Category: Compute

本記事は、Leo Chan、William Cannady による Field Notes: Streaming VR to Wireless Headsets Using NVIDIA CloudXRを翻訳したものです。 コンシューマー向けVirtual Reality(VR)ハードウェアが多数登場していますが、ハードウェアは高価であり、セッティングは複雑で面倒なことがあります。有線のヘッドセットには、高いグラフィック性能を備えたワークステーションと、配線につまずくのを防ぐ対策が必要です。多くのルームスケールヘッドセットでは、部屋の中でヘッドセットの動きをトラッキングするために2つの外部機器(もしくは機器用の三脚、ライトタワー)を設置する必要があります。これらのセットアップには何日もかかることがもあり、ライトタワーを移動させた場合には再設定が必要になります。 Oculus Questの発売により、VRユーザーはデュアルハンドトラッキング、ワイヤレスルームスケール機能を得ました。ライトタワーやワークステーションを気にすることなくVRを楽しむことができるようになりました。しかし、Questはバッテリー駆動であるため、CPUやGPUの性能が低いことが難点であり、Questでアプリを動作させるためにはVRコンテンツを簡素化することが必要でした。つまり、CAD(Computer Aided Design)のレビューやHalf-Life: Alyxのようなグラフィックスの負荷の高い体験には使用することができませんでした。 お客様は、高額で複雑な設定を行うか、再現度の低い体験を選ぶかという難しい選択を迫られていました。 本記事では、AWSのコンピューティングサービスを利用し、Questのようなワイヤレスヘッドセットで再現度の高いVR体験をストリーミングする方法を紹介します。なお、本記事の内容を使ったアプリのストアリリースにつきましては各配信プラットフォームの利用規約をご確認ください。 アーキテクチャ NVIDIA CloudXRはリモートサーバ上のGPUを利用して、遠隔地に接続されたVRヘッドセットでストリーミング再生を行います。ビジュアルを多用するアプリケーションのレンダリングとコンピューティングは、モバイルヘッドセットではなくリモートサーバーで行われます。これにより、モバイルヘッドセットはグラフィックスの負荷に関わらず、あらゆるアプリケーションに対応することができます。 グローバルなスケーラビリティを提供するために、NVIDIAはCloudXRプラットフォームをG4およびP3のEC2インスタンスで利用可能にすることを発表しました。これにより、以下のメリットが得られます。 グローバル規模で、より近いリージョンからAR/VRストリーミング再生を行うことができます Amazon Elastic Compute Cloud（Amazon EC2）インスタンス上で一元的にアプリを管理・デプロイすることが可能になります。これまでは、デバイスやハードウェアの準備が必要でした IT管理者は機密性の高いコンテンツや、頻繁に変更が必要になるコンテンツを一元的に管理できるようになります ウォークスルー AWSでCloudXRを使用するには、NVIDIA GPUを搭載したEC2インスタンス(P3またはG4インスタンスタイプ)をVirtual Private Cloud(VPC)内で実行する必要があります。このインスタンスは、VRヘッドセットで動作するCloudXRクライアントからネットワークでアクセスできる必要があります。接続は1:1で、各CloudXRクライアントは専用のEC2インスタンスに接続されます。つまり、複数のCloudXRクライアントが必要な場合は、複数のEC2インスタンスを用意する必要があります。 なお、本記事のプロセスは2021年1月時点のものです。CloudXR、およびX Reality(XR)全体は急速に変化しているため、NVIDIAのCloudXRに関する最新情報をご参照ください。AWSアカウントでCloudXRを使用するには、Amazon VPC内でP3またはG4のEC2インスタンスをセットアップする必要があります。また、CloudXRの通信に必要なポートを許可するセキュリティグループを設定する必要があります。これらのポート番号は、NVIDIAから入手できるCloudXRのドキュメントに記載されています。 前提条件を構築済みのCloudXRが設定されたEC2インスタンスをデプロイするCloudFormationテンプレートを作成しました。このテンプレートではプライベートなAMIを参照しているため、デプロイを成功させるにはお客様のAWS アカウントへAMIを共有する必要があります。このテンプレートを利用したい場合は、AWSアカウントチームにお問い合わせください。 前提条件 以下の手順では、EC2インスタンスを手動で設定する方法を説明します。CloudXRストリーミングでは、EC2インスタンスへの接続にWindows RDP以外の接続を使用する必要があります。リモート接続には、EC2インスタンスに無償で提供されているNICE DCVを使用します。 このウォークスルーでは、以下が使えることが前提条件です。 AWSアカウント NVIDIAから提供されるNVIDIA CloudXR SDK G4またはP3のEC2インスタンスを作成するための権限 VRヘッドセット […]

ネットワーク内でアウトバウンド接続をする際には、通常、DNS ルックアップから始めます。セキュリティグループ、ネットワークアクセスコントロールリスト (ACL)、AWS ネットワークファイアウォールなどの AWS サービスを使うと、Amazon Virtual Private Cloud (VPC) のリソースとインターネットサービスが不必要に直接通信しないようにすることができます。これらの AWS サービスはネットワークトラフィックをフィルタリングしますが、パブリック DNS レコード、Amazon Virtual Private Cloud (VPC) 固有の DNS 名、および Amazon Route 53 プライベートホストゾーンに対する DNS クエリに自動的に応答している Amazon Route 53 Resolver に向けたアウトバウンド DNS リクエストはブロックしません。 DNS 漏洩により、DNS クエリを介して犯罪者が管理するドメインにデータが流出する可能性があります。例えば、犯罪者がドメイン「example.com」を管理しており、「sensitive-data」を流出させたい場合、VPC 内の犯罪者が侵入しているインスタンスから「sensitive-data.example.com」の DNS ルックアップを発行できます。これを防ぎ、不正行為による DNS ルックアップをフィルタリングするために、従来は各自が DNS サーバーを操作する手間が必要でした。 こういった DNS レベルの脅威を防ぐことができる Amazon Route 53 Resolver DNS Firewall (DNS […]

本番稼働上の問題の修正は、システム管理者とネットワーク管理者の重要な役割の 1 つです。実際、私はいつも、それがインフラストラクチャエンジニアリングの最も興味深い要素の 1 つであることに気づきます。目の前の問題を必要に応じて深く掘り下げれば、問題解決に (最終的に) 満足できるだけでなく、その過程で通常であれば目にすることのできない多くのことを学べます。 オペレーティングシステムは、まさしくそうした機会を提供します。OS は時間とともにますます複雑化し、管理者はおびただしい数の構成ファイルや設定を習熟せざるを得ません。Infrastructure as Code やオートメーションによりサーバーのプロビジョニングや管理が大幅に向上しましたが、システムの正常な起動を妨げる間違いや故障が発生する余地は、常に存在しています。ハードウェアドライバーがない、ファイルシステムの構成が間違っている、ネットワーク構成が無効である、アクセス許可が不正であるなど、尽きることはありません。さらに悪いことに、管理者は多くの問題によって実質的にシステムから締め出され、ログインや問題の診断、適切な修正の適用を行えなくなります。唯一の選択肢はサーバーに帯域外接続を確立することで、そうすることでユーザーは EC2 インスタンスのコンソールの出力を確認することができます。操作はできません ― でした、これまでは。 本日、 EC2 Serial Console を発表できることをうれしく思います。こちらは、Amazon Elastic Compute Cloud (EC2) インスタンスへのシリアル接続を確立することで、起動やネットワーク接続の問題をトラブルシューティングする、簡単かつ安全な方法です。 EC2 Serial Console のご紹介 EC2 Serial Console アクセスは、AWS Nitro System をベースとする EC2 インスタンスで利用できます。主要な Linux ディストリビューション (FreeBSD、NetBSD、Microsoft Windows、VMware) のすべてをサポートしています。 実行中のネットワーク設定がなくても、AWS マネジメントコンソールのブラウザベースのシェル、またはマネージドコンソールサーバーへの SSH 接続を使用することで、インスタンスに接続することができます。インスタンスで sshd サーバーを実行する必要はありません。唯一の要件は、root アカウントにパスワードを割り当てていることです。ログインにはこれを使用します。その後、インスタンスのシリアルポートの 1 つに、キーボードとモニターを直接接続しているかのように、コマンドを入力することができます。 さらに、オペレーティングシステムに固有の手順をトリガーすることができます。 Linux […]

この記事は、How to build container images with Amazon EKS on Fargate を翻訳したものです。 本投稿は、Container Specialist Solutions Architect の Re Alvarez-Parmar により寄稿されました。 コンテナは、開発者がアプリケーションをパッケージ化、配布、そしてデプロイする方法を簡素化するのに役立ちます。開発者は、アプリケーションコード、ライブラリ、およびその他の依存関係を含むコンテナイメージにコードをパッケージ化します。このイメージを使用して、コンテナ化されたアプリケーションを互換性のある任意のオペレーティングシステムにデプロイすることができます。2013 年の Docker のリリース以来、コンテナの実行、イメージのビルドおよびリポジトリへのプッシュが容易に行えるようになりました。 ただし、Amazon ECS や Amazon EKS のような環境で Docker を使用してコンテナをビルドするには、Docker で Docker を実行する必要がありますが、これには重大な影響があります。おそらく、Docker を使用してコンテナ化された環境でコンテナイメージをビルドするための最も魅力的ではない前提条件は、特権モードでコンテナを実行する、という要件です。これは、セキュリティ意識の高い殆どの開発者が避けたい慣行です。Docker を使用してラップトップ上でイメージをビルドしても、セキュリティに深刻な影響はない場合があります。それでも、Kubernetes クラスターでコンテナに昇格された特権を与えることは避けるのが最善です。この厳しい要件により Fargate では特権コンテナが許可されていないため、Fargate で Docker と EKS を使用してコンテナイメージをビルドすることもできなくなります。 kaniko 特権モードを必要とせずにコンテナイメージをビルドする問題に対処するために、ここ数年で新しいツールが登場しました。kaniko は、Docker と同じように、Dockerfile からコンテナイメージをビルドするツールの 1 つです。ただし Docker とは異なり、Docker デーモンに依存せずに Dockerfile […]

Graviton 搭載の EC2 インスタンスを 2018 年後半に開始し、その一年後に後続の Graviton2 プロセッサを発表しました。デュアル SIMD ユニット、int8 および fp16 命令のサポート、世代間でのその他のアーキテクチャの改良が組み合わさって、Graviton2 は非常に費用対効果の高い主力プロセッサになっています。 現在、汎用 (M6G および m6GD)、コンピューティング最適化 (C6G、C6gn、およびC6GD)、メモリ最適化 (R6G および R6GD)、バースト可能 (T4G) インスタンスから選択できます。すべて高速かつ効率的な Graviton2 プロセッサを搭載しています。当社のお客様は、これらのインスタンスを使用して、アプリケーションサーバー、ゲームサーバー、HPC ワークロード、ビデオエンコーディング、広告サーバーなどを実行しています。複数のベンチマーク (これとこれを含む) によると、これらの Graviton2 ベースのインスタンスは、既存の EC2 インスタンスよりも優れたコストパフォーマンスを提供することが示されています。 新しい X2gd インスタンス Graviton2 を搭載したインスタンスの増え続けるラインアップの最新情報を発表いたします。 新しい X2gd インスタンスは、メモリ最適化された R6g インスタンスと比べて vCPU あたり 2 倍のメモリ容量を持ち、メモリを大量に必要とするワークロードに合わせて設計されています。これには、メモリ内データベース (Redis と Memcached)、オープンソースのリレーショナルデータベース、電子設計オートメーションの設計と検証、リアルタイム分析、キャッシュサービス、コンテナが含まれます。 X2gd インスタンスは 8 つのサイズで利用可能であり、ベアメタル形式でも利用できます。仕様は以下のとおりです。 名前 […]

本記事は、Efe Selcuk、Apurup Chevuru、Michael Hausenblas による Using mTLS with SPIFFE/SPIRE in AWS App Mesh on Amazon EKS を翻訳したものです。 AWS では、セキュリティを最優先事項と考え、責任共有モデルの観点から、お客様の責任部分をケアするためのコントロールを提供しています。サービスメッシュの一般的な使用例の 1 つは、通信経路のセキュリティ対策を強化することが挙げられますが、これは AWS App Mesh でも重点的に取り組んでいます。また、mTLS を安全かつ正しく利用するという課題は、実務者の間でも議論の対象となっています。AWS は App Mesh roadmap からの mTLS (mutual TLS、相互 TLS) の要望に応え、この機能のサポートを開始しました。このブログ記事では、mTLS の背景を説明し、Amazon Elastic Kubernetes Service (EKS) クラスターを使用したエンドツーエンドの例を紹介します。 背景 mTLS にあまり詳しくない場合は、このセクションをご覧ください。そうでない場合は、ウォークスルーに進んでください。 SPIFFE (Secure Production Identity Framework for Everyone) プロジェクトは、CNCF (Cloud Native […]

2021 年 3 月 18 日にメディア業界のお客様向けに Analytics & AI/ML をテーマとしたセミナーを開催いたしました。テレビ・動画配信・新聞・雑誌などのメディア企業では、デジタル変革の中でデータを活用する重要性が高まっています。本セミナーではメディア企業がいかにデータを活用し、新たなビジネスを展開していくかに焦点をあてた機械学習の活用方法をご紹介し、お客様に事例をご説明いただきました。

動画の活用は情報共有や学習の主要な手段となっており、お客様はeラーニングや動画配信の分野に参入するために、革新的なソリューションに投資を始めています。動画コンテンツはお客様のIP (知的財産) であり、保護され安全に配信される必要があります。オンライン動画は、企業、教育機関、政府機関などあらゆる業界がますます活用するようになっている強力なテクノロジーです。 多くの企業や組織はセキュアなストリーミングソリューションを必要としています。特に、医療機関、大学・学校、企業、OTT・メディア事業者、知的財産権・著作権保護団体、弁護士、官公庁などはセキュリティが絶対に必要であると考えるべきでしょう。

Amazon Simple Storage Service（S3）にデータを保存すると、複数のアプリケーションで使用するためにデータを簡単に共有することができます。しかし、それぞれアプリケーションごとに固有の要件があり、データの異なるビューが必要になる場合があります。例えば、eコマースアプリケーションによって作成されたデータセットには個人識別情報（PII）が含まれる場合がありますが、データ分析のために処理するときには個人識別情報は不要であり、編集（マスキング等）がされているべきです。一方、同じデータセットがマーケティングキャンペーンに使用されている場合は、顧客ロイヤルティデータベースからの情報など追加の詳細データで補填する必要があるかもしれません。複数のアプリケーションにデータの異なるビューを提供するには、現在、2つのオプションがあります。データの派生コピーを追加作成、保存、維持して、各アプリケーションに独自のカスタムデータセットを持たせるオプションと、S3 の前にプロキシレイヤーとしてインフラストラクチャを構築および管理して、リクエストごとにデータをインターセプトして処理するオプションです。両オプションともに複雑性とコストが追加で発生するため、S3 チームはよりよいソリューションを構築することを決定しました。

本投稿では、商業銀行として米国で Top 25 内にランクインしている金融機関であるBBVA USAが、AWS サービスを使用して大規模なイベント管理の仕組みを実装し、クラウド環境に関連する変更イベントを一元管理し、アクションを自動化した方法について紹介しています。一般的に、モノリシック環境でのセキュリティ・コンプライアンスは、管理・監視対象となるインフラストラクチャが少ないため、監視と実施が比較的容易です。それが多くなったとしても、インフラストラクチャをコード化すれば、民主化され分散化されたアプローチによって、コンプライアンスの見落としなく構成の差分管理（ドリフト）と追跡処理を環境に取り入れることができます。 インフラストラクチャの正常な状態を識別し、そこから外れた違反状態を把握することにより、インフラの状態の可視性が確保され、必要に応じて自動修復によって遵守を強制させることが可能になります。このために、セキュリティイベントの通知やベースラインとなる構成定義といった機能を使うことができます。