Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

AWS基本機能入門セミナー資料 20201019

2020年10月19日開催のAWS基本機能入門セミナーのハンズオン資料です。

https://kis-seminar.connpass.com/event/190520/

  • Be the first to comment

  • Be the first to like this

AWS基本機能入門セミナー資料 20201019

  1. 1. AWS 2020年10月19日 株式会社KIS 二見 孝一 AWS基本機能入門 < AWSの基本機能をハンズオンで学ぶ > 2020年10月19日 オンラインセミナー資料
  2. 2. AWS 2/264 0.はじめに 1.クラウドとは? 2.クラウドサービスの種類 3.AWSのサービス 4.ハンズオン(アカウント登録) 5.AWSの用語 6.AWSの価格 7.最低限押さえておくこと 8.ストレージの理解 9.AWSの構成イメージ 10.ハンズオン(IAM) 11.EC2の前にVPC 12.ハンズオン(VPC) 13.ハンズオン(EC2) 14.さらに学びたい人は 参考文献/出典 目次 【目次1】
  3. 3. AWS 3/264 0.はじめに (1) コロナ禍によるリモートセミナー 今回のKISオープンセミナーは、コロナ禍によりオン ライン開催といたします。 https://kis-seminar.connpass.com/event/190520/ 内容レベルは、AWSをはじめてつかう方が対象の入 門編です。(ベースは弊社の新入社員研修用に行っている内容です) また、多人数のオンラインセミナーのため、講師から のフォローが十分にできない可能性もあります。 以上の点をご了解ください。
  4. 4. AWS 4/264 0.はじめに (2) オンラインセミナー中の質問について セミナーはZoomによる配信を行います。 基本的にマイクはミュートしておいてください。 質問は随時投げかけて頂いて構いません。 質問時はマイクミュートを解除して話してください。
  5. 5. AWS 5/264 0.はじめに (3) オンラインハンズオンについて 最初に、設定を流れに沿ってスライドで説明します。 次に、講師の画面を共有し、実際の設定を配信します。 それと同じように設定を行ってください。 ハンズオンで使う情報は、随時Zoomのチャットへ送 ります。URLなどコピペして使ってください。 進行スピードが速すぎる等がありましたら、遠慮なく お声がけください。(マイクミュート解除して)
  6. 6. AWS 6/264 0.はじめに (4) 最初は各自の自己紹介 まず最初に私から 二見孝一(ふたみ こういち) システムインテグレーターで長年にわたり システムの設計・開発を行う。情報システ ム部門でのインフラ管理などを経て経営企 画室に異動。 現在はオープンイノベーションでの新規事 業領域の展開や、R&DであるKISテクニカ ルラボ、産官学連携や外部コミュニティー との連携にも力を入れている。 https://www.facebook.com/koichi.fut ami
  7. 7. AWS 7/264 ここ10年ほどで一般化してきたけれど、それまでは、 利用者がインフラ設備やソフトウェアを自前で用意し ていた。 1.クラウドとは? (1) クラウド・コンピューティング 利用者がインフラ設備やソフトウェアを持た なくても、インターネットを通じて、必要な 時にサービスを利用できる形態
  8. 8. AWS 8/264 ・機器を自己所有 :オンプレミス ・機器を借りる :レンタルサーバー ・サービスを受ける:クラウドサービス 1.クラウドとは? (2) オンプレミスとクラウド 自家用車 タクシーレンタカー
  9. 9. AWS 9/264 1.クラウドとは? (3) メリット・デメリット クラウド オンプレミス メリット ・初期費用が安い (利用したぶんだけ支払い) ・簡単に導入できる ・拡張性が高い (サーバーを拡張しやすい) ・障害対応を外部に依頼できる ・災害時のリスクが小さい ・物理的なスペースが必要ない ・自由にカスタマイズできる ・社内システムと連携しやすい デメリット ・自由にカスタマイズしにくい ・社内システムと連携しづらい ・初期費用が高い ・導入に時間がかかる ・拡張性が低い (サーバーを拡張しづらい) ・自社で障害対応を行う必要がある ・災害時のリスクが大きい ・物理的なスペースが必要
  10. 10. AWS 10/264 1.クラウドとは? (4) パブリッククラウドとプライベートクラウド ・パブリッククラウド インターネットを通じて外部提供のサービスを使う ・プライベートクラウド 自分の会社内にクラウド環境を構築して使う
  11. 11. AWS 11/264 1.クラウドとは? (5) 現在はほとんどのサービスはクラウド クラウドサービス以外を探すのがむずかしい
  12. 12. AWS 12/264 1.クラウドとは? (6) ベースの技術は仮想化 「仮想化」が技術基盤になっている 仮想化: 物理的な1台のサーバー上で、複数の仮想的なサーバー (仮想サーバー)を運用すること。 サーバーの仮想化では、専用の仮想化ソフトウェアによっ て物理サーバー上のプロセッサ・メモリといったリソース を複数に分割し、仮想サーバーに割り当てて使う。1台の 物理サーバー上に複数のサーバーを集約できるため、管理 のコストや負荷が削減できる。
  13. 13. AWS 13/264 1.クラウドとは? (7) 仮想化:ホストOS型 OS上に仮想化ソフトウェアをインストールし、その上で仮想マ シンと呼ばれる仮想環境を稼働させる。
  14. 14. AWS 14/264 1.クラウドとは? (8) 仮想化:ハイパーバイザ型 物理サーバの上に仮想化ソフトウェアを直接インストールし、 仮想マシンはハイパーバイザーの上で稼働する。ホストOSが存 在しない。
  15. 15. AWS 15/264 1.クラウドとは? (9) 仮想化:コンテナ型 仮想マシンではなくコンテナと呼ばれる仮想環境を提供し、ホ ストOSにコンテナエンジンと呼ばれる仮想化ソフトウェアをイ ンストールする。コンテナはコンテナエンジンの上で稼働し、 コンテナはホストOSのカーネルを共有しておりゲストOSを持た ない。オーバーヘッドが少なく、非常に軽量。
  16. 16. AWS 16/264 2.クラウドサービスの種類 (1) クラウドサービスの種類 No 略称 名称 概要 1 SaaS Software as a Service サービスソフトウェア環境を提供 2 PaaS Platform as a Service システムの稼働・開発環境を提供 3 IaaS Infrastructure as a Service サーバーや記憶装置などのインフラ 機能を提供 4 DaaS Desktop as a Service デスクトップ操作環境をネットワー クで提供(仮想ディスクトップ) 5 FaaS Function as a Service サーバレスで、機能単位に実行環境 を提供
  17. 17. AWS 17/264 2.クラウドサービスの種類 (2) クラウドサービスの種類(図)
  18. 18. AWS 18/264 2.クラウドサービスの種類 (3) 主要なクラウドサービス サービス ロゴ 特徴 Amazon Web Service(AWS) シェア世界1、豊富な実績と多機 能 Microsoft Azure ビジネスで主流のマイクロソフト 製品と連携 Google Cloud Platform(GCP) Googleクラウド製品と連携、強固 なインフラ IBM Cloud Watson連携、基幹システムと高 い親和性 Alibaba Cloud 中国製クラウド、アジア圏で急速 拡大中
  19. 19. AWS 19/264 2.クラウドサービスの種類 (4) クラウドサービスの市場シェア
  20. 20. AWS 20/264 2.クラウドサービスの種類 (5) Amazon Web Services (AWS) ・Amazonが提供するパブリッククラウドサービス ・世界22のリージョン、69のアベイラビリティーゾーンで運用。 日本には東京と大阪にアベイラビリティゾーンがある ・2004年からサービスを提供しているシェアNo.1のサービス 機能も豊富。ストレージには一日の長がある ・パブリッククラウドのデファクトスタンダードとも言えるサービス サービス系アプリやビッグデータ分析、ストレージなど、幅広い 利用に適した優等生な性能を誇る
  21. 21. AWS 21/264 2.クラウドサービスの種類 (6) Microsoft Azure ・Microsoftが提供するパブリッククラウドサービス ・世界57のリージョン、140ヵ国でサービスを提供 ・Office 365などのMicrosoft製品との親和性が高い ・市場唯一の一貫性のあるハイブリッドクラウドを謳っており、 Active Directoryを導入している企業には移行しやすい。 ・Azure Marketplaceに多種多様なアプリケーションがあり さまざまな機能拡張を比較的容易に行える。 ・Microsoft製品との連携やActive Directoryを使ったイントラネット をクラウドに移行したい場合などに有効
  22. 22. AWS 22/264 2.クラウドサービスの種類 (7) Google Cloud Platform(GCP) ・Google が提供するパブリッククラウドサービス ・世界21のリージョン、64のゾーン、200以上の国と地域でサービスを提供 し、日本には東京と大阪にゾーン設置 ・Google 検索や Gmail 、YouTube 、 Google マップなどのサービスと同等 の、高性能・高速・セキュアで安定したインフラを利用 ・多言語対応PaaSである Google App Engine は、アプリケーションの ユーザが急激に増えた際にも自動的にスケールされる ・数分でテラバイトのデータ処理可能なBigQueryや、ディープラーニング用 サービスのCloud Machine Learningなどビッグデータ解析にも向いている ・Gmail や Googleカレンダー 、スプレッドシートなどのGoogleサービスと の連携に最適で、Google App Engine も利用可能
  23. 23. AWS 23/264 2.クラウドサービスの種類 (8) IBM Cloud ・IBMが提供するパブリッククラウドサービス ・世界に60ヵ所のデータセンターを持つ ・データの完全性、低レイテンシー、並列処理が必要なAI集約型の ワークロードを強化すると謳っているほか、IBM Watsonと 機械学習の幅広いAPIを提供している ・IBMは基幹業務システムの構築実績が豊富で、レガシーな オンプレミス環境で構築された基幹業務システムのクラウド移行先 として強みを持つ ・機械学習やWatsonを活用したビッグデータ分析を行いたい場合や、 オンプレミスの基幹業務システムのクラウド移行などに向く
  24. 24. AWS 24/264 2.クラウドサービスの種類 (9) Alibaba Cloud ・ジャック・マー率いるアリババ・グループ(阿里巴巴集団)が提供 ・アジア圏を中心に世界19リージョン、51ゾーン、1,500以上のCDN ノード数を持ち、世界トップ3のIaaSプロバイダーとして躍進中 ・中国では、500以上のCDNノード、7リージョン、アベイラビリティ ゾーンを展開し、全世界で230万以上のユーザを持つ ・Amazonに並ぶECサイト「Tmall(天猫)」や、1秒間に140,000件 の支払いを処理して世界記録を塗り替えた「Alipay(支付宝)」を ホストしているものと同等のインフラと、国際基準に準拠した セキュリティを持つ強力でセキュアなインフラ基盤を利用できる ・中国でのグローバルビジネス展開があるなら選択肢として有力
  25. 25. AWS 25/264 2.クラウドサービスの種類 (10) それぞれサービス名が異なる 各クラウドサービスにより、提供される機能にそれぞ れ名前が付けられている。 面倒くさいけど覚えるしかない。(;^ω^) 【サーバー機能の名称例】 クラウドサービス サーバーサービスの名称 AWS Amazon Elastic Compute Cloud (EC2) Azure Virtual Machines GCP Compute Engine
  26. 26. AWS 26/264 2.クラウドサービスの種類 (11) たくさんサービスはあるけれど・・・ 今回はシェアNo1のAmazon Web Service (AWS)について学びます。 簡単なハンズオンとデモでAWSの基本機能を 理解しましょう。
  27. 27. AWS 27/264 3.AWSのサービス (1) AWSのサービス群は多種多様 175種類以上あり、増え続けている。
  28. 28. AWS 28/264 3.AWSのサービス (2) サービスを組み合わせて利用する どのような用途・目的に対し、どんなサービ スを組み合わせるか? ここがシステム屋さんの腕の見せどころ。 逆にサービス群の機能やクセを知らないとシ ステム構築できない。
  29. 29. AWS 29/264 3. AWSのサービス (3) AWSの主なサービス:サーバー関連1 サービス名 概要 EC2 仮想サーバー Elastic Container Service Dockerコンテナの実行&管理 Lightsail 仮想サーバーとネットワーク一式の管理 Batch バッチジョブの実行 VPC ネットワーク環境 API Gateway Web APIを構築するサービス CloudFront コンテンツキャッシュサービス(CDN) Route 53 DNSサービス
  30. 30. AWS 30/264 3. AWSのサービス (3) AWSの主なサービス:サーバー関連2 サービス名 概要 Direct Connect AWSネットワークに専用線で接続 Transit Gateway VPCどうしを接続 Elastic Load Balancing (ELB) 負荷分散 Simple Mail Service (SES) メールサービス GameLift ゲームホスティングサービス Amplify モバイルアプリとWebサービス構築&デプロイ Lambda サーバーレスでコード実行
  31. 31. AWS 31/264 3. AWSのサービス (4) AWSの主なサービス:メディア サービス名 概要 Elastic Trancecoder メディア変換サービス Elemental MediaLive ライブビデオコンテンツの変換 Elemental MediaPackage 動画の配信パッケージ
  32. 32. AWS 32/264 3. AWSのサービス (5) AWSの主なサービス:ストレージ サービス名 概要 Simple Storage Service (S3) 汎用的クラウドストレージ Transfer for SFTP SFTPサービス(暗号化ファイル転送) Elastic Block Store (EBS) EC2で使うストレージ FSx for Windows Windowsファイルシステムサービス S3 Glacier S3の長期保存サービス Backup バックアップサービス Storage Gateway オンプレミスとクラウドを接続するハイブリッ ドストレージ
  33. 33. AWS 33/264 3. AWSのサービス (6) AWSの主なサービス:データベース サービス名 概要 Aurora カスタマイズ高性能RDS DynamoDB NoSQL(非リレーショナル)データベース DocumentDB MongoDB互換のドキュメントデータベース EasticCache インメモリキャッシュシステム RDS リレーショナルデータベース
  34. 34. AWS 34/264 3. AWSのサービス (7) AWSの主なサービス:セキュリティ サービス名 概要 Identify and Access Management(IAM) ユーザー管理 Cognito アプリケーション認証サービス GuardDuty 脅威の検出 Certificate Manager 証明書の生成 Firewall Manager ファイアウォールの一元管理 WAF Webのファイアウォール
  35. 35. AWS 35/264 3. AWSのサービス (8) AWSの主なサービス:データ集計・分析 サービス名 概要 Athena S3に保存したデータの集計 Redshift 大量データの集計サービス Kinesis リアルタイムのデータストリーム分析 Elasticsearch Service ログ、モニタリング、セキュリティー等のデー タ分析サービス Elastic MapReduce (EMR) Hadoopなどのビッグデータ利用 QuickSight データ可視化のBIツール
  36. 36. AWS 36/264 3. AWSのサービス (9) AWSの主なサービス:アプリケーション連携 サービス名 概要 Step Functions 順次プログラム実行サービス Simple Queue Service (SQS) アプリケーション連携のキューイングサービス Simple Notification Service(SNS) アプリケーション間のメッセージング
  37. 37. AWS 37/264 3. AWSのサービス (10) AWSの主なサービス:機械学習 サービス名 概要 SageMaker 機械学習モデルの構築、トレーニング、デプロ イ Lex 音声やテキストに対応したチャットボット Polly テキストを音声に変換 Textract ドキュメントからテキストやデータを抽出 Translate 言語翻訳 Transcribe 自動音声認識
  38. 38. AWS 38/264 3. AWSのサービス (11) AWSの主なサービス:IoT サービス名 概要 IoT Core IoTのクラウド接続サービス FreeRTOS マイコン向けリアルタイムOS IoT ボタン クラウドプログラミングのダッシュボタン Greengrass クラウド機能をエッジデバイスに拡張・展開
  39. 39. AWS 39/264 3. AWSのサービス (12) AWSの主なサービス:クライアント向け サービス名 概要 WorkSpaces 仮想ディスクトップ AppStream 2.0 ディスクトップアプリケーションをWebブラウ ザにストリーミング WorkLink 社内のWebサイトへのモバイルアクセス
  40. 40. AWS 40/264 3. AWSのサービス (13) AWSの主なサービス:開発ツール サービス名 概要 Cloud9 Webブラウザで操作できる統合開発環境 CodeBuild プログラムのビルドやテストツール CodeDeploy 開発したプログラムを配備する CodePipeline 開発したツールをビルドしてデプロイするまで を自動化 CodeStar ビルドから配備まで一式を提供 コマンドラインインター フェイス コマンドでAWSを操作するツール
  41. 41. AWS 41/264 3. AWSのサービス (14) AWSの主なサービス:コスト管理 サービス名 概要 Cost Explore コストと使用状況を分析 Budgets 設定した予算を超えそうになったら通知
  42. 42. AWS 42/264 4.ハンズオン(アカウント登録) (1) AWSを使う前準備 ・まずはアカウントの登録から 最初のハンズオンでは、AWSにアカウントを 作成します。
  43. 43. AWS 43/264 4.ハンズオン(アカウント登録) (2) AWSは従量制 ・他のパブリッククラウドサービスと同じく、 使った分だけ支払う「従量課金制」 ・無料で使える枠が設定されている (上限を超えるまで無料で使える) https://aws.amazon.com/jp/free/ ・あらかじめ予算額を設定しておき、超えそうなら 通知してくれるサービスもある
  44. 44. AWS 44/264 4.ハンズオン(アカウント登録) (3) AWSにログインする ・AWSのサイトにアクセスし、アカウント を作成してみよう(無料枠あり) ・登録にはクレジットカード番号が必要です
  45. 45. AWS 45/264 4.ハンズオン(アカウント登録) (4) アカウントを登録する ・必要な情報を入力し、アカウントを作成する https://aws.amazon.com/jp/
  46. 46. AWS 46/264 4.ハンズオン(アカウント登録) (5) AWSアカウントの作成
  47. 47. AWS 47/264 4.ハンズオン(アカウント登録) (6) AWSアカウントの連絡先登録
  48. 48. AWS 48/264 4.ハンズオン(アカウント登録) (7) AWSアカウントの支払い情報登録
  49. 49. AWS 49/264 4.ハンズオン(アカウント登録) (8) AWSアカウントの本人確認1
  50. 50. AWS 50/264 4.ハンズオン(アカウント登録) (9) AWSアカウントの本人確認2
  51. 51. AWS 51/264 4.ハンズオン(アカウント登録) (10) AWSアカウントの本人確認3
  52. 52. AWS 52/264 4.ハンズオン(アカウント登録) (11) プランの選択(無料枠)
  53. 53. AWS 53/264 4.ハンズオン(アカウント登録) (12) AWSカウントでのサインイン
  54. 54. AWS 54/264 4.ハンズオン(アカウント登録) (13) AWSカウントのサインイン1
  55. 55. AWS 55/264 4.ハンズオン(アカウント登録) (14) AWSカウントのサインイン2
  56. 56. AWS 56/264 4.ハンズオン(アカウント登録) (15) AWSマネジメントコンソール1
  57. 57. AWS 57/264 4.ハンズオン(アカウント登録) (16) AWSマネジメントコンソール2
  58. 58. AWS 58/264 4.ハンズオン(アカウント登録) (17) AWSマネジメントコンソール3 AWSの各種操作は、AWSマネジメントコン ソールから行います。 リージョンを確認し、使ってみましょう。 (デフォルトのリージョンはアメリカになっているので、日本に変 更しておきましょう。) アカウント登録の手順は以上です。 では、実際にアカウントを作成しましょう。
  59. 59. AWS 59/264 5.AWSの用語 (1) AWSで使う主要な用語1 用語 意味・内容 Region 地理的に離れた領域のデータセンター群。東京リージョン(ap- northeast-1)、バージニア北部リージョン(us-east-1)、オレゴン リージョン(us-west-2)など、現時点で22のリージョンがある AZ 冗長化のため、リージョン内に複数の設備群を置いたものをAZ (Availability Zone)という。現時点で69のAZがある EC2 EC2(Amazon Elastic Compute Cloud)とは、AWSが提供する「仮想 サーバー」 VPC VPC(Amazon Web Service Virtual Private Cloud)とは、ユーザー専 用の仮想ネットワーク AMI Amazon Machine ImageはEC2の仮想マシンを生成するテンプレート で、各種OS、アプリの組み合わせがある EBS Elastic Block StoreはEC2用の永続的ストレージ Elastic IP EC2のインスタンスに対して固定IPを割り当てるサービス
  60. 60. AWS 60/264 5.AWSの用語 (1) AWSで使う主要な用語2 用語 意味・内容 ELB Elastic Load Balancingはロードバランサ―で、スケールアウト (サーバー数を増やす)したEC2に対し、クライアントからのアプリ ケーションに対するリクエスト分配を行う S3 Simple Storage Serviceは安価なオンラインストレージサービスで保 存データ容量に上限がない RDS Relational Database Serviceはリレーショナルデータベースサービス で、MySQLやPostgreSQL、Oracle、SQL Serverなどを利用可能 IAM AWS上のユーザーとアクセス権限を管理するのがIAM(AWS Identity and Access Management) Route53 AWSが提供するDNS (ドメインネームシステム) で、ドメイン名 (www.amazon.com など) を IP アドレス (192.0.2.44 など) に変換 する CloudWatch AWSの各種リソースを監視する、フルマネージド運用監視サービスで、 異常時のアラート通知や自動復旧も可能
  61. 61. AWS 61/264 5.AWSの用語 (1) AWSで使う主要な用語3 用語 意味・内容 フルマネージド サーバーリソースなど、提供されるサービス外のことは一切気にしな くてよいこと プロビジョニング 各種リソースの必要量を予測し、提供できること。またはその事前準 備のこと ワークロード 作業量、作業負荷 レイテンシー 処理を完了するまでの時間遅延 デプロイ ソースコード等々を稼働環境へセットし、稼働可能な状態にすること インスタンス 稼働する仮想サーバーのことで、稼働数などの数を数える単位
  62. 62. AWS 62/264 6.AWSの価格 (1) AWSの価格について ・課金要素は、サーバー、ストレージ、データ転送 ・夜間や休日に稼働を止めて料金節約も可 課金要素 課金体系 サーバー 仮想サーバーの稼働時間に応じて時間単位で課金される。 選択するインスタンスファミリーやサイズに応じて時間単価 が異なるが、目安として一時間あたり2円程度。 未利用時に稼働を止めると課金されない。 ストレージ 容量1Gb単位に課金される。サービスにより値段が異なるが、 おおよその目安として1カ月1Gbの契約で約10円。 データ転送 同じデータセンター内での転送や、AWSへ向かう方向は無料。 AWSからインターネットへの転送は有料で、おおよそ1Gbあ たり20円程度。
  63. 63. AWS 63/264 6.AWSの価格 (2) AWSのインスタンスについて 利用特性に合わせて、 ・汎用(M5,M4,T2) ・コンピューティング最適化(C5,C4) ・メモリ最適化(R5,R4) などのインスタンスファミリーと、 ・サイズ(large,small など) を選択する https://aws.amazon.com/jp/ec2/instance-types/ インスタンス ファミリー (特性) 世代 サイズ micro、small、medium、large m5.xlarge 【参考】インスタンスタイプは 200以上が用意されている
  64. 64. AWS 64/264 6.AWSの価格 (3) インスタンスファミリーの価格 ・新しいインスタンスファミリーの方が高性能で安い ・アジアパシフィック(東京)のEC2メモリ最適化インスタンス の価格比較例 r5.xlarge r4.xlarge r3.xlarge $0.304 $0.320 $0.399 vCPU 4コア(ECU16.0) メモリ32.0GB vCPU 4コア(ECU13.5) メモリ30.5GB vCPU 4コア(ECU13.0) メモリ30.5GB R4の方が約20%安い R5の方が約24%安い
  65. 65. AWS 65/264 6.AWSの価格 (4) リージョンの価格 ・リージョンにより価格が異なる ・コンプライアンスやレイテンシなどの要件を踏まえつつ、 アジアパシフィック(東京)以外のリージョンも検討する EC2 x1e.xLarge の時間単価 アジアパシフィック (東京) 米国西部 (オレゴン) $38.688 $26.688 X1e.32xlargeの例では米国西部が31%安い
  66. 66. AWS 66/264 6.AWSの価格 (5) 購入オプション ・EC2の契約方法により価格が異なる ・AWSが提供する見積もりツールなどを活用する 契約方法 特徴 利用シーン オンデマンド インスタンス 初期費用なし コミットなし 従量課金 ピーク増減するWeb/Appサーバ 一時利用のキャンペーンサイト 昼にしか使わない開発サーバ リザーブド インスタンス 長期(1年,3年)の長期 利用により割引適用 (最大で75%引き) 常時稼働しているサーバ DB,キャッシュサーバ (最低限必要の)Web/Appサーバ スポット インスタンス AWSの余剰リソースを 安価に利用可能 分散処理のタスクノード、クローラ メディアプロセッシング
  67. 67. AWS 67/264 7.最低限押さえておくこと (1) 押さえておくべき項目1 ・最低限押さえておきたい10の項目 AWS Well-Architected Framework ホワイトペーパーより抜粋 No 押さえておくべきこと SEC 1 AWSルートアカウントには必ずMFA(他要素認証)を設定し、最小 限の利用に留める(極力使用しない) SEC 2 ユーザは各個人に固有の認証情報(IAMユーザ)を払い出し、必要 に応じた最小限の権限を付与する SEC 3 認証情報をハードコーディングせず、IAMロールを活用する SEC 4 セキュリティ関連のログ取得し、一元的に監視と分析をする SEC 6 各レイヤでのセキュリティ対策を実施する。アクセス設定
  68. 68. AWS 68/264 7.最低限押さえておくこと (1) 押さえておくべき項目2 ・最低限押さえておきたい10の項目 AWS Well-Architected Framework ホワイトペーパーより抜粋 No 押さえておくべきこと REL6 バックアップを取得し、定期的なリカバリテストでRTO・RPOを 満たすことを確認している REL7 マルチAZまたは複数リージョンでシステムが実行されている疎結 合なアーキテクチャを採用している。 障害を監視し自動的に回復する仕組みがある COST2 請求ダッシュボードやAWS Cost Explorerで積極的に使用料金を 把握し、分析している COST5 メトリクスに基づき、サイジングを実施している COST6 利用率を分析し、購入オプションを検討している。 リージョン毎の料金差も考慮している
  69. 69. AWS 69/264 8.ストレージの理解 (1) AWSのストレージを理解する 1 ・特性により、いくつかのストレージが用意されている ストレージ 特性 インスタンスストア 仮想サーバ(Amazon EC2)がインスタンス稼働中に使うロー カルストレージ。インスタンスを停止するとデータは消える EBS 仮想サーバ(Amazon EC2)にマウントで きるディスクサービ ス。インスタンスを停止してもデータを保持する S3 安価かつ高い耐久性を持つオンライン ストレージサービス Glacier 超安価かつ高い耐久性を持つコールドス トレージサービス StorageGateway オンプレミス環境と連携したバックアッ プ&ストレージサー ビス Zocalo マルチデバイス対応でフルマネージド型 の文書保存・共有 サービス
  70. 70. AWS 70/264 8.ストレージの理解 (1) AWSのストレージを理解する 2
  71. 71. AWS 71/264 8.ストレージの理解 (2) Amazon EBS 1
  72. 72. AWS 72/264 8.ストレージの理解 (2) Amazon EBS 1
  73. 73. AWS 73/264 8.ストレージの理解 (3) Amazon EBS 2
  74. 74. AWS 74/264 8.ストレージの理解 (4) インスタンスストアとEBS
  75. 75. AWS 75/264 8.ストレージの理解 (5) Amazon S3 1
  76. 76. AWS 76/264 8.ストレージの理解 (6) Amazon S3 2
  77. 77. AWS 77/264 8.ストレージの理解 (7) Amazon S3 3
  78. 78. AWS 78/264 8.ストレージの理解 (8) Amazon S3 4
  79. 79. AWS 79/264 8.ストレージの理解 (9) Amazon Clacier 1
  80. 80. AWS 80/264 8.ストレージの理解 (10) Amazon Clacier 2
  81. 81. AWS 81/264 8.ストレージの理解 (11) AWS StorageGateway 1
  82. 82. AWS 82/264 8.ストレージの理解 (12) AWS StorageGateway 2
  83. 83. AWS 83/264 8.ストレージの理解 (13) Amazon Zocalo 1
  84. 84. AWS 84/264 8.ストレージの理解 (14) Amazon Zocalo 2
  85. 85. AWS 85/264 9.AWSの構成イメージ (1) 構成例1 VPCをパブリック(公開用) とプライベート(非 公開)のサブネットに分割して配置した例
  86. 86. AWS 86/264 9.AWSの構成イメージ (2) 構成例2 各種ゲートウェイを配置し、通信可能な状態 にした例
  87. 87. AWS 87/264 9.AWSの構成イメージ (3) 構成例3 ELBで負荷分散した例
  88. 88. AWS 88/264 9.AWSの構成イメージ (4) 構成例4 プライベートサブネットにRDSを 配置し、マルチAZ構成した例
  89. 89. AWS 89/264 9.AWSの構成イメージ (5) 構成例5 S3のバケットにバックアップを 配置した例
  90. 90. AWS 90/264 9.AWSの構成イメージ (6) 構成例6 DNSとキャッシュサーバーを 配置した例
  91. 91. AWS 91/264 9.AWSの構成イメージ (7) 構成例7 WebサーバーとデータベースをEC2イン スタンスとし、S3にエラーページなどの 静的コンテンツを配置した例
  92. 92. AWS 92/264 9.AWSの構成イメージ (8) ネットワーク全体構成例
  93. 93. AWS 93/264 10.ハンズオン(IAM) (1) AWSマネジメントコンソールへのサインイン AWSマネジメントコンソールにサインインする 方法は2種類ある 1.AWS アカウントのルートユーザー認証情報を使用し、 AWS マネジメントコンソールにサインインする https://console.aws.amazon.com/console/home 2.AWS Identity and Access Management (IAM) ユーザー としてサインインする 専用 URL とアカウント認証情報を管理者から教えてもらう IAMユーザーでのサインインが推奨されている 今回のハンズオンでは、IAMの管理者権限ユーザーを作成する
  94. 94. AWS 94/264 10.ハンズオン(IAM) (2) AWSのIAMとは AWS Identity and Access Management (IAM) は、AWS リソースへ のアクセスを安全に管理する仕組み IAM を使用して、リソースを使用するために認証 (サインイン) され、 許可された (アクセス許可を持つ) ユーザーを制御します AWS アカウント ルートユーザーは、日常タスクでは使用せず、IAMの 機能を通すほうが安全 AWS のユーザーとグループを作成および管理し、アクセス権を使用し てリソースへのアクセスを許可/拒否できる
  95. 95. AWS 95/264 10.ハンズオン(IAM) (3) IAMの仕組み ・IAMユーザー(グループ) AWSを利用するアカウントで、主にAWSコンソール画面にログインを行う ときに人が利用する ・IAMポリシー IAMユーザやIAMロールにアタッチする、リソースへの操作権限を設定する ・IAMロール ユーザーやグループではなく、EC2などのサービスや他のアカウントに対して操作権限 を付与するための仕組み。例えば、EC2にRDSへの操作を行うアプリケーションを導入 する場合、EC2にRDSへのアクセス権限を記載したIAMロールをアタッチする。他アカ ウントにS3への接続を許可する場合には、自分のアカウントに他アカウント用のIAM ロールを作成しておくと、他のアカウントから「スイッチ」することで自アカウントの S3を操作することができるようになる。
  96. 96. AWS 96/264 10.ハンズオン(IAM) (4) IAMでアカウントを作成する ・AWSコンソールのIAMにアクセスし、 アカウントを作成してみよう 先ほどのハンズオンで登録したAWSアカウントでサインインし、 IAMアカウントを 作成します。 安全性を高めるため、AWSの利用は登録時のAWSアカウントではなく、IAMで作 成したIAMアカウントを使って操作を行います。
  97. 97. AWS 97/264 10.ハンズオン(IAM) (5) IAMの作成(管理者)1 AWS Identity and Access Management (IAM) で管理者アカウントを作成 https://docs.aws.amazon.com/ja_jp/mediapackage/latest/ug/setting-up-create-iam-user.html 1.AWSアカウントのルートユーザーでサインインし、IAM コンソールを開く https://console.aws.amazon.com/iam/ 2.ナビゲーションペインで [ユーザー]、[ユーザーを追加] の順に選択し、 管理者ユーザー名を「Administrator」と入力する 3. [AWS マネジメントコンソール access (アクセス)]を利用可能にする(チェックボックス) ユーザーセットに付与するアクセス許可は、プログラムによるアクセス、AWSマネジメント コンソールへのアクセス、またはその両方を選べる 4.[Next: Permissions (次へ: アクセス許可)] を選択し、[アクセス許可の設定] ページで、 [Add user to group (ユーザーをグループに追加)] を選択し、新しいユーザーに管理者権限の グループを割り当てる 管理者権限グループが未作成の場合、次の手順で管理者グループを作成する
  98. 98. AWS 98/264 10.ハンズオン(IAM) (6) IAMの作成(管理者)2 5.管理者権限を持つグループの作成 [Create group] を選択し、[グループの作成] ダイアログボックスで、[グループ名] に 「Administrators」と入力 [Filter policies (フィルタポリシー)] を選択し、次に [AWS managed -job function (AWS 管 理ジョブの機能] を選択してテーブルのコンテンツをフィルタリングする ポリシーリストで、[AdministratorAccess] のチェックボックスをオンにして[Create group] を 選択する 6.アクセス許可の境界を設定(オプション) 7.ユーザーにタグをつける(オプション) 8.[Create user] でユーザーを作成する
  99. 99. AWS 99/264 10.ハンズオン(IAM) (7) IAMの作成(一般)3 AWS Identity and Access Management (IAM) を作成してみよう https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/id_users_create.html#id_users_create_console 1.マネジメントコンソール にサインインし、IAM コンソールを開く https://console.aws.amazon.com/iam/ 2.ナビゲーションペインで [ユーザー]、[ユーザーを追加] の順に選択し、 新しいユーザーのユーザー名を入力する 3.ユーザーセットに付与するアクセス許可は、プログラムによるアクセス、AWSマネジメント コンソールへのアクセス、またはその両方を選べる 4.[Next: Permissions (次へ: アクセス許可)] を選択し、[アクセス許可の設定] ページで、 新しいユーザーにアクセス許可を割り当てる方法を指定する ・[ユーザーをグループに追加] ・[Copy permissions from existing user (既存ユーザーからアクセス許可をコピー)] ・[Attach existing policies to user directly (既存のポリシーをユーザーに直接アタッチ)]
  100. 100. AWS 100/264 10.ハンズオン(IAM) (8) IAMの作成(一般)4 5.アクセス許可の境界を設定(オプション) 6.ユーザーにタグをつける(オプション) 7.[Create user] でユーザーを作成する 8.シークレットアクセスキーをダウンロードする ユーザーのアクセスキー (アクセスキー ID とシークレットアクセスキー) を表示するには、 表示する各パスワードやアクセスキーの横にある [表示] をクリック。 アクセスキーを保存するには、[Download .csv] を選択し、ファイルを保存する。 * AWS API を使用するシークレットアクセスキーを表示またはダウンロードできるのはこのときだけ。 このステップを行った後に、シークレットキーに再度アクセスすることはできないので注意。 9.各ユーザーに、IAMに関する情報(ユーザー名、サインインページへのURL)を通知する
  101. 101. AWS 101/264 10.ハンズオン(IAM) (9) IAMで管理者アカウントを作成する AWSコンソールのIAMにアクセスし、管理者 アカウントを作成してみよう 1.AWS アカウントのルートユーザー認証情報を使用し、 AWS マネジメントコンソールにサインインする https://console.aws.amazon.com/console/home 2.AWS Identity and Access Management (IAM) の画面で 管理者権限のIAMユーザーを作成する
  102. 102. AWS 102/264 10.ハンズオン(IAM) (10) AWSマネジメントコンソールにサインイン サービス検索でIAMと入力
  103. 103. AWS 103/264 10.ハンズオン(IAM) (11) IAMのコンソールが開く 今回は先に管理者グループを作成する
  104. 104. AWS 104/264 10.ハンズオン(IAM) (12) IAMのグループ作成1 管理者グループを作成し、アカウントに割り当てる
  105. 105. AWS 105/264 10.ハンズオン(IAM) (13) IAMのグループ作成2 管理者グループ名を「Administrators」とする
  106. 106. AWS 106/264 10.ハンズオン(IAM) (14) IAMのグループ作成3 既存ポリシーは500以上が用意されているが、今回は管理者権限を 付与するので、最も強い権限を割り当てる ・AdministratorAccess 【注意】「請求とコスト管理」へのアクセス権は別に設定が必要となる
  107. 107. AWS 107/264 10.ハンズオン(IAM) (15) IAMのグループ作成4 ポリシーにAdministratorAccess が付与されていることを確認し、 グループを作成する
  108. 108. AWS 108/264 10.ハンズオン(IAM) (16) IAMのユーザー作成1 IAMの管理権限ユーザーを作成する →ユーザーを管理者グループに所属させると管理者権限を持つ
  109. 109. AWS 109/264 10.ハンズオン(IAM) (17) IAMのユーザー作成2 ユーザー名を入力する 今回は管理者ユーザー名を「administrator」とする
  110. 110. AWS 110/264 10.ハンズオン(IAM) (18) IAMのユーザー作成3 AWSマネジメントコンソールへのアクセスと、プログラムによる アクセスを許可
  111. 111. AWS 111/264 10.ハンズオン(IAM) (19) IAMのユーザー作成4 ユーザーを管理者権限を持つグループに追加する
  112. 112. AWS 112/264 10.ハンズオン(IAM) (20) IAMのユーザー作成5 ユーザーにタグを付ける(管理・追跡情報) キーと値をセットで登録する(最大50個まで) 【注意】 タグの命名規約は運用管理でかなり重要 IAMユーザーやロールにタグを付ける時は命名規約を慎重に決定する
  113. 113. AWS 113/264 10.ハンズオン(IAM) (21) IAMのユーザー作成6 ユーザーの情報に間違いがないか確認し、ユーザーを作成する
  114. 114. AWS 114/264 10.ハンズオン(IAM) (22) IAMのユーザー作成7 追加したユーザーに電子メールで情報を伝達する
  115. 115. AWS 115/264 10.ハンズオン(IAM) (23) IAMのユーザー作成8 追加したユーザーが登録されていることを確認する 【注意】 ここまでのハンズオンではまだMFA(多要素認証)が有効になっていません セキュリティー担保のためスマホなどのMFAデバイスの設定を行ってください
  116. 116. AWS 116/264 10.ハンズオン(IAM) (24) IAMの仕組み(全体像) EC2のインスタンスに割り当てるIAMロールを作成します その前にIAMの仕組みの全体像を見てみましょう AWS アカウント、IAM ユーザー、IAM グループ、IAM ロール、ポリシーの関係
  117. 117. AWS 117/264 10.ハンズオン(IAM) (25) IAMの仕組み1 ポリシーには2種類ある ・管理ポリシー 独立したポリシーで、エンティティ( ユーザー、グループロール )に 割り当てることができる ・インラインポリシー エンティティ( ユーザー、グループロール )に組み込まれたポリシー エンティティを削除するとポリシーも削除される JSON形式で自作できる IAMポリシーを設定する際は、最小限のアクセス権を付与するか、業 務の実行のために必要な機能にのみ絞ってアクセス権限を付与する
  118. 118. AWS 118/264 10.ハンズオン(IAM) (26) IAMの仕組み2 IAMポリシーには1つ以上のアクセス許可が関連付けられる
  119. 119. AWS 119/264 10.ハンズオン(IAM) (27) IAMの仕組み3 IAMポリシーのアクセス許可は、 ・どのAWSサービスの ・どのリソースに対して ・どういうアクションを許可するか を設定します アクセス許可の例: どのAWSサービス(EC2, RDS, S3 など)の、 どのリソース(EC2.instance image route-table, S3.bucket object, RDS.cluster db snapshot など)に対して、 どういったアクション(リスト, 読込み, 書込み, アクセス権限の管理, すべて など) を許可 するか
  120. 120. AWS 120/264 10.ハンズオン(IAM) (28) IAMの仕組み4 IAMユーザーに、複数のIAMポリシーを関連付けできる (が、IAMグループを使った方が管理は楽になる)
  121. 121. AWS 121/264 10.ハンズオン(IAM) (29) IAMの仕組み5 IAMグループには複数のIAMポリシーを関連付けできる IAMグループには複数のIAMユーザーを所属させられる
  122. 122. AWS 122/264 10.ハンズオン(IAM) (30) IAMの仕組み6 IAMロールに複数のIAMポリシーを関連付けできる AWSサービスにひとつのIAMロールを関連付けできる (インスタンスへの関連付けはインスタンスプロファイルを使用する)
  123. 123. AWS 123/264 10.ハンズオン(IAM) (32) IAMの仕組み7 IAMロール IAMロールをAmazon EC2のロールに割り当てれば、キーを使用しなくてもアクセス権 限が得られ、キーの流出リスクがなくなる さらに、キーの定期的な変更などの管理が楽になる IAMロールは、AssumeRoleにアクセスすることで設定する 各ユーザーに対して個別に権限を設定しなくても、リソースに対してアクセスの許可/ 拒否を設定できるため非常に効率的 IAMロールは、アカウント間でアクセス権を委任する際にも使用する ・AWSサービスロール(AWSサービスにアクセス許可を委任するロール) ・クロスアカウントアクセスのロール(あるアカウントのアクセス権限を別のアカウン トにクロスアカウントすることで新たにIAMユーザーを作らなくても権限を管理可能) ・IDプロバイダアクセス用のロール(AWS外部ユーザーIDを管理して、アクセス許可 を付与できる)
  124. 124. AWS 124/264 10.ハンズオン(IAM) (31) IAMの仕組み8 AWSサービスにIAMロールを関連付けすると何がいいのか? EC2インスタンスにIAMロールを設定するという事は、EC2インスタン スそのものに「AWSサービスへアクセス可能な権限を設定する」とい うこと RDSやS3を操作するために、Webアプリケーションの設定ファイルに アクセスキーとシークレットアクセスキーの記述が不要となりセキュ リティーが高まる ユースケース: ・EC2やLambdaから、S3,DynamoDB,SQS,SNSなどにアクセスする ・マネジメントコンソールにフェデレーションアクセスする ・Cognitoと組み合わせて、アクセスするAPIを制御する
  125. 125. AWS 125/264 10.ハンズオン(IAM) (32) IAMの仕組み9 IAMの設定手順
  126. 126. AWS 126/264 10.ハンズオン(IAM) (33) IAMロールの作成1 EC2に設定するIAMロールを作成してみよう 1.AWSマネジメントコンソールに管理者権限のIAMアカウントでサ インインする 2.「IAM」のダッシュボードを選択し、新規ロールを作成する 3.ロールを割り当てるエンティティ―を選択する
  127. 127. AWS 127/264 10.ハンズオン(IAM) (33) IAMロールの作成2 「IAM」のダッシュボードで「ロール」を選択し、「ロールの作成」 で新しいロールを作成する
  128. 128. AWS 128/264 10.ハンズオン(IAM) (34) IAMロールの作成3 ロールを割り当てるエンティティ―を選択する 今回はAWSサービスのEC2のユースケースを指定する
  129. 129. AWS 129/264 10.ハンズオン(IAM) (35) IAMロールの作成4 アタッチするポリシーを選択する 今回は、EC2とRDS,S3へのフルアクセスを設定します 「ポリシーのフィルタ」で必要なポリシーを検索し、チェックを入れ て選択します
  130. 130. AWS 130/264 10.ハンズオン(IAM) (36) IAMロールの作成5 ロールにタグを付ける(管理・追跡情報) キーと値をセットで登録する(最大50個まで) 【注意】 タグの命名規約は運用管理でかなり重要 IAMユーザーやロールにタグを付ける時は命名規約を慎重に決定する
  131. 131. AWS 131/264 10.ハンズオン(IAM) (37) IAMロールの作成6 ロールに名前を付けて作成する
  132. 132. AWS 132/264 10.ハンズオン(IAM) (38) IAMロールの作成7 ロールが作成できました これでIAMのハンズオンは終了です
  133. 133. AWS 133/264 11.EC2の前にVPC (1) AWSのEC2を使ってみよう EC2(Amazon Elastic Compute Cloud)とは、インスタ ンスと呼ばれる仮想コンピューティング環境のこと このハンズオンでは、EC2でLinuxサーバーを構築し、 Webサーバーを立ち上げます その前に、必須となる知識としてVPCやAWSのネットワー ク機能を理解する必要があります
  134. 134. AWS 134/264 11.EC2の前にVPC (2) VPCとは ・Amazon VPC(Virtual Private Cloud)は、ユーザー専用のプライベートな クラウド環境を提供するサービス ・EC2インスタンス同士を接続する仮想ネットワークであり、VPCの内部に IPサブネットを構築してその中に、EC2やRDSなどのリソースを配置する ・設計の自由度が高く、ネットワークを構築してさまざまな外部通信が可能 (セキュリティグループ、ネットワークACL)でセキュリティを設定可能 【VPC設計上の留意点】 ・オンプレミス環境も含め、全てのVPCでプライベートIPアドレスの重複なく CIDR blockを定義すること ・VPCはできるだけ大きく作り、サブネットに割り当てていないCIDR blockを 確保しておくこと(サブネット追加の拡張性確保のため)
  135. 135. AWS 135/264 11.EC2の前にVPC (3) ゲートウェイについて インターネットGateway VPC内からインターネットに接続するためのゲートウェイ。VPC内のシステムが グローバルIPを使えるようになる。 Virtual Private Gateway オンプレミス環境に接続するためのゲートウェイ。自社とVPCを接続するとき使用 NAT Gateway VPC内に構成したプライベートサブネットからインターネットに接続するための ゲートウェイ。プライベートIPをNATゲートウェイが持つグローバルIPに変換し、 外部と通信する AWS Direct Connect AWSへの専用線サービスで、自社のサーバーとVPN接続する時に使用する Shared VPC VPCを複数のAWSアカウントで共有できる
  136. 136. AWS 136/264 11.EC2の前にVPC (4) VPCエンドポイント1 VPCエンドポイント インターネットゲートウェイやNATゲートウェイ、NATインスタンス などを経由することなく、VPCと他のAWSのサービスとをプライ ベートに接続できるサービス。実態は仮想デバイス EC2 インスタンスからS3へのアクセス経路(VPCエンドポイントなし、アリの場合)
  137. 137. AWS 137/264 11.EC2の前にVPC (5) VPCエンドポイント2 VPCエンドポイント ゲートウェイ: ルートテーブルで送信先に対するターゲットと して指定する。ルーティング設定が必要となる アクセス制御はゲートウェイのアクセスポリ シー VPCエンドポイント インタフェース: PrivateLinkと呼ばれ、実態はプライベートア ドレスを持つENI アクセス制御はセキュリティーグループ
  138. 138. AWS 138/264 11.EC2の前にVPC (6) セキュリティーグループとネットワークACL 1 【ルートテーブル】 ネットワークのパケットのルーティングは「ルートテーブル」で設定する サブネットには、ひとつのルートテーブルを関連付けできる 【セキュリティーグループ】 ステートフルなファイアウォールで、インスタンスに設定する ホワイトリスト形式(許可のルールを設定) 【ネットワークACL】 ステートレスなファイアウォールで、サブネットに設定する サブネットには、ひとつのネットワークACLを関連付けできる ブラックリスト型(アクセス拒否のルールを設定) *ネットワークACLで緩い設定をし、セキュリティーグループで厳しめのセキュリティーをかけると管理しやすい
  139. 139. AWS 139/264 11.EC2の前にVPC (7) セキュリティーグループとネットワークACL 2
  140. 140. AWS 140/264 11.EC2の前にVPC (8)セキュリティーグループとネットワークACL 3 項目 セキュリティグループ ネットワークACL 主な機能 サーバ(EC2等)との通信のアクセス制御 サブネット間を跨ぐ通信のアクセス制御 適用先 各インスタンス (EC2、RDS、ELBなど) に適 用。インスタンス単位 サブネットに適用 State ステートフル(通信の復路は動的に許可され る) ステートレス(通信の復路も明示的に許可設定が必要) ルール ホワイトリスト方式(許可のみ追加可能) ホワイトリスト方式/ブラックリスト方式 ・原則拒否して許可のみ追加(ホワイトリスト) ・原則許可して拒否のみ追加(ブラックリスト) 適用順番 定義したルールをすべて適用 上から順にルールを適用 方向 in と out で個別にルール設定可 in と out で個別にルール設定可 インスタンス管理者がセキュリティグループを 適用すればその管理下になる サブネット内のすべてのインスタンスがACLの管理下に 入る デフォルト ・セキュリティグループ外からのインバウンドはすべて拒否 ・セキュリティグループ外へのアウトバウンドはすべて許可 ・セキュリティグループ内はインバウンド、アウトバウンド共に許可 ・インバウンド、バウトバウンドすべて許可。(デフォルトのACL) ・インバウンド、バウトバウンドすべて拒否。(カスタムのACL)
  141. 141. AWS 141/264 11.EC2の前にVPC (9) セキュリティーグループの設定例 インバウンド タイプ プロトコル ポート範囲 ソース HTTP TCP 80 0.0.0.0/0 HTTPS TCP 443 0.0.0.0/0 SSH TCP 22 0.0.0.0/0 上記の設定だと、すべての送信元からのHTTP,HTTPS,SSHのトラフィックを中に通す設定となる アウトバウンド タイプ プロトコル ポート範囲 送信先 すべて すべて すべて 0.0.0.0/0 上記の設定だと、すべての送信先へすべてのトラフィックを外に通す設定となる
  142. 142. AWS 142/264 11.EC2の前にVPC (10) ネットワークACLの設定例 インバウンド ルール 番号 タイプ プロトコル ポート範囲 送信元 許可/拒否 100 すべてのトラフィック すべて すべて 0.0.0.0/0 ALLOW * すべてのトラフィック すべて すべて 0.0.0.0/0 DENY 上記の設定だと、すべての送信元からのトラフィックを中に通す設定となる (ルールは上に記述したものが優先される) アウトバウンド ルール 番号 タイプ プロトコル ポート範囲 送信先 許可/拒否 100 すべてのトラフィック すべて すべて 0.0.0.0/0 ALLOW * すべてのトラフィック すべて すべて 0.0.0.0/0 DENY 上記の設定だと、すべての送信先へのトラフィックを外に通す設定となる (ルールは上に記述したものが優先される)
  143. 143. AWS 143/264 11.EC2の前にVPC (11) EC2配置前にVPCでネットワーク構成 EC2インスタンス作成時にVPCも構成できますが、 今回はあらかじめVPCでネットワークを構成し、 そこにEC2インスタンスを配置します
  144. 144. AWS 144/264 ■インターネットに接続するサブネットの設定方法 1.VPCにInternet Gatewayをアタッチする 2.ルートテーブルでプロトコルとポートの設定を行う 3.ルートテーブルをサブネットに関連付け、アウトバウンド がInternet Gatewayを指すように設定する 4.サブネット内のEC2インスタンスにパブリックIP アドレスまたはElastic IPアドレスを適用する 5.Security GroupとNACLを組み合わせて、 EC2インスタンスの関連トラフィックを制御する 12.ハンズオン(VPC) (1) VPCのネットワーク設定手順
  145. 145. AWS 145/264 12.ハンズオン(VPC) (2) ハンズオンで作成するシステム構成 シンプルなLinuxサーバーをパブリックサブネット上に構築します。 (今回、プライベートサブネットは未使用とする) AWS VPC KIS-edu-vpc01 10.10.0.0/16 Availability Zone : ap-northeast-1-a パブリックサブネット : KIS-edu-Pub-Subnet01 10.10.1.0/24 EC2 KIS-edu-Web00 Linux Nginx インターネットゲートウェイ KIS-edu-IGW01 EC2 KIS-edu-Web01 EC2 KIS-edu-Web02 ルートテーブル KIS-edu-RT-Pub01
  146. 146. AWS 146/264 12.ハンズオン(VPC) (3) システム構成 パブリックサブネットにEC2インスタン スを立ち上げ、インターネットに接続す るシンプルな構成 今回はこの部分だけ作成するイメージ
  147. 147. AWS 147/264 12.ハンズオン(VPC) (4) VPCの設定:VPCウィザード VPCの設定は、AWSマネジメントコンソールのVPCダッシュボード で行う 「VPCウィザード」では、一般的なVPCの構成を作成できるように なっている 希望のネットワーク構成があれば、それを使うほうが簡単 VPCの設定は、4つの基本パターンから選択できる ・1個のパブリックサブネット ・パブリックとプライベートサブネット ・パブリックとプライベートサブネットおよびハードウェアVPNアクセス ・プライベートのサブネットのみで、ハードウェアVPNアクセス 今回はVPCウィザードのハンズオンは 実施しません VPCウィザード 参考資料
  148. 148. AWS 148/264 12.ハンズオン(VPC) (5) VPCウィザード: VPC設定の選択1 ・1個のパブリックサブネットを持つVPC インターネットに直接アクセスできる AWS クラウドの分離されたプライベート空間でインスタンスは 実行されます。インスタンスのインバウンドおよびアウトバウンドのネットワークトラフィックを厳重 に管理するには、ネットワークアクセス ACL とセキュリティグループを使用します。 作成: /24 サブネットを持つ /16 ネットワークです。パブリックサブネットインスタンスは Elastic IP または パブリック IP を使用してインターネットにアクセスします。 VPCウィザード 参考資料
  149. 149. AWS 149/264 12.ハンズオン(VPC) (6) VPCウィザード: VPC設定の選択2 ・パブリックとプライベートサブネットを持つVPC この設定は、パブリックサブネットに加えて、インスタンスにインターネットからアドレスを指定できないプラ イベートサブネットを追加します。プライベートサブネットのインスタンスでは、ネットワークアドレス変換 (NAT) を使用してパブリックサブネットを介してインターネットへのアウトバウンド接続を確立できます。 作成: 2 個の /24 サブネットを持つ /16 ネットワークです。パブリックサブネットインスタンスは Elastic IP を使用 してインターネットにアクセスします。プライベートサブネットインスタンスは、ネットワークアドレス変換 (NAT) を介してインターネットにアクセスします。(NAT デバイスには時間単位料金がかかります。) VPCウィザード 参考資料
  150. 150. AWS 150/264 12.ハンズオン(VPC) (7) VPCウィザード: VPC設定の選択3 ・パブリックとプライベートサブネットおよびハードウェアVPNアク セスを持つVPC この設定は、Amazon VPC とデータセンターの間に IPsec 仮想プライベートネットワーク (VPN) 接続を追加し て、実質的にデータセンターをクラウドに拡張すると同時に、Amazon VPC のパブリックサブネットのインスタ ンスがインターネットに直接アクセスできるようにします。 作成: 2 個の /24 サブネットを持つ /16 ネットワークです。1 個のサブネットはインターネットに直接接続され、も う 1 個のサブネットは IPsec VPN トンネルを介して企業ネットワークに接続されます(VPN の料金が適用され ます) 。 VPCウィザード 参考資料
  151. 151. AWS 151/264 12.ハンズオン(VPC) (8) VPCウィザード: VPC設定の選択4 ・プライベートのサブネットのみで、ハードウェアVPNアクセスを 持つVPC インターネットからアドレスを指定できないプライベートサブネットを持った AWS クラウドの分離さ れたプライベート空間でインスタンスは実行されます。このプライベートサブネットは、IPsec の VPN トンネル経由で自社データセンターに接続できます。 作成: /24 サブネットを持つ /16 ネットワークで、Amazon VPC と企業ネットワークの間で IPsec VPN トン ネルをプロビジョニングします。(VPN の料金が適用されます。) VPCウィザード 参考資料
  152. 152. AWS 152/264 12.ハンズオン(VPC) (9) VPCウィザード: VPC設定の選択5 今回のハンズオンでは「1個のパブリックサブネットを持つVPC」 を作成する VPCウィザード 参考資料
  153. 153. AWS 153/264 12.ハンズオン(VPC) (10) VPCウィザード: VPC設定 ステップ1 今回のハンズオンでは「1個のパブリックサブネットを持つVPC」 を作成する VPCウィザード 参考資料
  154. 154. AWS 154/264 12.ハンズオン(VPC) (11) VPCウィザード: VPC設定 ステップ2 VPC名、アベイラビリティーゾーン、サブネット名を入力し、VPC を作成する VPCウィザード 参考資料
  155. 155. AWS 155/264 12.ハンズオン(VPC) (12) VPCウィザード: VPC設定 ステップ2 VPCが作成されたことを確認する VPCウィザード 参考資料
  156. 156. AWS 156/264 12.ハンズオン(VPC) (13) VPCウィザード: VPC設定 ステップ2 作成したVPCの内容を確認する 作成したサブネット内にインスタンスを配置します VPCウィザード 参考資料
  157. 157. AWS 157/264 12.ハンズオン(VPC) (14) VPCの削除1 VPCダッシュボードでVPCを削除する 「VPCの作成」から「VPCの削除」を選択する VPCの削除 参考資料 今回はVPC削除のハンズオンは 実施しません
  158. 158. AWS 158/264 12.ハンズオン(VPC) (15) VPCの削除2 VPCにインスタンスが配置されていたり、使用中のネットワークイ ンタフェースがあれば、VPCは削除できない VPCの削除 参考資料
  159. 159. AWS 159/264 12.ハンズオン(VPC) (16) VPCの削除3 VPCダッシュボードで、空にしたVPCを削除する 「VPCの作成」から「VPCの削除」を選択する VPCの削除 参考資料
  160. 160. AWS 160/264 12.ハンズオン(VPC) (17) VPCを手動で作成する 講師から指示のあったURLへアクセスし、必要な情報を入力する 先ほど作成したIAMユーザーでAWSにサインインします
  161. 161. AWS 161/264 12.ハンズオン(VPC) (18) AWSマネジメントコンソール IAMアカウントでサインインしていることを確認
  162. 162. AWS 162/264 12.ハンズオン(VPC) (19) VPCダッシュボード1 サービス検索で「VPC」を探し、VPCダッシュボードを表示する
  163. 163. AWS 163/264 12.ハンズオン(VPC) (20) VPCダッシュボード2 VPCダッシュボードの「VPC」を選択する アジアパシフィック(東京)リージョンになっていることを確認
  164. 164. AWS 164/264 12.ハンズオン(VPC) (21) VPCウイザードを使わずにVPCを設定 VPCダッシュボードの「VPC」を選択し、「VPCの作成」を選択 アジアパシフィック(東京)リージョンになっていることを確認
  165. 165. AWS 165/264 12.ハンズオン(VPC) (22) VPCの作成1 VPCダッシュボードの「VPC」を選択し、「VPCの作成」を選択 1.「名前タグ」と「IPv4 CIDR ブロック」に値を入力する 2.「作成」を選択
  166. 166. AWS 166/264 12.ハンズオン(VPC) (23) VPCの作成2 新しいVPCが作成されたことを確認し、「閉じる」を選択
  167. 167. AWS 167/264 12.ハンズオン(VPC) (24) VPCの作成3 新しいVPCを作成したので、次はサブネットを作成する 「サブネット」を選択
  168. 168. AWS 168/264 12.ハンズオン(VPC) (25) サブネットの作成1 サブネットを作成する 「サブネットの作成」を選択
  169. 169. AWS 169/264 12.ハンズオン(VPC) (26) サブネットの作成2 サブネットの情報を設定し、「作成」を選択 ・名前タグ ・VPC ・アベイラビリティーゾーン ・IPv4 CIDR ブロック
  170. 170. AWS 170/264 12.ハンズオン(VPC) (27) サブネットの作成3 新しいサブネットが作成されたことを確認し、「閉じる」を選択
  171. 171. AWS 171/264 12.ハンズオン(VPC) (28) サブネットの作成4 新しいサブネットを作成できたのを確認する
  172. 172. AWS 172/264 12.ハンズオン(VPC) (29) サブネットの作成5 サブネット上に配置したインスタンスに、IPアドレスを自動割り当 てする場合、IPアドレスの自動割り当てを有効化しておく
  173. 173. AWS 173/264 12.ハンズオン(VPC) (30) サブネットの作成6 サブネット上に配置したインスタンスに、IPアドレスを自動割り当 てする場合、IPアドレスの自動割り当てを有効化しておく
  174. 174. AWS 174/264 12.ハンズオン(VPC) (31)サブネットの作成7 新しいサブネットを作成したので、次はインターネット側へ接続で きるように、インターネットゲートウェイを作成し、割当てる 「インターネットゲートウェイ」を選択
  175. 175. AWS 175/264 12.ハンズオン(VPC) (32) インターネットゲートウェイの作成1 サブネットからインターネット側へ接続できるように、インター ネットゲートウェイを作成し、割当てる 「インターネットゲートウェイの作成」を選択
  176. 176. AWS 176/264 12.ハンズオン(VPC) (33) インターネットゲートウェイの作成2 インターネットゲートウェイの情報を設定し、「作成」を選択 ・名前タグ
  177. 177. AWS 177/264 12.ハンズオン(VPC) (34) インターネットゲートウェイの作成3 新しいインターネットゲートウェイが作成されたことを確認し、 「閉じる」を選択
  178. 178. AWS 178/264 12.ハンズオン(VPC) (35) インターネットゲートウェイの作成4 新しいインターネットゲートウェイの情報を確認する まだ割当てしてないので、状態は「detached」になっている
  179. 179. AWS 179/264 12.ハンズオン(VPC) (36) インターネットゲートウェイの作成5 VPCとインターネットゲートウェイをアタッチして、インターネッ トへ接続できるようにします 「アクション」を選択し、次に「VPCにアタッチ」を選択
  180. 180. AWS 180/264 12.ハンズオン(VPC) (37)インターネットゲートウェイの作成6 インターネットゲートウェイにアタッチするVPCを設定します アタッチするVPCを設定し、「アタッチ」を選択
  181. 181. AWS 181/264 12.ハンズオン(VPC) (38) インターネットゲートウェイの作成7 インターネットゲートウェイがVPCにアタッチされたことを確認 次は、ルートテーブルの設定を行う
  182. 182. AWS 182/264 12.ハンズオン(VPC) (39) ルートテーブルの設定1 ネットワークのルーティングを設定するのが「ルートテーブル」 作成したルートテーブルをサブネットに割当てることで、サブネットの ネットワークをコントロールする 各サブネットはルートテーブルを一つだけ持つことが可能 送信先 ターゲット 10.10.0.0/16 VPC内のすべてのIPアドレス Local VPC内に送信する 0.0.0.0/0 すべてのアドレス (ルールは上から評価されるため、この時点で、条件 としてはVPC以外のIPアドレスということになる) インターネットゲートウェイのIPア ドレス (送信先がVPC以外なら、インターネットに出て行く ことになる) ■インターネットに接続するためのルートテーブルの設定例
  183. 183. AWS 183/264 12.ハンズオン(VPC) (40) ルートテーブルの設定2 ネットワークのルーティングを設定する、「ルートテーブル」を作 成する 「ルートテーブル」で「ルートテーブルの作成」を選択
  184. 184. AWS 184/264 12.ハンズオン(VPC) (41) ルートテーブルの設定3 ルートテーブルの「名前タグ」を設定する 設定するVPCを選択 「作成」を押してルートテーブルを作成する
  185. 185. AWS 185/264 12.ハンズオン(VPC) (42) ルートテーブルの設定4 ルートテーブルの「名前タグ」を設定する 設定するVPCを選択 「作成」を押してルートテーブルを作成する
  186. 186. AWS 186/264 12.ハンズオン(VPC) (43) ルートテーブルの設定5 ルートテーブルが作成されたことを確認し「閉じる」を選択
  187. 187. AWS 187/264 12.ハンズオン(VPC) (44) ルートテーブルの設定6 作成されたルートテーブルにルートの設定を行う 作成したルートテーブルを選択し、「ルート」タグを開く
  188. 188. AWS 188/264 12.ハンズオン(VPC) (45) ルートテーブルの設定7 「ルート」タグで「ルートの編集」を選択し、ルートを追加する デフォルトの状態では、送信先:10.10.0.0/16、ターゲット:local だけが設定されてる (VPC内のホストが送信先だったら、VPC内にネットワークパケットを流すという設定の意味) 追加されたルートは上から順に評価される(上位のルールが優先される)
  189. 189. AWS 189/264 12.ハンズオン(VPC) (46) ルートテーブルの設定8 「ルートの編集」で「ルートの追加」を選択し、ルート設定を追加 デフォルトの状態では、送信先:10.10.0.0/16、ターゲット:local だけが設定されてる (VPC内のホストが送信先だったら、VPC内にネットワークパケットを流すという設定の意味) 追加されたルートは上から順に評価される(上位のルールが優先される)
  190. 190. AWS 190/264 12.ハンズオン(VPC) (47) ルートテーブルの設定9 「ルートの編集」で「ルートの追加」を選択し、ルート設定を追加 デフォルトの状態では、送信先:10.10.0.0/16、ターゲット:local だけが設定されてる (↑VPC内のホストが送信先だったら、VPC内にネットワークパケットを流すという設定の意味) 追加されたルートは上から順に評価される(上位のルールが優先される)
  191. 191. AWS 191/264 12.ハンズオン(VPC) (48) ルートテーブルの設定10 送信先に 0.0.0.0/0(すべてのアドレス)を設定し ターゲットは 「internet Gateway」を指定する Internet GateWay を指定すると、作成済のインターネットゲートウェイが選択画面に表示される
  192. 192. AWS 192/264 12.ハンズオン(VPC) (49) ルートテーブルの設定11 送信先に 0.0.0.0/0(すべてのアドレス)を設定し ターゲットは 「internet Gateway」を指定する Internet GateWay を指定すると、作成済のインターネットゲートウェイが選択画面に表示される 設定したいインターネットゲートウェイを設定し、「ルートの保存」を押す
  193. 193. AWS 193/264 12.ハンズオン(VPC) (50) ルートテーブルの設定12 ルートが編集されたので、「閉じる」を押す
  194. 194. AWS 194/264 12.ハンズオン(VPC) (51) ルートテーブルの設定13 ルートが追加されたことを確認する 送信先 ターゲット 10.10.0.0/16 VPC内のすべてのIPアドレス Local VPC内に送信する 0.0.0.0/0 すべてのアドレス (ルールは上から評価されるため、この時点で、条件 としてはVPC以外のIPアドレスということになる) インターネットゲートウェイ (送信先がVPC以外なら、インターネットに出て行くこ とになる)
  195. 195. AWS 195/264 12.ハンズオン(VPC) (52) ルートテーブルの設定14 作成したルートテーブルにサブネットを割り当てる 「サブネットの関連付け」タグで設定する 「サブネットの関連付けの編集」を選択する
  196. 196. AWS 196/264 12.ハンズオン(VPC) (53) ルートテーブルの設定15 作成したルートテーブルにサブネットを割り当てる サブネットを割当てて「保存」を押す
  197. 197. AWS 197/264 12.ハンズオン(VPC) (54) ルートテーブルの設定16 ルートテーブルにサブネットが割り当てられているか確認する 「サブネットの関連付け」で確認する
  198. 198. AWS 198/264 12.ハンズオン(VPC) (55) デフォルトVPC デフォルト VPC では、独自の VPC とサブネットを作成および設定することなく、 Amazon EC2 リソースを起動できる。 各アベイラビリティーゾーン、インターネットゲートウェイ、およびインターネット ゲートウェイへのルートを持つルートテーブルで、デフォルトサブネットがあるデ フォルト VPC が作成される。 必要ならデフォルトVPCを作成する(設定画面は省略)
  199. 199. AWS 199/264 13.ハンズオン(EC2) (1) AWSのEC2を使ってみよう これまで作成したAWS環境を使って、EC2の仮想サーバーを立ち上げます EC2(Amazon Elastic Compute Cloud)の機能 • インスタンスと呼ばれる仮想コンピューティング環境 • サーバーに必要なOSやアプリをパッケージ化した Amazon Machine Image (AMI) と呼ばれる、インスタンス用に 事前に設定されたテンプレート • インスタンスタイプと呼ばれる、 CPU、メモリ、ストレージ、ネットワーキングキャパシティーのさまざまな構成 • キーペアを使用した安全なログイン情報(AWS はパブリックキーを保存し、ユーザーはプライベートキーを保存) • インスタンスを停止または終了するときに削除される一時データ用のストレージボリューム • Amazon Elastic Block Store (Amazon EBS) を使用したデータ用の永続的ストレージボリューム • リージョンおよびアベイラビリティーゾーンと呼ばれるリソース用の複数の物理的な場所 • セキュリティグループを使用した、プロトコル、ポート、ソース IP 範囲を指定できるファイアウォール • Elastic IP アドレスと呼ばれる、動的クラウドコンピューティング用の静的な IPv4 アドレス • タグと呼ばれ、作成して Amazon EC2 リソースに割り当てることができるメタデータ • 残りの AWS クラウドから論理的に分離され、ユーザー独自のネットワークにオプションで接続できる、仮想 プライベートクラウド (VPC) と呼ばれる仮想ネットワーク
  200. 200. AWS 200/264 13.ハンズオン(EC2) (2) EC2仮想サーバー構築での考慮事項 【構築に際しての考慮事項】 1.IAMユーザーの定義 2.セキュリティーグループ(ファイアウォール)を設定 3.ストレージタイプの決定 4.VPCネットワーク構成、IPアドレスの決定 5.全体構成の設計とサービスの組み合わせ 6.バックアップとリカバリの設計 7.データの分散配置
  201. 201. AWS 201/264 13.ハンズオン(EC2) (3) EC2前準備 EC2で仮想マシンを作成する前に、事前準備を行う 1.IAMユーザーを作成(作成済み) 2.セキュリティーグループを作成 * 3.キーペアを作成(ハンズオンで作成する) 4.VPCネットワークを構成(作成済み) *今回のハンズオンでは、EC2を作成時に生成します。
  202. 202. AWS 202/264 13.ハンズオン(EC2) (4) AWSのEC2を作成する Linuxの仮想マシンを作成し、Webサーバーを立ち上げてみよう。 1.AWSコンソールにログインする 今回はIAMユーザー(研修用アカウント)でログインします URLとユーザー名/パスワードは講師の指示に従ってください 【参考資料】 ■Amazon Elastic Compute Cloud Linux インスタンス用ユーザーガイド https://docs.aws.amazon.com/ja_jp/AWSEC2/latest/UserGuide/ec2-ug.pdf
  203. 203. AWS 203/264 13.ハンズオン(EC2) (5) EC2のインスタンス作成手順 1.AWSにサインアップし、コンソールの「EC2」を選択 2.AMI(マシンイメージ)を選ぶ 3.インスタンスタイプを選ぶ 4.インスタンスの詳細設定 5.ストレージを設定する 6.タグを追加する 7.セキュリティーグループを設定する 8.インスタンス作成の確認 9.キーペアを選択する 10.インスタンスを生成する 11.SSHで接続確認する(KIS社内ネットワークからは利用不可) 12.Webサーバーをインストールする 13.クライアントからWebサーバーに接続する
  204. 204. AWS 204/264 13.ハンズオン(EC2) (6) 研修用アカウントでサインイン 講師から指示のあったURLへアクセスし、必要な情報を入力する
  205. 205. AWS 205/264 13.ハンズオン(EC2) (7) AWSマネジメントコンソール IAMアカウントでサインインしていることを確認
  206. 206. AWS 206/264 13.ハンズオン(EC2) (8) 「EC2」を選択する AWSコンソールで「仮想マシンを起動する」を選択する
  207. 207. AWS 207/264 13.ハンズオン(EC2) (9) STEP1:AMI(マシンイメージ)を選ぶ 起動するインスタンスのテンプレート(AMI)を選択する
  208. 208. AWS 208/264 13.ハンズオン(EC2) (10) AMI(マシンイメージ)1 AMIは、立ち上げるインスタンスの定義をまとめたひな形 OSやインストールアプリ、設定などの情報をパッケージしたもの たくさんの種類のAMIが提供されている AMIを使うと、同じ設定のインスタンスを簡単に作成できる
  209. 209. AWS 209/264 13.ハンズオン(EC2) (11) AMI(マシンイメージ)2 無償で提供されているものもあれば、販売されているものもある 自分自身が独自に作った構成をAMIとして作成することも可能 有償のAMIを使用する時は、料金体系を確認する AMIの種類 内容 マイAMIと共有AMI 自分で作成したAMI 他人が共有してくれたAMI AWS Marketplace マーケットプレイスで販売されているもの SAPやMicrosoft製品がセットアップされたもの や、OSS製AMIなどがある コミュニティーAMI コミュニティーで公開されているAMI
  210. 210. AWS 210/264 13.ハンズオン(EC2) (12) STEP2:インスタンスタイプを選択する 今回は、無料枠の「t2.micro」を選択する
  211. 211. AWS 211/264 13.ハンズオン(EC2) 【おさらい】AWSのインスタンスについて 利用特性に合わせて、 ・汎用(M5,M4,T2) ・コンピューティング最適化(C5,C4) ・メモリ最適化(R5,R4) などのインスタンスファミリーと、 ・サイズ(large,small など) を選択する https://aws.amazon.com/jp/ec2/instance-types/ インスタンス ファミリー (特性) 世代 サイズ micro、small、medium、large t2.micro
  212. 212. AWS 212/264 13.ハンズオン(EC2) (13) STEP3:インスタンスの設定1 ステップ3:インスタンスの詳細の設定 で必要な情報を設定 全体の設定項目 詳細は次のスライドで
  213. 213. AWS 213/264 13.ハンズオン(EC2) (14) STEP3:インスタンスの設定2 ステップ3:インスタンスの詳細の設定 で必要な情報を設定 全体の1/2設定項目 2/2は次のスライドで
  214. 214. AWS 214/264 13.ハンズオン(EC2) (15) STEP3:インスタンスの設定3 ステップ3:インスタンスの詳細の設定 で必要な情報を設定 全体の2/2設定項目
  215. 215. AWS 215/264 以下の設定項目を変更する 他の設定はそのまま (変更すると有償になるものアリ) ・ネットワーク 作成したVPCを設定 ・サブネット インスタンスを配置するサブネット ・自動割り当てパブリックIP 「有効」 ・IAMロール 作成したロールを設定 13.ハンズオン(EC2) (16) STEP3:インスタンスの設定2
  216. 216. AWS 216/264 13.ハンズオン(EC2) (17) STEP4:ストレージの追加 ストレージの追加はせず、そのまま (不用意に増やすと有償となる)
  217. 217. AWS 217/264 13.ハンズオン(EC2) (18) STEP5:タグの追加1 管理しやすいようにタグを付ける 命名規約はケバブケースを推奨(kebab-case) 【注意】 タグの命名規約は運用管理でかなり重要 命名規約を慎重に決定する(あとから追跡しやすいように)
  218. 218. AWS 218/264 13.ハンズオン(EC2) (19)【参考】命名規則について AWSの命名規約はケバブケースを推奨(kebab-case) 命名規約の代表的なものを紹介しておきます 名称 規則性 例 主に使われる場所 キャメルケース 単語の先頭を大文字にする camelCase プログラム変数 スネークケース 単語の間をアンダーバーでつなぐ snake_case データベース ケバブケース 単語の間をハイフンでつなぐ kebab-case HTML
  219. 219. AWS 219/264 13.ハンズオン(EC2) (20) STEP6:セキュリティーグループの設定1 セキュリティーグループを作成する SSHとHTTPを通過させる設定を追加するので「ルールの追加」を選択
  220. 220. AWS 220/264 13.ハンズオン(EC2) (21) STEP6:セキュリティーグループの設定2 セキュリティーグループを作成する 設定を追加するので「ルールの追加」を選択 ( SSHとHTTPはどのIPアドレスからもアクセスできる設定)
  221. 221. AWS 221/264 13.ハンズオン(EC2) (22) STEP7:確認 設定を確認し、OKであれば「起動」を選択する
  222. 222. AWS 222/264 13.ハンズオン(EC2) (23) STEP8:キーペアの生成1 パブリックキーとプライベートキーを組み合わせることで安全に接続できる 「新しいキーペアの作成」でキーペアを作成する (作成済みの既存のキーペアを使用する場合は生成不要)
  223. 223. AWS 223/264 13.ハンズオン(EC2) (24) STEP8:キーペアの生成2 新しいキーペアを作成し、キーペアをダウンロードする キーペアのダウンロードはここで必ず行っておく(後からダウンロード不可)
  224. 224. AWS 224/264 13.ハンズオン(EC2) (25) STEP8:キーペアの生成3 ダウンロードしたキーペアファイル(*.pem)は、安全な領域に保管しておく
  225. 225. AWS 225/264 13.ハンズオン(EC2) (26) STEP8:キーペアの生成4 ダウンロードしたファイル(*.pem)の中身はこんな感じ
  226. 226. AWS 226/264 13.ハンズオン(EC2) (27) STEP9:インスタンスの作成 「インスタンスの作成」でインスタンスを生成する 作成されると画面が切り替わる
  227. 227. AWS 227/264 13.ハンズオン(EC2) (28) STEP9:インスタンスの確認 EC2ダッシュボードで、インスタンスの稼働状態を確認する 「running」になっていれば、インスタンスは稼働中
  228. 228. AWS 228/264 13.ハンズオン(EC2) (29) SSHでの接続確認1 立ち上がったインスタンスにSSH接続できるか確認する パブリックDNSが接続先のホスト名となる
  229. 229. AWS 229/264 13.ハンズオン(EC2) (30) SSHでの接続確認2 KISの社内ネットワークからはSSHでは接続できない KIS社外のネットワーク、モバイルルーター、 テザリング等で接続したPCで接続の確認を行う SSHのクライアントソフト ・PuTTY ・TeraTerm などをインストールした端末から接続してみる
  230. 230. AWS 230/264 13.ハンズオン(EC2) (31) SSHでの接続確認3 SSHクライアントソフト「PuTTY」をダウンロードしてインストールする (ダウンロード、インストールの説明は省略) ■PuTTYダウンロードサイト https://www.chiark.greenend.org.uk/~sgtatham/putty/
  231. 231. AWS 231/264 13.ハンズオン(EC2) (32) SSHでの接続確認4 SSHクライアントソフト「PuTTY」で使用するため、プライベートキーファイ ル(*.pem)を.ppk 形式のファイルに変換する PuTTYgenによるファイル変換を実施する ■PuTTY を使用した Windows から Linux インスタンスへの接続 https://docs.aws.amazon.com/ja_jp/AWSEC2/latest/UserGuide/putty.html
  232. 232. AWS 232/264 13.ハンズオン(EC2) (33) SSHでの接続確認4 SSHクライアントソフト「PuTTY」を起動し、接続確認を行う。 ■PuTTY を使用した Windows から Linux インスタンスへの接続 https://docs.aws.amazon.com/ja_jp/AWSEC2/latest/UserGuide/putty.html
  233. 233. AWS 233/264 13.ハンズオン(EC2) (34) SSHでの接続確認4 SSHクライアントソフト「PuTTY」で使用するため、プライベートキー (*.pem)を.ppkファイルに変換する
  234. 234. AWS 234/264 13.ハンズオン(EC2) (35) SSHでの接続確認5 社外のネットワークからTeraTermで接続確認してみる 指定するIPアドレスは、インスタンスのパブリックIP
  235. 235. AWS 235/264 13.ハンズオン(EC2) (36) SSHでの接続確認6 ホストにSSH接続ができた 次は、認証を行うためキーファイルを指定して接続を確認する
  236. 236. AWS 236/264 13.ハンズオン(EC2) (37) SSHでの接続確認7 ホストとの認証を行うため、ペアキーのファイルを指定して接続を確認する
  237. 237. AWS 237/264 13.ハンズオン(EC2) (38) SSHでの接続確認8 インスタンスへログインできたことを確認
  238. 238. AWS 238/264 13.ハンズオン(EC2) (39) インスタンスの停止1 インスタンスの停止は、EC2ダッシュボードで行う 1.停止したい、稼働中(running)のインスタンスを選択する 2.「アクション」→「インスタンスの状態」→「停止」を選択 3.インスタンスが停止(stopping)したことを確認
  239. 239. AWS 239/264 13.ハンズオン(EC2) (40) インスタンスの停止2 インスタンスの停止を確認するメッセージが表示される 「停止する」を選択し、インスタンスが停止(stopping)したことを確認 【注意】 インスタンスを停止すると、インスタンスストアのデータは消失します
  240. 240. AWS 240/264 13.ハンズオン(EC2) (41) インスタンスの削除(終了)1 インスタンスの削除は、EC2ダッシュボードで行う 1.削除したいインスタンスは停止しておく 2.「アクション」→「インスタンスの状態」→「終了」を選択 3.インスタンスが削除されたことを確認
  241. 241. AWS 241/264 13.ハンズオン(EC2) (42) インスタンスの削除(終了)2 インスタンスの削除を確認するメッセージが表示される 「はい、終了する」を選択し、インスタンスが削除されたことを確認 【注意】 インスタンスを削除しても、EBS上に保存したデータは保持されます
  242. 242. AWS 242/264 14.さらに学びたい人は (1) AWS CloudFormation 今回は仕組みを理解できるように手動でのハンズ オンを行いました 各種の設定をコードで書けるCloudFormationとい う機能があります。 AWSの環境を構築するときに、リソースの設定や プロビジョニングを、コードで書いたテンプレー ト化できて、 CloudFormationを使えば、管理と 手間を大きく削減できます
  243. 243. AWS 243/264 14.さらに学びたい人は (2) AWSのレベルアップサイト1 今回はAWS入門という事で、VPCやEC2の基本的 なハンズオンを行いました さらに学びを深めたい人は、AWSが公開している サイトの活用をおすすめします
  244. 244. AWS 244/264 14.さらに学びたい人は (3) AWSのレベルアップサイト2 ■トレーニングライブラリ https://www.aws.training/LearningLibrary/
  245. 245. AWS 245/264 14.さらに学びたい人は (4) AWSのレベルアップサイト3 ■AWS認定 https://aws.amazon.com/jp/certification/
  246. 246. AWS 246/264 14.さらに学びたい人は (5) AWSのレベルアップサイト4 ■実践的チュートリアル https://aws.amazon.com/jp/getting-started/hands-on/
  247. 247. AWS 247/264 14.さらに学びたい人は (6) AWSのレベルアップサイト5 ■パートナー向けトレーニング https://www.aws.training/
  248. 248. AWS 248/264 14.さらに学びたい人は (7) AWSのレベルアップサイト6 ■コミュニティー https://www.aws.training/
  249. 249. AWS 249/264 14.さらに学びたい人は (8) エンジニアコミュニティーに参加しよう AWSにはこの他にもさまざまなサービスがあり、 組み合わせることで多くの機能を実現できます AWSだけでなく、AZUREなどの他のクラウドシス テムも使ってみましょう 熊本にもエンジニアのコミュニティーがあります。 興味ある人は、二見まで声掛けてください!
  250. 250. AWS 250/264  AWSのしくみと技術がこれ1冊でしっかりわかる教科書 (図解即戦力)小笠原種高 (著)技術評論社  クラウドサービスとは?初心者にも分かるクラウド入門 https://jpn.nec.com/cloud/smb/column/01/index.html  クラウドとは https://altus.gmocloud.com/suggest/cloud/  【初心者入門編】クラウドとは?まず押さえたいメリット・デメリット https://www.internetacademy.co.jp/trends/it- strategy/merit-and-demerit-of-cloud.html  クラウドサービスとは?クラウドの種類やメリット・デメリットを解説! https://securesamba.com/media/8279/  初心者向けに解説!クラウドとは? https://eng-entrance.com/what-is-cloud  みんな使ってる!? クラウドサービスのおさらい https://cs.zaq.ne.jp/jpluszaq/articleDetail?cn=20161018202021  《図解》いまさら聞けないクラウド用語: SaaS、PaaS、IaaSってどういう意味? https://data.wingarc.com/saas-paas- iaas-11087  コレ1枚で分かる「サーバレスとFaaS」 https://www.itmedia.co.jp/enterprise/articles/1701/16/news026.html  昨今注目される新たなクラウドアーキテクチャ「FaaS」とは https://knowledge.sakura.ad.jp/15940/  【比較表あり】クラウドのメリット・デメリット 完全解説! https://securesamba.com/media/7976/  クラウドのメリット・デメリット http://www.toha-search.com/it/cloud-merit.htm  【クラウド型×オンプレミス型】メリット&デメリット https://boxil.jp/mag/a76/  クラウドサービスのメリット・デメリット https://cloud-textbook.com/21/  3大クラウドを比較 https://ferret-plus.com/9360  パブリッククラウド比較 https://www.softbank.jp/biz/future_stride/entry/technology/20180509/ 参考文献/出典 Webサイト1 以下のサイトを参考・引用させていただきました
  251. 251. AWS 251/264  主要クラウドベンダーのセキュリティホワイトペーパー比較 https://www.cloud-ace.jp/column/detail10/  AWS、Microsoft、Googleの主要な「クラウドAIサービス」は? https://techtarget.itmedia.co.jp/tt/news/1906/06/news04.html  IaaS+PaaSクラウド市場、AWSの首位ゆるがず Azure、Google、Alibaba含む4社で市場の7割超占める 19年3Q https://www.itmedia.co.jp/news/articles/1911/13/news073.html  AWS入門 初心者が覚えておくべきAWSの基本 https://business.ntt-east.co.jp/content/cloudsolution/column-37.html  【2020年】AWS全サービスまとめ https://dev.classmethod.jp/articles/aws-summary-2020/  AWS入門者向け 初心者が最初に理解すべきEC2とVPCの基本的な用語解説 https://avinton.com/academy/aws/  AWS用語解説 https://qiita.com/tanaka-t/items/1059f1820d140c225e4a  AWSでサーバーを構築するために理解すべき手順とポイント https://business.ntt- east.co.jp/content/cloudsolution/column-10.html#section-02  何から手をつければ良い?AWSを勉強する際のポイントをまとめてみました https://style.potepan.com/articles/11679.html  AWSご利用開始時に… 最低限おさえておきたい のこと https://d1.awsstatic.com/webinars/jp/pdf/services/20190123_10things_at_least_for_AWSBeginner.pdf  AWSの料金を見積もるためにAWSの料金体系を理解しよう https://business.ntt-east.co.jp/content/cloudsolution/column- 36.html  AWS Well-Architected フレームワーク https://d1.awsstatic.com/whitepapers/ja_JP/architecture/AWS_Well- Architected_Framework.pdf  ガイドと API リファレンス https://docs.aws.amazon.com/index.html 参考文献/出典 Webサイト2 以下のサイトを参考・引用させていただきました

×