Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

re:port2017 hirayama

145 views

Published on

(株)スカイアーチネットワークス様主催のイベント「re:Port 2017」に登壇した資料

Published in: Business
  • Be the first to comment

  • Be the first to like this

re:port2017 hirayama

  1. 1. © 1996-2017 Sony Network Communications Inc. AWS re:Invent2017 参加レポート 2017.12.05 Tomofumi.Hirayama
  2. 2. © 1996-2017 Sony Network Communications Inc. 自己紹介 2© 1996-2017 Sony Network Communications Inc. 平山 智史(ひらやま ともふみ) ➢ ソニーネットワークコミュニケーションズ株式会社 ➢ 仕事:マネージドクラウドPJリーダ & クラウドSEチームリーダとしてAWS事業展開 ➢ バックグラウンド:NW/サーバインフラエンジニアからの~WEBアプリ開発エンジニア ➢ 好きなAWSサービス: CloudWatch、RDS、Lambda 法人サービス事業部門 クラウド・ネットワークサービス運用開発部 ~ISP事業~ ~Nuro・モバイル事業~ ~法人サービス事業~ ソニーネットワークコミュニケーションズの主な事業(一部紹介)
  3. 3. © 1996-2017 Sony Network Communications Inc. 本日のアジェンダ 3 1.弊社マネージドクラウド with AWS 事業をちょこっと紹介 2.re:Invent 2017 のセッション予約について 3.re:Invent 2017 で注目したサービス(3つ紹介) © 1996-2017 Sony Network Communications Inc.
  4. 4. © 1996-2017 Sony Network Communications Inc. 4© 1996-2017 Sony Network Communications Inc. 1.マネージドクラウド with AWS事業をちょこっと紹介
  5. 5. © 1996-2017 Sony Network Communications Inc. マネージドクラウド with AWS とは 5© 1996-2017 Sony Network Communications Inc. CUSTOMER ManagedVPN GW AWS Direct Connect Managed Router 特長① モバイルから回線までセキュア 且つ低価格にワンストップ提供 So-netの他サービス と相互接続が可能 マネージドクラウド ゲートウエイ システム管理者 システム開発者 A拠点 B拠点 C拠点 マネージドクラウドポータル (AWS運用支援ツール) 特長② AWSを見える化・自動化する クラウドポータルの提供 運用 特長③ 手軽に導入できるAWS導入支援 ソリューションの提供 ソニーネットワークコミュニケーションズ AWS認定アーキテクト コンサル・設定 ネットワーク サービス ソリューション× × Moblile GW 閉域SIM リモートオ フィス・リモ アク・IoT マネージドVPN モバイル閉域アクセス
  6. 6. © 1996-2017 Sony Network Communications Inc. 6© 1996-2017 Sony Network Communications Inc. 弊社が提供する マネージドクラウドポータル とは
  7. 7. © 1996-2017 Sony Network Communications Inc. クラウドポータル(AWS運用支援ツール)とは 7© 1996-2017 Sony Network Communications Inc. ソニーネットワークコミュニケーションズが独自開発した AWS運用管理の為のマネージメントツール
  8. 8. © 1996-2017 Sony Network Communications Inc. クラウドポータル(AWS運用支援ツール)の一部機能ご紹介 8© 1996-2017 Sony Network Communications Inc. ➢ AWSシステム構成管理・リアルタイム構成表示 利用中のAWS環境がシンプルア イコンでリアルタイムに表示 設計情報を自動作成し、PDFダ ウンロードが可能
  9. 9. © 1996-2017 Sony Network Communications Inc. クラウドポータル(AWS運用支援ツール)の一部機能ご紹介 9© 1996-2017 Sony Network Communications Inc. ➢ Amazon EC2のインスタンス運用管理 EC2運用監視が可能 起動停止スケ ジュールが可能
  10. 10. © 1996-2017 Sony Network Communications Inc. 10 AWS-API_実行 日時スケジュール HTTP_POST AWS-API_検索・情報取得 JSONパース機能 EC2 S3 CloudWatch SNS お客様 各種サーバ AWS-API実行要件の抽出 ・条件によるEC2のIDの抽出 ・ファイル履歴から実行ファイルの抽出 ・AWSメタタグ情報から条件を抽出 特長1 AWS-API自動化をフルマネージメント ・AWS-CLIを利用した柔軟な実行制御、外部連携が可能 特長2 セキュアに連携 及び実行するコンテナ機構の実装 ・Docker技術を利用したセキュア実行環境の提供 ~AWS-API マネージメント~ ~セキュアな実行環境~ Docker技術の採用 AWS運用の自動化 ➢ カスタマイズAPI機能 クラウドポータル(AWS運用支援ツール)の一部機能ご紹介
  11. 11. © 1996-2017 Sony Network Communications Inc. 11 クラウドポータル(AWS運用支援ツール)の一部機能ご紹介 ➢ リモート管理機能 Amazon EC2 Systems Managerの機能を利用し、 クラウドポータルならではの運用管理・自動化を実現。 クラウドポータル (AWS運用支援ツール) WindowsUpdate更新確認・実行 yumUpdate更新確認・実行 Windowsインスタンス LINUXインスタンス PowerShellコマンド実行 Shellコマンド実行 ~WindowsUpdateの例~ ~PowerShellスクリプトの例~ <ユースケース> ・定期的にスナップショットを実行してから、全WindowsUpdate実行。 - 定期的にスナップショットを実施してから、特定のKBのみWindowsUpdate予約。 <ユースケース> ・定期的にサービス一覧を取得。 ・障害時にRDSをサービス再起動。
  12. 12. © 1996-2017 Sony Network Communications Inc. 12© 1996-2017 Sony Network Communications Inc. 2.re:Invent 2017 のセッション予約について
  13. 13. © 1996-2017 Sony Network Communications Inc. 13 re:Invent2017のセッション予約について ➢ 私のセッション予約概要(内訳) -マネージドサービス・ネットワークサービス関連 :3割 -AI/IoT/Alexa関連 :4割 -新サービス関連 :3割 ただ、今回のセッション予約は、 ・今回は会場が遠すぎて、セッションの入れ替えしたり、 ・WalkUpに期待して登録したセッションを諦めて、セッションの入れ替えしたり、 ・キーノートの後に、セッションの入れ替えをしたりと 毎日セッション入替が発生・・・・(あと、アプリの反応も遅く・・・)
  14. 14. © 1996-2017 Sony Network Communications Inc. 14© 1996-2017 Sony Network Communications Inc. 3.re:Invent 2017 で注目したサービス(3つ紹介)
  15. 15. © 1996-2017 Sony Network Communications Inc. 15 re:Invent 2017 で注目したサービス(3つ紹介) ➢ マネージドサービス関連で顧客に訴求できそうな以下3サービスをご紹介 ➢ AWS Systems Manager ➢ AWS WAF Managed Rules ➢ AWS PrivateLink for AWS Services
  16. 16. © 1996-2017 Sony Network Communications Inc. 16© 1996-2017 Sony Network Communications Inc. AWS Systems Manager
  17. 17. © 1996-2017 Sony Network Communications Inc. 17 AWS Systems Manager について ■Amazon EC2 Systems Manager ソフトウェアインベントリの収集や OS パッチの適用、システムイメージの作成そして Windows や Linux のオペレーティングシステム設定などのプロセスを自動化する管理サービス ■AWS Systems Manager(新機能) リソースとアプリケーションの管理を簡素化し、AWSインフラの安全な運用と管理を容易にす る統一されたユーザインタフェースを提供する管理サービス ⇒ Amazon EC2 Systems Manager の機能に加えて、リソースグループに設定したAWSリソースの状態表示の 可視化(新機能)や、TrustedAdviser/PersonalHealthDashBoadなどを、本メニュー内で統一したユーザイン ターフェースで管理可能に!!
  18. 18. © 1996-2017 Sony Network Communications Inc. 18 Amazon EC2 Systems Managerとの機能比較 カテゴリ 機能 機能概要 Amazon EC2 Systems Manager AWS Systems Manager リソースグループ Find Resources 様々なAWSリソースをタグで検索可能 EC2、S3、ELB、RDS、VPC、Kinesis streams、 Route53ゾーン、など管理可能なリソース 〇 Saved Resource Groups インサイトで使用するリソースグループの管理 〇 インサイト Built-In Insights config/CloudTrail/PHD/TrustedAdviserなど状態管理 〇 Dashboard by CloudWatch CloudWatchダッシュボード表示 〇 Inventory 標準Inventory、カスタムInventory管理 〇 Compliance Compliance管理 〇 アクション Automation SSM ドキュメントのフロート管理実行 〇 〇 Run Command SSM ドキュメント・コマンドの実行 〇 〇 Patch Manager パッチ適用の一元管理 〇 〇 Maintenance Windows メンテナンスウィンドウ管理 〇 〇 State Manager ステータス管理 〇 〇 共有リソース Managed Instances SSM管理 〇 〇 Activations サーバ・デバイス登録 〇 〇 Documents SSMドキュメント管理 〇 〇 Parameter Store パスワード・設定データの集中管理 〇 〇
  19. 19. © 1996-2017 Sony Network Communications Inc. 19 AWS Systems Manager インサイト機能(VIEW表示) トップ 5 の OS バージョン トップ 5 の アプリ OSパッチのコンプラ管理
  20. 20. © 1996-2017 Sony Network Communications Inc. 20 その他 触ってみて ➢ Amazon EC2 Systems Managerのメニューは? - 今は残っている。設定データもそのままAWS Systems Manaerに反映。 ➢ Amazon EC2 Systems Manager と AWS Systems Manaerどっちで管理 - 両方とも管理可能だが、 AWS Systems Manaer を利用した方がよさそう。 <今後> ・インサイト->Inventoryを追加し、リソース管理や監査の見える化確認
  21. 21. © 1996-2017 Sony Network Communications Inc. 21© 1996-2017 Sony Network Communications Inc. AWS WAF Managed Rules
  22. 22. © 1996-2017 Sony Network Communications Inc. 22 AWS WAF について ■WAF導入は、価格と各サービス親和性、スケールアウトを考慮するとAWS WAF使いたいけど・・ <下記のような課題あり> -設計にはWAFに関するセキュリティの知識や対象サービスに対する知識が必須 -導入後チューニングも詳細に設定する必要あり。動的制御にはlambda等での自動化設定必須。 -WAF運用できる人がいない <Condition作成> <Rule作成> <WEB ACL作成> フィルタ条件も大量定義 ~多くの知識やノウハウ~ AWS WAF 設定
  23. 23. © 1996-2017 Sony Network Communications Inc. 23 AWS WAF Managed Rulesとは ■AWS WAF Managed Rules AWS WAF のマネージド型ルールが利用可能になり、ウェブアプリケーションや API をインターネットの 脅威から簡単に保護できるようになりました。Alert Logic、Fortinet、Imperva、Trend Micro、 TrustWave など、業界をリードするセキュリティエキスパートによって事前に設定されたルールグルー プが AWS Marketplace で販売されています。 Alert Logic WordPress Virtual Patch RuleGroup for AWS WAF Fortinet AWS WAF Malicious Bots Ruleset Fortinet AWS WAF SQLi/XSS Ruleset Fortinet AWS WAF General and Known Exploits Ruleset Fortinet AWS WAF Complete OWASP Top 10 Ruleset Imperva Security Rules for AWS WAF Imperva's Managed Rules for WordPress Protection Trend Micro Managed Rules for AWS WAF - Content Management System (CMS) Trend Micro Managed Rules for AWS WAF - WebServer (Apache, Nginx) Trustwave Managed Rules for AWS WAF - CMS Virtual Patches Trustwave Managed Rules for AWS WAF - ModSecurity Virtual Patching <現在リリースしているRule> でも高いんじゃないの~?
  24. 24. © 1996-2017 Sony Network Communications Inc. 24 AWS WAF Managed Rules設定方法 Trend Micro Managed Rules for AWS WAF - WebServer (Apache, Nginx) をマー ケットプレイスでSubscribeした例。 WEB ACLのRule設定で購入したWAFルールを適応するだけ。 ⇒めちゃ安い!!
  25. 25. © 1996-2017 Sony Network Communications Inc. 25 その他 触ってみて ➢ ホント、AWS WAF導入が進むわーー ➢ 心配なところは、マネージドルール(有償)を適応 ➢ 今まで通り個別設定は、Confition(Filter)設定で定義 ➢ 従量課金(しかも安い)なので、手軽にテスト・本番導入が可能。 ➢ AWSサービスとの親和性バッチリ!! ➢ スケーラブルでメンテナンスが不要!!
  26. 26. © 1996-2017 Sony Network Communications Inc. 26© 1996-2017 Sony Network Communications Inc. AWS PrivateLink for AWS Services
  27. 27. © 1996-2017 Sony Network Communications Inc. 27 AWS PrivateLink for AWS Servicesとは ■AWS PrivateLink for AWS Services VPCエンドポイントを利用して自分のサービスにアクセスしたり、他のユーザからサービスにアクセスで きるようにAWS PrivateLinkを拡張。AWS上にプライベートSaaS提供する仕組みが簡単に提供。
  28. 28. © 1996-2017 Sony Network Communications Inc. 28 VPCピアリングとの違いやマルチテナント環境構成 ➢ VPCピアリングとの違い ➢ セグメント間のピアリング接続する訳ではないので、FW設定考慮が楽。 ➢ セグメント重複がNGなVPCピアリングは、マルチテナントで接続するには適してない。 ※PrivateLinkはNWレンジが重複していいても接続可能。 ➢ クライアントVPCとプロバイダーVPCともにVPC上の設計に関する大きな構成変更は不要。 ➢ オンプレPCからもプロバイダーVPC内のリソースにアクセスできる ※これもVPCピアリングではできなかったこと。 ➢ マルチテナントSaaS環境(例) Amazon ECS Amazon EC2 or NLB VPCエンドポイント VPCエンドポイント ・ ・ オンプレ環境(他クラウドも) or <オンプレ> <オンプレ> クライアントVPC クライアントVPC プロバイダーVPC Fargate
  29. 29. © 1996-2017 Sony Network Communications Inc. 29 その他 触ってみて ➢ 簡単な設定手順紹介 [プロバイダーVPC] まずはNLBのLaunch [プロバイダーVPC] VPCエンドポイント発行 ※NLB [プロバイダーVPC] アクセス許可のホワイトリストの追加 [クライアントVPC] VPCエンドポイント作成 [プロバイダーVPC] リクエストの承認 ⇒設定も非常に簡単!!
  30. 30. SONYはソニー株式会社の登録商標または商標です。 各ソニー製品の商品名・サービス名はソニー株式会社またはグループ各社の登録商標または商標です。その他の製品および会社名は、各社の商号、登録商標または商標です。

×