクから、RDSが作成されているか確認します。DB作成に数分かかります。             ©2011-2012 Amazon Web Services May not be                reused or re...
データベースのEndpointを確認する   RDSのステータスが”available”になったら、Endpointを確認します。DB作成に数分かかります。                 ©2011-2012 Amazon Web Servi...
DB Security GroupにEC2を追加  RDSに割当てられているDB Security GroupにAPサーバのSecurity Groupを追加します。  これによって、APサーバからRDSにアクセス可能になります。       ...
DB Security GroupにEC2のSecurity Groupが追加されていることを確認できます。                   ©2011-2012 Amazon Web Services May not be        ...
MYSQLのデータ移行        ©2011-2012 Amazon Web Services May not be       reused or redistributed without written permission
データダンプの取得 まず、データベースのダンプを取得します。 現在EC2上で稼働しているMySQLからデータをダンプします。 コマンドは次のページに記載してあります。なお、OSユーザは”bitnami”です。                ©2...
データのダンプには下記コマンドを参考にしてください。データのダンプを取得$ cd$ mkdir backups$ mysqldump –u root –pbitnami bitnami_sugarcrm > backups/backup.sql...
データのインポート      先ほどダンプしたデータをRDSへインポートします。      SSHの端末から下記コマンドを実行します。[パスワード]は先ほどRDSに設定したもの      を指定します。$ mysql –u root –p[パス...
APの接続先をRDSへ切替      DBの接続先もRDSのEndpointへ変更します。$ cd /opt/bitnami/apps/sugarcrm/htdocs$ sudo vi config.phparray (            ...
アクセス可能か確認 設定変更後、Webにログインできるか確認します。               ©2011-2012 Amazon Web Services May not be              reused or redistri...
EC2のAMI化 ここでAPサーバのAMIを作成しておきます。               ©2011-2012 Amazon Web Services May not be              reused or redistribut...
任意の名前を付けて作成します。No Rebootオプションはチェックしないでください。               ©2011-2012 Amazon Web Services May not be              reused or...
APサーバが再起動してAMIが作成されます。AMI作成に数分かかります。                ©2011-2012 Amazon Web Services May not be               reused or redi...
ハンズオンで作成する構成 - Phase 2                                                 Availability Zone - A                           Pub...
Amazon Web Services:セキュリティプロセスの概要  事業継続性管理Amazon のインフラストラクチャは高いレベルの可用性を備え、回復機能を持つ IT アーキテクチャを配備する機能を顧客に提供します。AWS のシステムは、顧客...
Amazon Web Services:セキュリティプロセスの概要AWS は、各リージョン内の複数のアベイラビリティゾーンだけでなく、複数の地理的リージョン内で、インスタンスを配置してデータを保管する柔軟性を顧客に提供します。各アベイラビリティ...
Amazon Web Services:セキュリティプロセスの概要事故への対応Amazon の事故管理チームは、業界標準の診断手順を採用しており、事業に影響を与えるイベント時に解決へと導きます。作業員スタッフが、24 時間 365 日体制で事故...
Amazon Web Services:セキュリティプロセスの概要  バックアップAmazon S3、Amazon SimpleDB、または Amazon Elastic Block Store(EBS)に保存されるデータは、これらのサービスの...
Phase 3
ハンズオンで作成する構成 - Phase 3                                                 Availability Zone - A                           Pub...
EC2インスタンスの追加とELBの配置       ©2011-2012 Amazon Web Services May not be      reused or redistributed without written permission
AP用Subnetの追加 VPC-SubnetsページでSubnetを追加します。                   ©2011-2012 Amazon Web Services May not be                  reu...
下記の設定にてAP用のSubnetを追加します。               ©2011-2012 Amazon Web Services May not be              reused or redistributed with...
合計4つのSubnetが出来ていることを確認ください。               ©2011-2012 Amazon Web Services May not be              reused or redistributed w...
今作成したSubnetのRoute Tableを変更します。                  ©2011-2012 Amazon Web Services May not be                 reused or redist...
TableにInternet Gatewayが含まれていることを確認し”Yes, Replace”をクリックします。                   ©2011-2012 Amazon Web Services May not be    ...
Route Tableが変更されていることを確認します。                ©2011-2012 Amazon Web Services May not be               reused or redistribute...
AMIからのAPサーバ追加 先ほど作成したAMIを使ってAPサーバを追加します。 AMIを選んで”Launch”を選択します。               ©2011-2012 Amazon Web Services May not be   ...
VPC内の10.0.2.0/24のSubnetを選択します。Instance Typeは”Small”を選択します。                    ©2011-2012 Amazon Web Services May not be   ...
ローカルのIPアドレスを指定します。              ©2011-2012 Amazon Web Services May not be             reused or redistributed without writ...
管理を分かりやすくする為、タグを付けます。この例では”AZ-B-CRM1”とします。             ©2011-2012 Amazon Web Services May not be            reused or redi...
Key Pairは既存のものを使用します。                ©2011-2012 Amazon Web Services May not be               reused or redistributed witho...
Security Groupも既存のものを指定します。                  ©2011-2012 Amazon Web Services May not be                 reused or redistrib...
設定内容を確認し、Launchします。               ©2011-2012 Amazon Web Services May not be              reused or redistributed without w...
EC2 Instanceが起動しているか確認します。                 ©2011-2012 Amazon Web Services May not be                reused or redistribute...
EC2 Instanceが2つ起動しています。“Show/Hide”にて表示項目を変更できます。                 ©2011-2012 Amazon Web Services May not be                ...
Zoneの表示                                 Availability Zoneを確認しやすくするため、Zone表                                 示を追加します。       ...
ELBの作成 2台のAPサーバに処理を振り分ける為、ELBを追加します。 Availability Zoneを跨いだ振り分けが可能です。                ©2011-2012 Amazon Web Services May not...
VPC内にELBを作成します。内外ともにHTTP(80番)とします。チェックしない。                 ©2011-2012 Amazon Web Services May not be                reused...
設定は変更せず、”Continue”をクリックします。                ©2011-2012 Amazon Web Services May not be               reused or redistributed...
ELBの属するSubnetを選択します。APサーバのSubnetである”10.0.0.0/24”と”10.0.2.0/24”を選択します。                     ©2011-2012 Amazon Web Services M...
ELBのSecurity Groupを作成します。 HTTP(80番) を許可します。                   ©2011-2012 Amazon Web Services May not be                  r...
ELB配下に置くサーバを選択します。              ©2011-2012 Amazon Web Services May not be             reused or redistributed without writ...
設定を確認し、”Create”をクリックします。                ©2011-2012 Amazon Web Services May not be               reused or redistributed wi...
ELBが作成されました。下記のリンクから確認できます。              ©2011-2012 Amazon Web Services May not be             reused or redistributed wit...
ELBの配下に2台のEC2が確認できます。しばらくするとStatusが変わります。               ©2011-2012 Amazon Web Services May not be              reused or r...
Statusが”In Service”になると、振り分けされるようになります。                  ©2011-2012 Amazon Web Services May not be                 reused ...
ELBのEndpointの確認 ELBのPropertyの”Description”タブにてELBのEndpointが確認できます。                     ©2011-2012 Amazon Web Services May ...
ELBのEndpointにアクセスできることを確認します。                ©2011-2012 Amazon Web Services May not be               reused or redistribut...
SECURITY GROUPの設定変更         ©2011-2012 Amazon Web Services May not be        reused or redistributed without written permi...
Security Groupの設定変更  よりセキュリティを高める為に、Security Groupの設定を変更します。  VPCの設定タブにて行います。                  ©2011-2012 Amazon Web Servi...
APサーバの80(HTTP)のアクセス許可をDeleteします。                 ©2011-2012 Amazon Web Services May not be                reused or redist...
APサーバの80(HTTP)のアクセス許可が無くなりました。               ©2011-2012 Amazon Web Services May not be              reused or redistribute...
次にAPサーバのSecurity GroupにELBのSecurity GroupをSourceとして追加設定します。ELBのSecurity Group IDをコピーします。                   ©2011-2012 Amaz...
Portを80(HTTP)、                                                     Sourceに”ELB Security Group ID”                         ...
ブラウザからELB経由でアクセスできるか確認します。              ©2011-2012 Amazon Web Services May not be             reused or redistributed with...
ハンズオンで作成する構成 - Phase 3                                                 Availability Zone - A                           Pub...
Amazon Web Services:セキュリティプロセスの概要   ストレージデバイスの廃棄AWS の処理手順には、ストレージデバイスが製品寿命に達した場合に、顧客データが権限のない人々に流出しないようにする廃棄プロセスが含まれています。A...
Amazon Web Services:セキュリティプロセスの概要  Amazon Elastic Compute Cloud(Amazon EC2)のセキュリティAmazon EC2 のセキュリティは、ホストシステムのオペレーティングシステム...
Amazon Web Services:セキュリティプロセスの概要  Amazon Simple Storage Service(Amazon S3)のセキュリティ共有されたストレージシステムにおいて、よく見られるセキュリティに関する質問は、未...
Amazon Web Services:セキュリティプロセスの概要認証されたユーザーは、アクセス コントロール リスト(ACL)でオブジェクトレベルの読み取り権限を付与された場合に限り、オブジェクトの読み取りを行うことができます。認証されたユー...
Amazon Web Services:セキュリティプロセスの概要  Amazon Relational Database Service(Amazon RDS)のセキュリ  ティAmazon RDS を使用すれば、リレーショナルデータベースの...
Amazon Web Services:セキュリティプロセスの概要AWS IAM を使用すると、顧客が自身の RDS DB インスタンスへのアクセスをさらに細かくコントロールできます。例えば、AWS IAM により、どの RDS 操作に対して、...
Appendix            ©2011-2012 Amazon Web Services May not be           reused or redistributed without written permission
ハンズオンで作成する構成 – Multi AZ                                                 Availability Zone - A                           Pu...
RDSのMULTI-AZ化          ©2011-2012 Amazon Web Services May not be         reused or redistributed without written permission
RDSのMulti-AZ化  RDSのタブから変更対象のRDSを選択し”Modity”をクリックします。                  ©2011-2012 Amazon Web Services May not be           ...
“Multi-AZ Deployment”をYesに変更し、一番下の”Apply Immediately”にチェックをします。                    ©2011-2012 Amazon Web Services May not ...
RDSのStatusがmodifyingとなりますので、しばらく待ちます。時間かかる                   ©2011-2012 Amazon Web Services May not be                  re...
“Multi-AZ Deployment”がYesになっていることが確認できます。                   ©2011-2012 Amazon Web Services May not be                  reu...
Primary AZの変更(強制フェイルオーバー) 現在のZoneが”ap-northeast-1a”となっていることを確認します。 次に”Reboot”をクリックします。                   ©2011-2012 Amazon...
“Reboot with failover?”にチェックを入れ、”Yes, Reboot”をクリックします。                     ©2011-2012 Amazon Web Services May not be      ...
Statusが”rebooting”となるのでしばらく待ちます。                  ©2011-2012 Amazon Web Services May not be                 reused or redi...
設定の表示に少し時間がかかりますが、Zoneが変わっているのが確認できます。Zone切替表示の反映まで時間かかる                ©2011-2012 Amazon Web Services May not be         ...
ハンズオンで作成する構成                                               Availability Zone - A                         Public Subnet 10....
環境を削除ください!!ELBの削除EC2(Elastic IP)の削除RDSの削除RDS DB Subnet Groupの削除Subnetの削除VPCの削除AMIの削除              ©2011-2012 Amazon Web Se...
ご受講、ありがとうございました     ©2011-2012 Amazon Web Services May not be    reused or redistributed without written permission
Upcoming SlideShare
Loading in...5
×

Amazon VPCトレーニング-トレーニング資料

9,800

Published on

Published in: Technology
0 Comments
35 Likes
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
9,800
On Slideshare
0
From Embeds
0
Number of Embeds
5
Actions
Shares
0
Downloads
435
Comments
0
Likes
35
Embeds 0
No embeds

No notes for slide

Transcript of "Amazon VPCトレーニング-トレーニング資料"

  1. 1. Amazon Virtual Private Cloud Hands-on Training Amazon Data Services Japan K.K. ©2011-2012 Amazon Web Services May not be reused or redistributed without written permission
  2. 2. ハンズオンのシナリオシステム構築を3つのフェーズに分けて実施頂きます。最初はEC2インスタンスが1台という小規模なシステムで開始します。従業員数の増加に伴って、システムリソース増強のため、システムを拡張していきます。システム規模の拡大に伴い、システムの重要性も増してきますので、可用性も高めていきます。 ©2011-2012 Amazon Web Services May not be reused or redistributed without written permission
  3. 3. ハンズオンで作成する構成 Availability Zone - A Public Subnet 10.0.0.0/24 Private Subnet 10.0.1.0/24 EC2 Instance Amazon RDS Anyone AZ-A-CRM1 10.0.0.7 AMIInternet Internet Gateway AZ-B-CRM2 10.0.2.8 EC2 Instance Amazon RDS Public Subnet 10.0.2.0/24 Private Subnet 10.0.3.0/24 Availability Zone - B VPC 10.0.0.0/16
  4. 4. Phase 1
  5. 5. ハンズオンで作成する構成 - Phase 1 Availability Zone - A Public Subnet 10.0.0.0/24 EC2 Instance Anyone Elastic IP Web Server 10.0.0.7Internet Internet Gateway Availability Zone - B VPC 10.0.0.0/16
  6. 6. VPCの作成 ©2011-2012 Amazon Web Services May not be reused or redistributed without written permission
  7. 7. VPCの作成 “Get Started createing a VPC”を選択します。 ©2011-2012 Amazon Web Services May not be reused or redistributed without written permission
  8. 8. VPCの作成 “VPC with a Single Public Subnet Only”を選択します。 ©2011-2012 Amazon Web Services May not be reused or redistributed without written permission
  9. 9. VPCの作成 SubnetのAvailability Zoneの指定を行います。 ©2011-2012 Amazon Web Services May not be reused or redistributed without written permission
  10. 10. VPCの作成 “No Preference”を“ap-northeast-1a”に変更して”Create VPC”をクリックします。 ©2011-2012 Amazon Web Services May not be reused or redistributed without written permission
  11. 11. VPCの作成 VPCが作成されます。 ©2011-2012 Amazon Web Services May not be reused or redistributed without written permission
  12. 12. VPCの作成 左ペインの”Your VPCs”にてVPCが出来ているか確認できます。 ©2011-2012 Amazon Web Services May not be reused or redistributed without written permission
  13. 13. VPCの作成 SubnetメニューにてSubnetが1つ作成されていることを確認ください。 ©2011-2012 Amazon Web Services May not be reused or redistributed without written permission
  14. 14. VPCの作成 Subnetの“Route Table”をご確認ください。 Local IPのTargetが“local”、それ以外が”igw-e0348f89”になっています。 Internet Gatewayの名前はランダムに生成されます。 この例の場合、”igw-e0348f89“はInternet Gatewayです。 ©2011-2012 Amazon Web Services May not be reused or redistributed without written permission
  15. 15. EC2の配置 ©2011-2012 Amazon Web Services May not be reused or redistributed without written permission
  16. 16. EC2の作成 “Launch Instance”からEC2を起動します。 ©2011-2012 Amazon Web Services May not be reused or redistributed without written permission
  17. 17. EC2の作成 “Classic Wizard”を選択 します。 ©2011-2012 Amazon Web Services May not be reused or redistributed without written permission
  18. 18. EC2の作成 「Community AMIs」タブを選択し、Viewingは「All Images」を選択。 Bitnami-SugarCRMのAMI “ami-3cbf153d”を検索して選択。 ©2011-2012 Amazon Web Services May not be reused or redistributed without written permission
  19. 19. EC2の作成 EC2を配置するSubnetを選択します。 “VPC”タブを選択し、配置するSubnetを選択します。Instance Typeは”Small”を選択します。 ©2011-2012 Amazon Web Services May not be reused or redistributed without written permission
  20. 20. EC2の作成 ローカルのIPアドレスを指定します。 指定しない場合は自動的にIPアドレスが割り当てられます。 ©2011-2012 Amazon Web Services May not be reused or redistributed without written permission
  21. 21. EC2の作成 管理を分かりやすくする為、タグを付けます。 この例では”AZ-A-CRM1”とします。 ©2011-2012 Amazon Web Services May not be reused or redistributed without written permission
  22. 22. EC2の作成 Key Pairは既存のものを使用します。 もし無い場合は“Create a new Key Pair”を選択して作成してください。 ©2011-2012 Amazon Web Services May not be reused or redistributed without written permission
  23. 23. EC2の作成 VPC内で使用できるSecurity Groupを作成します。 22(SSH)と80(HTTP)のポートをアクセス可能に設定します。 ©2011-2012 Amazon Web Services May not be reused or redistributed without written permission
  24. 24. EC2の作成 設定内容を確認し、Launchします。 ©2011-2012 Amazon Web Services May not be reused or redistributed without written permission
  25. 25. EC2の作成 下記リンクからEC2 Instance情報を確認できます。 ©2011-2012 Amazon Web Services May not be reused or redistributed without written permission
  26. 26. ELASTIC IPの割当て ©2011-2012 Amazon Web Services May not be reused or redistributed without written permission
  27. 27. Elastic IPの割当て “Allocate New Address”からウィザードを開始します。 ©2011-2012 Amazon Web Services May not be reused or redistributed without written permission
  28. 28. Elastic IPの割当て “VPC”を選択し、“Yes, Allocate”をクリックすると、Elastic IPが割当てられます。 ©2011-2012 Amazon Web Services May not be reused or redistributed without written permission
  29. 29. Elastic IPの割当て 割り当てるElastic IPを選択し、”Associate Address”を選択します。 ©2011-2012 Amazon Web Services May not be reused or redistributed without written permission
  30. 30. Elastic IPの割当て プルダウンメニューからElastic IPを割り当てるEC2インスタンスを選択します。 ©2011-2012 Amazon Web Services May not be reused or redistributed without written permission
  31. 31. Elastic IPの割当て Instance画面にてElastic IPが割当てられていることを確認できます。 ©2011-2012 Amazon Web Services May not be reused or redistributed without written permission
  32. 32. Elastic IPでのアクセス Elastic IPを使って、SSHでログインが出来るか確認します。 ログイン名は”bitnami”です。 ©2011-2012 Amazon Web Services May not be reused or redistributed without written permission
  33. 33. Elastic IPでのアクセス ブラウザからElastic IPでアクセスしてみます。 アクセスできたら”Access my application”をクリックします。 ©2011-2012 Amazon Web Services May not be reused or redistributed without written permission
  34. 34. SugarCRMの設定 ユーザ名「user」、パスワード「 bitnami」でログインします。 “Your Information”ページまで[Next]をクリックして進みます。 ©2011-2012 Amazon Web Services May not be reused or redistributed without written permission
  35. 35. SugarCRMの設定 First Name, Last Name, Email Addressを入力し次に進みます。 ©2011-2012 Amazon Web Services May not be reused or redistributed without written permission
  36. 36. SugarCRMの設定 タイムゾーンを”Asia/Tokyo(GMT+9)”に設定します。 ©2011-2012 Amazon Web Services May not be reused or redistributed without written permission
  37. 37. SugarCRMの設定 “Next >”で次に進みます。 ©2011-2012 Amazon Web Services May not be reused or redistributed without written permission
  38. 38. SugarCRMの設定 “Finish”で設定を完了します。 ©2011-2012 Amazon Web Services May not be reused or redistributed without written permission
  39. 39. SugarCRMの設定 設定したユーザ名を確認します。必要に応じてパスワードを変更ください。 ©2011-2012 Amazon Web Services May not be reused or redistributed without written permission
  40. 40. ハンズオンで作成する構成 - Phase 1 Availability Zone - A Public Subnet 10.0.0.0/24 EC2 Instance Anyone Elastic IP AZ-A-CRM1 10.0.0.7Internet Internet Gateway Availability Zone - B VPC 10.0.0.0/16
  41. 41. Amazon Web Services:セキュリティプロセスの概要 物理的セキュリティAWS は大規模データセンターの設計、構築、運用において、長年の経験を有しています。この経験は、AWS プラットフォームとインフラストラクチャに活かされています。AWS のデータセンターは、外部からはそれとはわからないようになっています。ビデオ監視カメラ、最新鋭の侵入検出システム、その他エレクトロニクスを使った手段を用いて、専門のセキュリティスタッフが、建物の入口とその周辺両方において、物理的アクセスを厳密に管理しています。権限を付与されたスタッフが2要素認証を最低2回用いて、データセンターのフロアにアクセスします。すべての訪問者と契約業者は身分証明書を提示して署名後に入場を許可され、権限を有するスタッフが常に付き添いを行います。AWS は、必要とする正規の手続きを有する従業員や業者に対してのみ特権を与え、データセンターへのアクセスや情報を提供しています。従業員がこれらの特権を必要とする作業を完了したら、たとえかれらが引き続き Amazon または Amazon Web Services の従業員であったとしても、そのアクセス権は速やかに取り消されます。AWS 従業員によるデータセンターへのすべての物理的アクセスは記録され、定期的に監査されます。 ©2011-2012 Amazon Web Services May not be reused or redistributed without written permission
  42. 42. Amazon Web Services:セキュリティプロセスの概要 環境的セーフガードAmazon のデータセンターは最新式で、革新的な構造的かつ工学的アプローチを採用しています。火災検出と鎮火自動火災検出および鎮火装置が取り付けられ、リスクを軽減しています。この火災検出システムは、全データセンター環境、機械電気インフラ空間、冷却室および発電機設備室において、煙検出センサーを使用しています。これらのエリアは、充水型、二重連結予作動式、またはガス式スプリンクラーシステムによって守られています。電力データセンターの電力システムは、完全に冗長性をもち、運用に影響を与えることなく管理が可能となっています。1日24時間体制で、年中無休で稼動しています。施設内で重要かつ不可欠な負荷に対応するために、電力障害時には無停電電源装置(UPS)がパックアップ電力を供給しています。データセンターは、発電機を使用して施設全体のバックアップ電力を供給しています。 ©2011-2012 Amazon Web Services May not be reused or redistributed without written permission
  43. 43. Amazon Web Services:セキュリティプロセスの概要天候と温度サーバーその他のハードウェアの運用温度を一定に保つために、天候コントロールが必要です。これによって過熱を防ぎ、サーバー停止の可能性を減らすことができます。データセンターは、大気の状態を最適なレベルに保つように設定されています。作業員とシステムが、温度と湿度を適切なレベルになるよう監視してコントロールしています。管理AWS は、電気、機械、生命サポートシステムおよび設備をモニタリングし、問題が速やかに特定されるようにしています。予防的メンテナンスが実行され、設備を継続的な運用性が保たれています。 ©2011-2012 Amazon Web Services May not be reused or redistributed without written permission
  44. 44. Phase 2
  45. 45. ハンズオンで作成する構成 - Phase 2 Availability Zone - A Public Subnet 10.0.0.0/24 Private Subnet 10.0.1.0/24 EC2 Instance Amazon RDS Anyone Elastic IP AZ-A-CRM1 10.0.0.7 AMIInternet Internet Gateway Private Subnet 10.0.3.0/24 Availability Zone - B VPC 10.0.0.0/16
  46. 46. SUBNETの追加(DB用) ©2011-2012 Amazon Web Services May not be reused or redistributed without written permission
  47. 47. VPCのページ、Subnetメニューから”Create Subnet”にてSubnetを追加作成します。 ©2011-2012 Amazon Web Services May not be reused or redistributed without written permission
  48. 48. DB用に2つのSubnetを作成します。それぞれAvailability ZoneがA / Bに属する様に作成する必要があります。下記の様に設定して”Yes, Create”をクリックしてください。 for Availability Zone - A for Availability Zone - B ©2011-2012 Amazon Web Services May not be reused or redistributed without written permission
  49. 49. 合計3つのSubnetが出来ていることを確認ください。 ©2011-2012 Amazon Web Services May not be reused or redistributed without written permission
  50. 50. DB Subnet Groupの作成 RDSのページに移動して、データベース用のDB Subnet Groupを定義します。 ©2011-2012 Amazon Web Services May not be reused or redistributed without written permission
  51. 51. まずはAvailability Zone-AのSubnetをリストに追加します。 ©2011-2012 Amazon Web Services May not be reused or redistributed without written permission
  52. 52. さらにAvailability Zone-BのSubnetをリストに追加します。 ©2011-2012 Amazon Web Services May not be reused or redistributed without written permission
  53. 53. これでDB Subnet Groupが定義されました。 ©2011-2012 Amazon Web Services May not be reused or redistributed without written permission
  54. 54. 次にRDSを作成します。 ©2011-2012 Amazon Web Services May not be reused or redistributed without written permission
  55. 55. 今回はMySQLを選択します。 ©2011-2012 Amazon Web Services May not be reused or redistributed without written permission
  56. 56. 下記の様に設定します。今回はMulti-AZは”No”とします。 ※ 後程使用するので、メモしておくこと Master User Name: root Master User Password: 任意の8文字以上 Multi-AZは“No”とします ユーザ名は”root“とします Passwordは8文字以上で設定 ©2011-2012 Amazon Web Services May not be reused or redistributed without written permission
  57. 57. 下記の様に設定します。 “bitnami_sugarcrm”とします。 VPCを選択。 先ほど作成したDB Subnet Groupを選択。 AZはAを選択。 今回は特に選択しない。 ©2011-2012 Amazon Web Services May not be reused or redistributed without written permission
  58. 58. 今回は下記の様に設定します。 ©2011-2012 Amazon Web Services May not be reused or redistributed without written permission
  59. 59. 最後の設定内容を確認して”Launch DB Instance”をクリックします。 ©2011-2012 Amazon Web Services May not be reused or redistributed without written permission
  60. 60. 下記のリンクから、RDSが作成されているか確認します。DB作成に数分かかります。 ©2011-2012 Amazon Web Services May not be reused or redistributed without written permission
  61. 61. データベースのEndpointを確認する RDSのステータスが”available”になったら、Endpointを確認します。DB作成に数分かかります。 ©2011-2012 Amazon Web Services May not be reused or redistributed without written permission
  62. 62. DB Security GroupにEC2を追加 RDSに割当てられているDB Security GroupにAPサーバのSecurity Groupを追加します。 これによって、APサーバからRDSにアクセス可能になります。 ©2011-2012 Amazon Web Services May not be reused or redistributed without written permission
  63. 63. DB Security GroupにEC2のSecurity Groupが追加されていることを確認できます。 ©2011-2012 Amazon Web Services May not be reused or redistributed without written permission
  64. 64. MYSQLのデータ移行 ©2011-2012 Amazon Web Services May not be reused or redistributed without written permission
  65. 65. データダンプの取得 まず、データベースのダンプを取得します。 現在EC2上で稼働しているMySQLからデータをダンプします。 コマンドは次のページに記載してあります。なお、OSユーザは”bitnami”です。 ©2011-2012 Amazon Web Services May not be reused or redistributed without written permission
  66. 66. データのダンプには下記コマンドを参考にしてください。データのダンプを取得$ cd$ mkdir backups$ mysqldump –u root –pbitnami bitnami_sugarcrm > backups/backup.sqlダンプファイルの確認$ cd backups$ ls -al ©2011-2012 Amazon Web Services May not be reused or redistributed without written permission
  67. 67. データのインポート 先ほどダンプしたデータをRDSへインポートします。 SSHの端末から下記コマンドを実行します。[パスワード]は先ほどRDSに設定したもの を指定します。$ mysql –u root –p[パスワード] --database=bitnami_sugarcrm --host=[RDSのEndpoint]< ./backups/backup.sql例.$ mysql –u root –ppasswordcrm --database=bitnami_sugarcrm--host=awsworkshop1.cvsyptdwlwhh.ap-northeast-1.rds.amazonaws.com < ./backup/backup.sql ※パスワードは”passwordcrm” ©2011-2012 Amazon Web Services May not be reused or redistributed without written permission
  68. 68. APの接続先をRDSへ切替 DBの接続先もRDSのEndpointへ変更します。$ cd /opt/bitnami/apps/sugarcrm/htdocs$ sudo vi config.phparray ( 変更 db_host_name => localhost, db_host_name => awsworkshop1.cvsyptdwlwhh.ap-northeast-1.rds.amazonaws.com, db_user_name => root, db_password => bitnami, 変更 db_password => passwordmatsu, db_name => bitnami_sugarcrm, db_type => mysql, ),[ESC]キーを押し、“:wq”で書き込み完了。 ©2011-2012 Amazon Web Services May not be reused or redistributed without written permission
  69. 69. アクセス可能か確認 設定変更後、Webにログインできるか確認します。 ©2011-2012 Amazon Web Services May not be reused or redistributed without written permission
  70. 70. EC2のAMI化 ここでAPサーバのAMIを作成しておきます。 ©2011-2012 Amazon Web Services May not be reused or redistributed without written permission
  71. 71. 任意の名前を付けて作成します。No Rebootオプションはチェックしないでください。 ©2011-2012 Amazon Web Services May not be reused or redistributed without written permission
  72. 72. APサーバが再起動してAMIが作成されます。AMI作成に数分かかります。 ©2011-2012 Amazon Web Services May not be reused or redistributed without written permission
  73. 73. ハンズオンで作成する構成 - Phase 2 Availability Zone - A Public Subnet 10.0.0.0/24 Private Subnet 10.0.1.0/24 EC2 Instance Amazon RDS Anyone Elastic IP AZ-A-CRM1 10.0.0.7 AMIInternet Internet Gateway Private Subnet 10.0.3.0/24 Availability Zone - B VPC 10.0.0.0/16
  74. 74. Amazon Web Services:セキュリティプロセスの概要 事業継続性管理Amazon のインフラストラクチャは高いレベルの可用性を備え、回復機能を持つ IT アーキテクチャを配備する機能を顧客に提供します。AWS のシステムは、顧客への影響を最小限に抑えながらシステムまたはハードウェア障害に耐えられるように設計されています。また、AWS におけるデータセンターの事業の継続性は、Amazon Infrastructure Group の指示に従って管理されます。可用性データセンターは、世界各地にクラスターの状態で構築されています。すべてのデータセンターはオンラインで顧客にサービスを提供しており、「コールド」の状態のデータセンターは存在しません。障害時には、自動プロセスが、顧客データを影響を受けるエリアから移動します。重要なアプリケーションは N+1 設定で配備されます。そのためデータセンターの障害時でも、トラフィックが残りのサイトに負荷を分散させるのに十分な能力が存在することになります。 ©2011-2012 Amazon Web Services May not be reused or redistributed without written permission
  75. 75. Amazon Web Services:セキュリティプロセスの概要AWS は、各リージョン内の複数のアベイラビリティゾーンだけでなく、複数の地理的リージョン内で、インスタンスを配置してデータを保管する柔軟性を顧客に提供します。各アベイラビリティゾーンは、独立した障害ゾーンとして設計されています。つまり、アベイラビリティゾーンは、一般的な都市地域内で物理的に分離されており、洪水の影響が及ばないような場所にあります(洪水地域の分類はリージョンによって異なります)。個別の無停電電源装置(UPS)やオンサイトのバックアップ生成施設に加え、シングルポイントの障害の可能性を減らすために、別々の電力供給施設から異なる配管網を経由して、個別に電力供給を行っています。これらはすべて、冗長的に、複数の Tier-1 プロバイダに接続されています。顧客は AWS の使用量を計画しながら、複数のリージョンやアベイラビリティゾーンを利用する必要があります。複数のアベイラビリティゾーンにアプリケーションを配信することによって、自然災害やシステム障害など、ほとんどの障害モードに対して、その可用性を保つことができます。 ©2011-2012 Amazon Web Services May not be reused or redistributed without written permission
  76. 76. Amazon Web Services:セキュリティプロセスの概要事故への対応Amazon の事故管理チームは、業界標準の診断手順を採用しており、事業に影響を与えるイベント時に解決へと導きます。作業員スタッフが、24 時間 365 日体制で事故を検出し、影響と解決方法を管理します。役員による全社的検査Amazon の内部監査グループは、最近になって AWS サービスの復元プランを検査しました。このプランは、上級役員管理チームと取締役の監査委員会のメンバーによっても定期的に検査されています。2011 年4月 21 日、米国東部で EC2 のサービス停止が発生し、顧客が影響を受けました。サービス停止の詳細については、「Summary of the Amazon EC2 and Amazon RDS ServiceDisruption in the US East Region」(http://aws.amazon.com/message/65648/)をご覧ください。 ©2011-2012 Amazon Web Services May not be reused or redistributed without written permission
  77. 77. Amazon Web Services:セキュリティプロセスの概要 バックアップAmazon S3、Amazon SimpleDB、または Amazon Elastic Block Store(EBS)に保存されるデータは、これらのサービスの通常操作の一部として、複数の物理的ロケーションで冗長的に保存されます。追加費用はかかりません。Amazon S3 および Amazon SimpleDB では、最初の書き込み時に複数のデータセンターで複数回オブジェクトを保存し、デバイスが利用不能になる際、またはビット崩壊時にさらにレプリケーションを行うことによって、オブジェクトの堅牢性を実現しています。Amazon EBS のレプリケーションは、同一のアベイラビリティゾーン内に保存され、複数のゾーンにまたがって保存されることはありません。そのため、長期的なデータ堅牢性のために、Amazon S3 の定期的なスナップショットを作成することが強く推奨されています。EBS を使用して複雑なトランザクションデータベースを構築した顧客は、配信されるトランザクションやログがチェックポイントでチェックされるように、Amazon S3 に対するバックアップがデータベース管理システム経由で実行されるようにすることが推奨されています。Amazon EC2 で実行中のインスタンスに添付された仮想ディスク上で管理されるデータのバックアップを、AWS が実行することはありません。 ©2011-2012 Amazon Web Services May not be reused or redistributed without written permission
  78. 78. Phase 3
  79. 79. ハンズオンで作成する構成 - Phase 3 Availability Zone - A Public Subnet 10.0.0.0/24 Private Subnet 10.0.1.0/24 EC2 Instance Amazon RDS Anyone Elastic IP AZ-A-CRM1 10.0.0.7 AMIInternet Internet Gateway AZ-B-CRM2 10.0.1.8 EC2 Instance Public Subnet 10.0.2.0/24 Private Subnet 10.0.3.0/24 Availability Zone - B VPC 10.0.0.0/16
  80. 80. EC2インスタンスの追加とELBの配置 ©2011-2012 Amazon Web Services May not be reused or redistributed without written permission
  81. 81. AP用Subnetの追加 VPC-SubnetsページでSubnetを追加します。 ©2011-2012 Amazon Web Services May not be reused or redistributed without written permission
  82. 82. 下記の設定にてAP用のSubnetを追加します。 ©2011-2012 Amazon Web Services May not be reused or redistributed without written permission
  83. 83. 合計4つのSubnetが出来ていることを確認ください。 ©2011-2012 Amazon Web Services May not be reused or redistributed without written permission
  84. 84. 今作成したSubnetのRoute Tableを変更します。 ©2011-2012 Amazon Web Services May not be reused or redistributed without written permission
  85. 85. TableにInternet Gatewayが含まれていることを確認し”Yes, Replace”をクリックします。 ©2011-2012 Amazon Web Services May not be reused or redistributed without written permission
  86. 86. Route Tableが変更されていることを確認します。 ©2011-2012 Amazon Web Services May not be reused or redistributed without written permission
  87. 87. AMIからのAPサーバ追加 先ほど作成したAMIを使ってAPサーバを追加します。 AMIを選んで”Launch”を選択します。 ©2011-2012 Amazon Web Services May not be reused or redistributed without written permission
  88. 88. VPC内の10.0.2.0/24のSubnetを選択します。Instance Typeは”Small”を選択します。 ©2011-2012 Amazon Web Services May not be reused or redistributed without written permission
  89. 89. ローカルのIPアドレスを指定します。 ©2011-2012 Amazon Web Services May not be reused or redistributed without written permission
  90. 90. 管理を分かりやすくする為、タグを付けます。この例では”AZ-B-CRM1”とします。 ©2011-2012 Amazon Web Services May not be reused or redistributed without written permission
  91. 91. Key Pairは既存のものを使用します。 ©2011-2012 Amazon Web Services May not be reused or redistributed without written permission
  92. 92. Security Groupも既存のものを指定します。 ©2011-2012 Amazon Web Services May not be reused or redistributed without written permission
  93. 93. 設定内容を確認し、Launchします。 ©2011-2012 Amazon Web Services May not be reused or redistributed without written permission
  94. 94. EC2 Instanceが起動しているか確認します。 ©2011-2012 Amazon Web Services May not be reused or redistributed without written permission
  95. 95. EC2 Instanceが2つ起動しています。“Show/Hide”にて表示項目を変更できます。 ©2011-2012 Amazon Web Services May not be reused or redistributed without written permission
  96. 96. Zoneの表示 Availability Zoneを確認しやすくするため、Zone表 示を追加します。 ©2011-2012 Amazon Web Services May not be reused or redistributed without written permission
  97. 97. ELBの作成 2台のAPサーバに処理を振り分ける為、ELBを追加します。 Availability Zoneを跨いだ振り分けが可能です。 ©2011-2012 Amazon Web Services May not be reused or redistributed without written permission
  98. 98. VPC内にELBを作成します。内外ともにHTTP(80番)とします。チェックしない。 ©2011-2012 Amazon Web Services May not be reused or redistributed without written permission
  99. 99. 設定は変更せず、”Continue”をクリックします。 ©2011-2012 Amazon Web Services May not be reused or redistributed without written permission
  100. 100. ELBの属するSubnetを選択します。APサーバのSubnetである”10.0.0.0/24”と”10.0.2.0/24”を選択します。 ©2011-2012 Amazon Web Services May not be reused or redistributed without written permission
  101. 101. ELBのSecurity Groupを作成します。 HTTP(80番) を許可します。 ©2011-2012 Amazon Web Services May not be reused or redistributed without written permission
  102. 102. ELB配下に置くサーバを選択します。 ©2011-2012 Amazon Web Services May not be reused or redistributed without written permission
  103. 103. 設定を確認し、”Create”をクリックします。 ©2011-2012 Amazon Web Services May not be reused or redistributed without written permission
  104. 104. ELBが作成されました。下記のリンクから確認できます。 ©2011-2012 Amazon Web Services May not be reused or redistributed without written permission
  105. 105. ELBの配下に2台のEC2が確認できます。しばらくするとStatusが変わります。 ©2011-2012 Amazon Web Services May not be reused or redistributed without written permission
  106. 106. Statusが”In Service”になると、振り分けされるようになります。 ©2011-2012 Amazon Web Services May not be reused or redistributed without written permission
  107. 107. ELBのEndpointの確認 ELBのPropertyの”Description”タブにてELBのEndpointが確認できます。 ©2011-2012 Amazon Web Services May not be reused or redistributed without written permission
  108. 108. ELBのEndpointにアクセスできることを確認します。 ©2011-2012 Amazon Web Services May not be reused or redistributed without written permission
  109. 109. SECURITY GROUPの設定変更 ©2011-2012 Amazon Web Services May not be reused or redistributed without written permission
  110. 110. Security Groupの設定変更 よりセキュリティを高める為に、Security Groupの設定を変更します。 VPCの設定タブにて行います。 ©2011-2012 Amazon Web Services May not be reused or redistributed without written permission
  111. 111. APサーバの80(HTTP)のアクセス許可をDeleteします。 ©2011-2012 Amazon Web Services May not be reused or redistributed without written permission
  112. 112. APサーバの80(HTTP)のアクセス許可が無くなりました。 ©2011-2012 Amazon Web Services May not be reused or redistributed without written permission
  113. 113. 次にAPサーバのSecurity GroupにELBのSecurity GroupをSourceとして追加設定します。ELBのSecurity Group IDをコピーします。 ©2011-2012 Amazon Web Services May not be reused or redistributed without written permission
  114. 114. Portを80(HTTP)、 Sourceに”ELB Security Group ID” を設定します。 ©2011-2012 Amazon Web Services May not bereused or redistributed without written permission
  115. 115. ブラウザからELB経由でアクセスできるか確認します。 ©2011-2012 Amazon Web Services May not be reused or redistributed without written permission
  116. 116. ハンズオンで作成する構成 - Phase 3 Availability Zone - A Public Subnet 10.0.0.0/24 Private Subnet 10.0.1.0/24 EC2 Instance Amazon RDS Anyone Elastic IP AZ-A-CRM1 10.0.0.7 AMIInternet Internet Gateway AZ-B-CRM2 10.0.1.8 EC2 Instance Public Subnet 10.0.2.0/24 Private Subnet 10.0.3.0/24 Availability Zone - B VPC 10.0.0.0/16
  117. 117. Amazon Web Services:セキュリティプロセスの概要 ストレージデバイスの廃棄AWS の処理手順には、ストレージデバイスが製品寿命に達した場合に、顧客データが権限のない人々に流出しないようにする廃棄プロセスが含まれています。AWS は、DoD 5220.22-M(「National Industrial Security Program Operating Manual(国立産業セキュリティプログラム作業マニュアル)」)または NIST 800-88(「Guidelines for Media Sanitization(メディア衛生のためのガイドライン)」)に詳細が記載されている技術を用いて、廃棄プロセスの一環としてデータを破棄します。これらの手順を用いているハードウェアデバイスが廃棄できない場合、デバイスは業界標準の慣行に従って、消磁するか、物理的に破壊されます。 Amazon アカウントセキュリティ機能AWS は、顧客が自身の ID を確認し、AWS アカウントに安全にアクセスできるよう様々な方法を提供しています。AWS によってサポートされる証明書の完全なリストは、[Your Account] の下にある [Security Credentials] ページにあります。さらに、AWS には、AWS Identity and AccessManagement(AWS IAM)、Multi-Factor Authentication(MFA)、キーローテーションなど、追加のセキュリティオプションが用意されており、AWS アカウントの保護を強化し、さらに細かくアクセスをコントロールできます。 ©2011-2012 Amazon Web Services May not be reused or redistributed without written permission
  118. 118. Amazon Web Services:セキュリティプロセスの概要 Amazon Elastic Compute Cloud(Amazon EC2)のセキュリティAmazon EC2 のセキュリティは、ホストシステムのオペレーティングシステム(OS)、仮想インスタンス オペレーティング システム、ゲスト OS、ファイヤウォール、署名された API 呼び出しなど、複数のレベルで提供されます。これら各アイテムは、他の機能に追加される形で構築されます。この目的は、Amazon EC2 内に含まれるデータが、未許可のシステムまたはユーザーによって傍受されないようにすると同時に、顧客によるシステム設定の柔軟性を犠牲にすることなく、AmazonEC2 インスタンスそのものが、できるだけ安全であるようにすることです。 ©2011-2012 Amazon Web Services May not be reused or redistributed without written permission
  119. 119. Amazon Web Services:セキュリティプロセスの概要 Amazon Simple Storage Service(Amazon S3)のセキュリティ共有されたストレージシステムにおいて、よく見られるセキュリティに関する質問は、未許可のユーザーが意図的に、または誤って情報にアクセスすることができるかということです。AWS 内に格納されている情報をどのように、いつ、誰に対して開示するかを決定する柔軟性を顧客が有することができるようにするために、Amazon S3 API は、バケットおよびオブジェクトの両方のレベルのアクセスコントロールを提供します。これらは、デフォルトでは、バケットおよび/またはオブジェクトの作成者によって権限を付与されたアクセスのみを許可するよう設定されています。顧客が自身のデータに対して匿名のアクセス権を付与しない限り、ユーザー(AWS アカウント、または AWSIAM で作成されたユーザーのいずれか)がデータにアクセスできるようになるための最初のステップは、ユーザーの秘密鍵を使用して、リクエストの HMAC-SHA1 署名を利用する認証を行うことです。 ©2011-2012 Amazon Web Services May not be reused or redistributed without written permission
  120. 120. Amazon Web Services:セキュリティプロセスの概要認証されたユーザーは、アクセス コントロール リスト(ACL)でオブジェクトレベルの読み取り権限を付与された場合に限り、オブジェクトの読み取りを行うことができます。認証されたユーザーは、バケットレベルで、または AWS IAM でユーザーに付与された権限を通じて、ACL で読み取りと書き込み権限が付与された場合に限り、キーをリストアップし、バケットのオブジェクトを作成または上書きすることができます。バケットおよびオブジェクトレベル ACL は独立しています。オブジェクトはそのバケットから ACL を継承しません。バケットまたはオブジェクト ACL の読み取りまたは変更に対する許可は、デフォルトで作成者のみのアクセス権が設定されている ACL によってコントロールされます。そのため、顧客は自身のデータに誰がアクセスするのかについて完全なコントロールを維持します。AWS アカウント ID または E メールまたは DevPay 商品 ID を使用して、顧客は自身の Amazon S3 データに対するアクセス権を、他の AWS アカウントに付与できます。また、自身の Amazon S3 データに対するアクセス権を、全 AWS アカウントまたは(匿名アクセスを有効にしている)すべての人に付与することもできます。 ©2011-2012 Amazon Web Services May not be reused or redistributed without written permission
  121. 121. Amazon Web Services:セキュリティプロセスの概要 Amazon Relational Database Service(Amazon RDS)のセキュリ ティAmazon RDS を使用すれば、リレーショナルデータベースのインスタンスを素早く作成し、関連するコンピュータリソースやストレージ能力を柔軟に拡張して、アプリケーションの需要に適合させることができます。Amazon RDS は、バックアップおよびフェールオーバー処理を実行し、データベースソフトウェアを維持管理することにより、ユーザーに代わってデータベースインスタンスを管理します。Amazon RDS DB インスタンスへのアクセスは、Amazon EC2 セキュリティグループと同種のデータベース セキュリティ グループ経由で、顧客により管理されます。データ セキュリティ グループはデフォルトで「すべて拒否」アクセスモードに設定されており、顧客はネットワークへのアクセスを個々に承認する必要があります。これを行う方法は2つあり、ネットワーク IP 幅を許可するか、既存の Amazon EC2 セキュリティグループを許可します。データベースセキュリティグループは、データベース サーバー ポートへのアクセスのみを許可します(他はすべてブロックされます)。また Amazon RDS DB インスタンスを再起動せずに更新できるので、顧客は自身のデータベースへのアクセスを、シームレスに制御できます。 ©2011-2012 Amazon Web Services May not be reused or redistributed without written permission
  122. 122. Amazon Web Services:セキュリティプロセスの概要AWS IAM を使用すると、顧客が自身の RDS DB インスタンスへのアクセスをさらに細かくコントロールできます。例えば、AWS IAM により、どの RDS 操作に対して、各 AWS IAM ユーザーが呼び出し権限を持つようにするかをコントロールできます。Amazon RDS は、各 DB インスタンスに対して SSL 証明書を生成します。これにより、顧客は自身の DB インスタンス接続を暗号化し、セキュリティを強化できます。Amazon RDS DB インスタンスの削除 API(DeleteDBInstance)が実行されると、DB インスタンスには削除のマークがつきます。「削除中」ステータスが消えると、そのインスタンスは削除されたことを意味します。この時点でインスタンスにアクセスできなくなります。また、最終スナップショットのコピーを作成しなかった場合は、復元できません。また、ツールや API でリストアップされることもなくなります。Amazon Web Services:セキュリティプロセスの概要 (ホワイトペーパー)<http://d36cz9buwru1tt.cloudfront.net/jp/AWS%20Security%20Whitepaper%20-%20May%202011.pdf> ©2011-2012 Amazon Web Services May not be reused or redistributed without written permission
  123. 123. Appendix ©2011-2012 Amazon Web Services May not be reused or redistributed without written permission
  124. 124. ハンズオンで作成する構成 – Multi AZ Availability Zone - A Public Subnet 10.0.0.0/24 Private Subnet 10.0.1.0/24 EC2 Instance Amazon RDS Anyone Elastic IP AZ-A-CRM1 10.0.0.7 AMIInternet Internet Gateway AZ-B-CRM2 10.0.2.8 EC2 Instance Amazon RDS Public Subnet 10.0.2.0/24 Private Subnet 10.0.3.0/24 Availability Zone - B VPC 10.0.0.0/16
  125. 125. RDSのMULTI-AZ化 ©2011-2012 Amazon Web Services May not be reused or redistributed without written permission
  126. 126. RDSのMulti-AZ化 RDSのタブから変更対象のRDSを選択し”Modity”をクリックします。 ©2011-2012 Amazon Web Services May not be reused or redistributed without written permission
  127. 127. “Multi-AZ Deployment”をYesに変更し、一番下の”Apply Immediately”にチェックをします。 ©2011-2012 Amazon Web Services May not be reused or redistributed without written permission
  128. 128. RDSのStatusがmodifyingとなりますので、しばらく待ちます。時間かかる ©2011-2012 Amazon Web Services May not be reused or redistributed without written permission
  129. 129. “Multi-AZ Deployment”がYesになっていることが確認できます。 ©2011-2012 Amazon Web Services May not be reused or redistributed without written permission
  130. 130. Primary AZの変更(強制フェイルオーバー) 現在のZoneが”ap-northeast-1a”となっていることを確認します。 次に”Reboot”をクリックします。 ©2011-2012 Amazon Web Services May not be reused or redistributed without written permission
  131. 131. “Reboot with failover?”にチェックを入れ、”Yes, Reboot”をクリックします。 ©2011-2012 Amazon Web Services May not be reused or redistributed without written permission
  132. 132. Statusが”rebooting”となるのでしばらく待ちます。 ©2011-2012 Amazon Web Services May not be reused or redistributed without written permission
  133. 133. 設定の表示に少し時間がかかりますが、Zoneが変わっているのが確認できます。Zone切替表示の反映まで時間かかる ©2011-2012 Amazon Web Services May not be reused or redistributed without written permission
  134. 134. ハンズオンで作成する構成 Availability Zone - A Public Subnet 10.0.0.0/24 Private Subnet 10.0.1.0/24 EC2 Instance Amazon RDS Anyone AZ-A-CRM1 10.0.0.7 AMIInternet Internet Gateway AZ-B-CRM2 10.0.2.8 EC2 Instance Amazon RDS Public Subnet 10.0.2.0/24 Private Subnet 10.0.3.0/24 Availability Zone - B VPC 10.0.0.0/16
  135. 135. 環境を削除ください!!ELBの削除EC2(Elastic IP)の削除RDSの削除RDS DB Subnet Groupの削除Subnetの削除VPCの削除AMIの削除 ©2011-2012 Amazon Web Services May not be reused or redistributed without written permission
  136. 136. ご受講、ありがとうございました ©2011-2012 Amazon Web Services May not be reused or redistributed without written permission
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×