Amazon Web Services ブログ

Category: General

AWS トレーニング : 新コース「Planning and Designing Databases on AWS」を6月から受講できます

こんにちは!AWS テクニカルトレーナーの冨田修平です。様々なクラスルームトレーニングとプライベートオンサイトトレーニングを担当しています。 さて、本日は AWS トレーニングの新コース「Planning and Designing Databases on AWS」を紹介します。既に以下のリリース記事の通り、本コースは 2020年1月 に発表された新コースです。そして、日本では 2020年6月 から受講できることになりました。 新しい 3 日間のクラスルームコース: Planning and Designing Databases on AWS コース概要 AWSにおける設計のベストプラクティスの一つに”適切なデータベースソリューションを選択する”があります。 適切なデータベースとは何でしょうか? 一般的にはデータベースといえばリレーショナルデータベースが多く使われていますが、不向きなケースもあります。例えばデータの項目が様々で事前にスキーマを定義しておくことが難しいケース、一秒間に数十万、数百万回など非常に高い頻度のアクセスが必要なケース、大量のデータを高速に並列処理しなければならないケースなどがあります。このトレーニングに登場するさまざまなデータベースはこういったリレーショナルデータベースが不得意とする領域をカバーすることができますが、逆にリレーショナルデータベースの得意とするトランザクションやデータの一貫性が不得意なケースもあります。大規模なシステムを構築、もしくは既存のシステムをリファクタリングする際には、データモデル、データベースごとの機能/非機能要件に合わせた使い分けが重要となります。 「Planning and Designing Databases on AWS」はまず様々なデータベースを使い分けるための基礎となる原則や概念について学びます。続いて、AWSの8つのマネージドデータベースサービスについて、それぞれに適したワークロードとデータモデリング、リソースの設計について学習します。 参考までに本コースの「モジュール構成」を以下に載せます。演習(ラボ)もあります。 モジュール 1 : Database Concepts and General Guidelines モジュール 2 : Database Planning and Design モジュール 3 : Databases on Amazon […]

Read More

AWSのコストを削減する9の方法

みなさん、こんにちは。アマゾン ウェブ サービス ジャパン シニアエバンジェリストの亀田です。 昨今、世の中の状況の変化に伴い、ITリソース使用量の増減の振れ幅が大きく、また予測が難しい、通常とは異なるビジネスの状況に多くのお客様が直面しています。また、その状況に対応するためリソースの流動性を確保するためにシステムをクラウドへ移行するケースが増えています。既存システムのクラウド移行にはいくつかのアプローチがありますが、稼働中のシステムを移行させる場合、移行作業の影響を最小限にするため、Lift & Shiftという手法がとられます。システムアーキテクチャやアプリケーションへの変更を極小化したなるべく同じ状態でクラウドへシステムを移行し、稼働後必要に応じて適宜アーキテクチャ、アプリケーションなどを最適化していく方法です。一度クラウド化されたシステムはそのコピーを容易に作成させることができるため、リソースが有限であるオンプレミス上でシステム変更を行うよりは効率の良い移行方法といえます。 この際、アーキテクチャやアプリケーションへの修正影響範囲を極小化したまま、AWSのコストを最適化させる方法もいくつか存在しています。これは移行にかかわらずAWSを利用している全てのお客様が検討すべきであり、かつ迅速に効果が見込められる9つのコスト最適化のためのツールとアプローチをこのブログにて3回連載で取り上げます。 #1 未使用状態のAmazon EC2やAmazon RDS インスタンスへの支払いを止める #2 未使用状態の Amazon Redshift クラスターへの支払いを止める #3 Amazon S3 Intelligent-Tieringを有効にする #4 Amazon DynamoDB にはオンデマンドのキャパシティーモードを利用する #5 十分に活用されていないEC2 インスタンスへの支払いを止める #6 十分に活用されていないネットワークリソースを削除する #7 EC2 スポットインスタンス を利用する #8 Compute Savings Plans を利用する #9 リザーブドインスタンスを利用する いずれも迅速なコスト最適化が実現できる方法です。いくつかはAWSリソースの設定並びに管理方法の変更を必要としますが、特に8、9は購入オプションの変更により即時コストを削減可能となります。この第一回目の記事では、#1から#3を取り上げます。 #1 未使用状態のEC2やRDS インスタンスへの支払いを止める 開発環境、テスト環境などの本番環境以外で実行されているワークロードや、ミッションクリティカルでないワークロードなどにおいて、夜間、週末および祝日で、利用していない時間帯のEC2やRDSの費用を支払っている可能性があります。AWS では、AWS CloudFormationで事前に構築された以下の図において、AWS Instance Schedulerと呼ばれるソリューションを用いることで、インスタンスのスケジューリングを容易に実行することができます。AWS Instance Schedulerは、EC2 および RDS インスタンスの開始と停止のスケジュールを簡単に設定できるシンプルなソリューションです。 このソリューションは導入が容易で、AWS利用コストだけではなく運用コストの削減にも有効です。 インスタンスのスケジューリングにより、クラウドの伸縮自在な性質を活用し、必要な分だけ料金を支払うことができます。例えば、以下のグラフでは、EC2 インスタンスのコストを削減するために週末の稼働時間を削減していることを確認できます。 環境のサイズや複雑さに応じて、実装に数分から数時間かかります。このソリューションを使用して、金曜日の午後 6 時から月曜日の午前 6 […]

Read More
Weekly AWS

週刊AWS – 2020/4/13週

みなさん、こんにちは。ソリューションアーキテクトの下佐粉です。 今週も週刊AWSをお届けします。 最近は社内の打ち合わせもお客様との打ち合わせもAWSのオンライン会議システム Amazon Chimeで行うことが多くなっています。ところでオンライン会議でちょっと難しいのが、ホワイトボードを使ったディスカッションではないでしょうか。もちろんマウスで図を描いてChimeの画面共有機能で見せることは可能なのですが、私の場合はマウスでは思ったようにうまく描けずにいました。そこで、安価なペンタブレットを購入してみました。私が購入したのは6インチ x 4インチのコンパクトなものですが、マウスよりは全然楽に図が描けるようになりました。イラストレーターの方が使うような本格的なものではないですが、ホワイトボーディングには十分使えそうですので、図を描くことが多い方はお勧めです。 それでは、先週の主なアップデートについて振り返っていきましょう。

Read More

FlexMatchマッチング状態を確認するためのサーバレスアプリケーションの実装例

マッチメイキングシステムでは、セッションベースのマルチプレイゲームにおいて重要な1つの要素であり、良いマッチメイキングの結果は良いゲーム体験に繋がります。しかし、マッチングの速度、接続先に対するレイテンシー、マッチングの条件設定など考慮するべき要素が多く、実装工数がしばしば問題になります。Amazon GameLift の FlexMatchを使用すれば誰でも堅牢なプレイヤーマッチメイキングをすばやく簡単に作成できます。大人数のマッチメイキングでもレイテンシーが最も少ないサーバーインスタンスで、最大 200 人のプレイヤーを接続させることができます。 FlexMatchを利用する際にプレイヤーはマッチング状態(成功、失敗)を確認する必要があります。今回では、マッチング状況を確認できるサーバレスアプリケーションの実装例を紹介したいと思います。 アーキテクチャ 今回の構成では、マッチング状況のイベント通知をGameLiftからSNS経由しLambdaで処理した後、DynamoDBに保存します。ゲームクライエントはAPI Gatewayを経由し、Lambdaで現在のマッチング状況を確認します。アーキテクチャはゲームクライエントとバックエンドサーバ間にコネクションが確立されていないことを想定した構成です。もしバックエンドサーバから直接クライエントにプッシュ通知を送ることが可能の構成の場合、DynamoDBに保存せず、マッチングの情報をSNS経由でバックエンドサーバのHTTPエンドポイントを受付、ゲームクライエントに直接送信するシンプルな構成も考えられます。またモバイル端末なら、SNSから直接プッシュすることも可能です。詳細はこちらのドキュメントに参照してください。 マッチング結果の保存 まずマッチング状況のイベント通知をDynamoDBに保存するまでの設定を行いましょう。 SNSを設定 こちらのドキュメントを参照して新規SNS Topicを作成、GameLift の関連権限を JSON に追記します。 GameLiftと連携するには、GameLiftのコンソール画面から、”マッチメイキング設定の作成を選択肢“、‘通知先“のところで設定することが必要です。本記事では、SNSからメッセージの発行を行い、全体をテストするため、GameLiftとの連携は行わなくても大丈夫です。 DynamoDBの設定 DynamoDBのコンソールを開き、”テーブル作成”をクリックします。 テーブル名は先程環境変数に入れたmatchmakingを設定し、プライマリキーはticketIdを設定します。 ”作成”をクリックし、テーブルを作成します。 今回はdefaultの設定になりますが、本番ゲームで利用する際に十分なキャパシティを設定する必要があります。ゲームリリース時はプレイヤーの数は予測困難の場合、キャパシティーモードをオンデマンドに変更することがおすすめです。オンデマンドキャパシティーモードの詳細についてこちらのドキュメントを参照してください。 Lambda関数の作成と関連の権限設定 AWS Lambda関数とは、ユーザによるサーバー管理が不要なAWSサーバーで実行されるコードです。GameLiftからSNSの通知をLambdaで受けて、マッチング成功しましたら、DynamoDBに保存します。 詳細の手順は以下のようになります。 Lambdaのコンソールを開き、”関数の作成”をクリックします。 “一から作成”を選択します。 関数の名前に”FlexMatchEventHandler”を入力します。 ランタイムで”Python 3.8″を選択します。 アクセス権限で”実行ロールの選択または作成”を表示し、”基本的なLambdaアクセス権限で新しいロールを作成”が選択されていることを確認します。 “関数の作成”をクリックします。 Lambdaエディタが開きます。Lambda関数がDynamoDBにアクセスできるか確認する必要があります。アクセス権限のタブを開き、”実行ロール”セクションがあることを確認します。 新しく作成されたロールは”service-FlexMatchEventHandler-role-abc1defg”のような名前です。そのロールリンクをクリックします。 新しいウインドウもしくはタブでロール設定のIAMのページが開きます。アクセス権限タブでポリシーのリストが確認できます。そこにはすでに”AWSLambdaBasicExecutionRole”が存在します。DynamoDB へのアクセスを許可するために2番目のポリシーを追加する必要があります。 “ポリシーをアタッチします”をクリックします。そのリンクを新しいウインドウもしくはタブで開くことをおすすめします。あとで本ページに戻ってきます。 “ポリシーの作成”をクリックします。 ビジュアルエディタを利用します。(JSONのテンプレートを提供することもできましたが、いろいろなAPIが利用可能で、それらがどのように構築されているかを確認いただくのも興味深いと思います) “サービスの選択”をクリックします。 DynamoDBを検索し、結果をクリックします。 アクセスレベルで”読み込み”を展開し、”GetItem”をチェックします。 “書き込み”を展開し、”BatchWriteItem”をチェックします。今回のLambdaではnofiticationを受付、成功したチケットを一気に書き込む機能を持ち、本来であればBatchWriteItemのみが必要になりますが、その後ゲームユーザからTicketIdを用いて現在のマッチング結果的を検索する機能もあるのでGetItemも付与しました。AWSのベストプラクティスとしてIAM権限は最小限に留めておくことをおすすめしますが、もしLambda 関数で他のDynamoDBの操作(QueryやScan)を実装する予定があれば、関連する権限付与を忘れないでください。 リソースはすべてのリソースを指定します。  “ポリシーの確認”をクリックし、ポリシーの名前に“MatchingEventDynamoDBServicePolicy”と入力します。完了後、”ポリシーの作成”をクリックします。  そして、IAMロールのアクセス権限のページに戻ります。画面を更新し、新しいポリシーである”MatchingEventDynamoDBServicePolicy”を検索し、選択、”ポリシーのアタッチ”をクリックします。 Lambda関数にコードを追加します。Lambdaエディタのページに戻り、以下のコードを関数コードのエディタにペーストします。元々存在していたコードもすべて上書きします。 import json import logging […]

Read More

[AWS Black Belt Online Seminar] AWS ParallelCluster ではじめるクラウドHPC 資料及び QA 公開

先日 (2020/04/08) 開催しました AWS Black Belt Online Seminar「AWS ParallelCluster ではじめるクラウドHPC」の資料を公開しました。当日、参加者の皆様から頂いた QA の一部についても共有しております。 20200408 AWS Black Belt Online Seminar AWS ParallelCluster ではじめるクラウドHPC AWS クラウドサービス活用資料集(すべての過去資料が閲覧できます) Q. Parallel ClusterはAWSサポート対象外でしょうか?問合せ等はできますでしょうか? A. AWS ParallelCluster は、AWS 公式のオープンソースソフトウェアであり、サポートの対象となります。 — 今後の AWS Webinar | イベントスケジュール 直近で以下を予定しています。各詳細およびお申し込み先は下記URLからご確認いただけます。皆様のご参加をお待ちしております。 — AWS Innovate Online Conference / AWS Startup Day Online ** 好評につき期間延長!5/8 まで ** 【42セッション公開中】AWS Innovate は、AWS […]

Read More
Weekly AWS

週刊AWS – 2020/4/6週

全国のAWSに興味をお持ちのみなさん、こんにちは。ソリューションアーキテクトの小林です。 前回私が週刊AWSを担当した時に書いた多肉植物ですが、植え替えに耐えて無事に新しい土に根付いたようです。ほんのちょっとの間で目に見えるように成長しているので、驚いています。 さて、4月になり新年度が始まりました。AWSの年度は1月始まりなので私たちの活動という視点では特に大きな変化はないのですが、世の中的に新しい年度が始まるタイミングはなんとなく気持ちが引き締まるような気がします。良い機会なので部屋においてある荷物を断捨離するべく行動を開始したのですが、案外いろいろな懐かしいアイテムが出てくるものですね。いつしか無くしてしまったと思っていたモノがひょんなところから出てきたり、とうの昔に捨てたと思っていたモノが引き出しの奥底に眠っていたり。なかなか大変な作業ですが、新しい年度のはじめに押し入れや収納エリアの整理に取り組んでみてはいかがでしょうか? それでは、先週の主なアップデートについて振り返っていきましょう。今回は重要(だと私が思う)アップデートが多かったので、大盛りでのお届けです。

Read More

AWS Data Wrangler v1.0がリリースされました

2019年9月、当ブログでもご紹介したAWS Data Wrangler(以下、Data Wrangler)のv1.0がリリースされました。 以前紹介したときと比べて、主にAmazon Redshift(以下、Redshift)・AWS Glueデータカタログとの連携強化、その他Amazon EMR・Amazon CloudWatch Logsとの連携が追加されており、全体的により使いやすくなりました。v1.0になったことに伴い、改めて「AWS Data Wranglerとは?」および「簡単なチュートリアル」についてご紹介します。 (*)ブログ下段に、2019年9月のブログ投稿以降に追加された主要アップデートのサマリーを記載しています。 AWS Data Wranglerとは? Data WranglerはPandasライブラリの機能をAWSに拡張するオープンソースのPythonライブラリです。DataFrameとAWSデータ関連サービス(Redshift, AWS Glue(以下、Glue), Amazon Athena(以下、Athena), Amazon EMRなど)と接続します。 Pandas、Apache Arrow、Boto3、s3fs、SQLAlchemy、Psycopg2、PyMySQLなどのオープンソースライブラリを用いて、データレイク、データウェアハウス、データベースからのデータのロード/アンロードといった通常のETLタスクに必要となる抽象化された関数を提供します。 (公式ドキュメント:「What is AWS Data Wrangler?」より翻訳・引用) チュートリアル 公式ドキュメントにいくつかサンプルチュートリアルがあります。本ブログではAmazon SageMaker(以下、SageMaker)ノートブックを用いて、公式チュートリアル“01-Introduction.ipynb”、“06-Amazon Athena.ipynb”を参考に、簡易版をご紹介します。 1.S3の設定 1-1.AWSマネジメントコンソールにログインして、サービス一覧から”S3″を選択します。 1-2.[バケットを作成]ボタンをクリックし、[バケット名]に任意の名前(※世界で一意)を入力、リージョンが「アジアパシフィック(東京)」になっていることを確認し、[作成]ボタンをクリックします。 1-3.バケットが作成されたら、[フォルダの作成]をクリックし、フォルダ名に「data」といれてフォルダを作成します。 2.Glueデータカタログのデータベース作成 2-1.サービス一覧から”Glue”のコンソールを開き、左のメニューバーから[データベース]を選択します。 2-2.[データベースの追加]ボタンをクリックし、データベース名に「awswrangler_test」と入力し、[作成]ボタンをクリックします。 3.SageMakerノートブックの起動 ※SageMakerノートブックの起動からコード実行までの手順は簡略化したものとなっています。詳細については、下記URLのステップ2およびステップ3をご確認ください。 https://docs.aws.amazon.com/ja_jp/sagemaker/latest/dg/gs-setup-working-env.html 3-1.サービス一覧から”SageMaker”のコンソールを開き、左のメニューバーから[ノートブックインスタンス]を選択し、[ノートブックインスタンスの作成]を選択します。 3-2.ノートブックインスタンス名に任意の名前を入力し、ノートブックを作成します。(※ここでは新規にAWS IAMロールを作成します。) 3-3.サービス一覧から”IAM”を選択します。 3-4.手順“3-2”で作成したAWS IAMロールに対して、「AmazonS3FullAccess」と「AmazonAthenaFullAccess」を付与します。 3-5.作成したノートブックインスタンスから[Jupyterを開く]を選択し、ノートブックを起動します。 4.サンプルチュートリアルの実行 以下チュートリアルのシナリオはAmazon S3(以下、S3)上にあるCSVファイルをParquetファイルに変換、その後、Athenaからクエリを実行する例です。 […]

Read More

2020年のGameLift – 大型アップデートがプレビューで利用可能に

Amazon GameLiftを利用することで、開発者はセッションベースのマルチプレイヤーゲーム向けの専用サーバーを、低コストでデプロイ、運用、スケールすることができます。GameLiftはAWSのパワーと信頼性を活用し、世界中のプレイヤーにシームレスなゲームプレイ体験を提供します。例えば、Large Matchを利用して200人以上のプレイヤーが参加できるバトルロイヤルゲームを作成したり、Auto Scalingを使用してプレイヤーのトラフィックに応じてサーバーキャパシティを自動的に調整したりすることができます。本日、ゲーム開発者がGameLiftを採用する際に柔軟性を大幅に向上させられるアップデートをリリースします。現在プレビュー中のGameLift FleetIQ機能を利用すれば、既存のツールを流用し、他のGameLift機能を採用することなく、自分のペースでサーバワークロードをクラウドに移行することが可能になります。既存のオンプレミスでの導入と比較し、最大70%のコスト削減を実現することができます。EC2 スポットインスタンスとGameLift Fleet IQのセッション管理により、既存のゲームや新しいゲームを徐々にクラウドに移行することができます。コスト削減、リードタイム時間短縮、信頼性の高いプレイヤー体験を提供することが期待されます。更に、掘り下げてみましょう。 柔軟性が備わった低コストの専用ゲームサーバーを自分のペースでクラウド上に立ち上げましょう 昨年、私たちは、オンプレミスのデプロイメントより優れた機能を作るために何が必要かとお客様に尋ねました。コスト削減と低レイテンシーはもちろんですが、高い柔軟性が求められています。具体的には、お客様はGameLiftのゲームサーバー管理レイヤーを使わずに既存のツールを使いたい、またゲームをクラウドに移行する際もっとコントロール性を高めたいと考えていました。現在、開発者はGameLiftの他の機能と独立したGameLift FleetIQにアクセスすることができ、既存のツールやソフトウェアを使用して、ゲームを部分的または完全にクラウドに移行することができます。 FleetIQのアルゴリズムは常に、新しいゲームセッションをホストする最も適しているEC2 スポットインスタンスをリアルタイムで予測しています。今回のアップデートにより、開発者は既存のオンプレミスのゲームサーバーのキャパシティに沿って、そのインスタンスをAuto Scaling Groupsにプロビジョニングすることが可能になりました。これにより、ゲームセッションの中断が発生しにくいインスタンスにプレイヤーを誘導しながら、より多くのコントロールと柔軟性を提供することができます。インスタンスはお客様のアカウントで起動されるため、コンテナを使用したり、AWS ShieldやAmazon Elastic Container Serviceなどの他のAWSサービスを統合したりすることも可能です。 GameLift FleetIQは40種類のインスタンスタイプと15のリージョンをサポートしており、開発者はゲームに最適なインスタンスタイプとリージョンを選択することができます。GameLift FleetIQのドキュメントはこちらをご覧ください。 Ubisoft、Panzerdogと他の企業はどのようにGameLift FleetIQを活用していますか Ubisoft (For Honor)、Panzerdog (Tacticool)、Behaviour Interactive (Dead by Daylight)を始め、世界で最も成功しているゲーム会社は、GameLiftを信頼しています。 UbisoftのオンラインプログラミングリーダーであるLaurent Chouinard氏は”Ubisoftは、思い出に残るオリジナルなゲーム体験を通じ、プレイヤーの生活を豊かにすることを目指しています。その目標を実現するため、For Honorでは、Amazon GameLiftを利用しました。FleetIQスポットインスタンスを使用することで、100万のゲームセッションのうち、中断されたセッションは1以下でした。全体的にシームレスで拡張性の高いプレイヤー体験を提供することができました。” と述べました。 同様に、PanzerdogのCEOであるAlexey Sazonov氏は、次のように述べています。“Amazon GameLiftとスポットインスタンスを併用することで、ゲーム「Tacticool」のローンチを加速させ、コストを削減することができました。私たちは1,800万回以上のゲームセッションの中、中断を経験したのはわずか 0.004% であり、専用サーバにおける優れたプレイヤー体験を維持ながら大幅なコスト削減を実現できました。”上記の声はGameLiftのお客様のほんの一部ですが、1年を通してGameLift FleetIQの事例をもっとシェアできればと思います。 アップデートされたGameLift FleetIQをプレビューで使い始めよう プレビューでGameLift FleetIQを使用する際には、EC2の使用料とデータ転送料のみに料金が発生します。GameLift FleetIQアップデートが一般的に利用できるようになるのは今年後半になり、その時にはGameLiftの標準価格が適用されます。もちろん、既存GameLiftの機能(例;FlexMatch、FleetIQ、フリート管理)には、今までと同様の価格設定や条件で利用することができます。 これはほんの始まりに過ぎません 今回のアップデートは、今年に入ってからのお客様からのご要望の第一弾であります。これからの更新もご期待ください。その間に、お客様からのご意見もお待ちしております。今回のアップデートについてのご意見や、将来的にどのような機能があると良いかなどをお聞かせください。フォーラムまたは通常のソーシャルメディアチャンネルからのご連絡を心からお待ちしております。 原文: https://aws.amazon.com/jp/blogs/gametech/gamelift-in-2020-major-update-now-available-in-preview/ 翻訳:ゲームソリューションアーキテクト Fan Liang […]

Read More
Weekly AWS

週刊AWS – 2020/3/30週

みなさん、こんにちは。ソリューションアーキテクトの下佐粉です。 今週も週刊AWSをお届けします。 私がアマゾンで働き始めたのは今から5年と少し前なのですが、その時のAWSは全11リージョン(govcloudやLimited previewだった北京を入れた数)で、アベイラビリティゾーン(AZ)の合計は28でした。その後リージョンが世界各地に継続的に追加され、今では22リージョン+大阪ローカルリージョンと2倍になっています。ではAZの合計はどれぐらいに成長したかご存知でしょうか?それは今回の週刊AWSを読んでいただければ分かります:) それでは、先週の主なアップデートについて振り返っていきましょう。

Read More

AWS 及びオンプレミスリソースに安全にアクセスができる、AWS Client VPNの紹介

大小の多くの組織は、内部ネットワークでホストされているリソースへの安全なリモートユーザーアクセスを容易にするために、何らかの形のクライアント仮想プライベートネットワーク(VPN)接続に依存しています。これは、多くの場合、EC2インスタンスでオンプレミスのVPNハードウェアまたはプロビジョニングされたクライアントソフトウェア、VPNインフラストラクチャに依存することを意味しています。これらのクライアントベースのVPNソリューションの管理は、スケーリングと運用の課題をもたらし、継続的な負担となっています。多くの場合、予期しないイベントによって帯域幅と接続要件が急上昇し、VPNの可用性が低下します。 概要 AWS Client VPNは、OpenVPNベースのクライアントを使用して、任意の場所からAWSおよびオンプレミスのリソースに安全にアクセスする機能をお客様に提供するフルマネージドサービスです。リモートのエンドユーザーからAWSおよびオンプレミスのリソースへの接続は、この高可用性でスケーラブルな従量課金制のサービスによって促進できます。クライアントVPNソリューションの維持と実行という、差別化されていない重い作業からは完全に回避されます。AWS Client VPNでユニークなのは、サービスのスケーラブルな性質です。このサービスは、ライセンスや追加のインフラストラクチャを取得または管理する必要なく、多くのユーザーにシームレスに拡張されます。これは、典型的な接続の1日の流れなど、急激なワークロードにとって重要です。この良い例が悪天候です。通常、レガシークライアントVPNソリューションは、クライアント接続の増加に伴い、クライアント接続を提供するために必要な帯域幅の巨大な流入はもちろんのこと、限界に達しています。AWS Client VPNは、使用量の増加にもかかわらず、容量のニーズに合わせてスケーリングし、一貫したユーザーエクスペリエンスを保証します。 AWS Client VPNは、証明書ベースの認証とActive Directoryベースの認証の両方をサポートしています。Active Directoryグループに基づいてアクセスコントロールルールを定義でき、セキュリティグループを使用してAWS Client VPNユーザーのアクセスを制限できるため、顧客はより厳格なセキュリティコントロールを取得できます。単一のコンソールを使用して、すべてのクライアントVPN接続を簡単に監視および管理できます。クライアントVPNでは、Windows、macOS、iOS、Android、Linuxベースのデバイスなど、OpenVPNベースのクライアントから選択できます。 クライアントVPNは、クラウド中心の方法でクライアントVPNインフラストラクチャのプロビジョニング、スケーリング、および管理を簡素化しようとしています。コンソールを数回クリックするだけで、スケーラブルなクライアントVPNソリューションを簡単に展開できます。 使い方 AWSはクライアントVPNのバックエンドインフラストラクチャを管理します。必要に応じてサービスを構成するだけです。プロビジョニングプロセスを次のアーキテクチャ図に示します。 クライアントVPNの導入 次に、クライアントVPNの展開について説明します。Active Directory認証を使用したクライアントVPN接続のエンドツーエンドソリューションの展開について説明します。 クライアントVPNエンドポイントを作成する まず、AWSマネジメントコンソールのVPCセクションに移動します。オプションとして、クライアントVPNエンドポイントがあります。 コンソールのこの新しい部分から、クライアントVPNエンドポイントを作成できます。 次に、VPNクライアントのCIDRを選択します。この例では、使用できる最小のサブネットである/ 22アドレススペースを使用しています。必要に応じて、より大きなサブネットを指定できます(/ 18まで)。選択するサブネットが、クライアントVPNエンドポイントを介してアクセスするリソースと重複しないことを確認してください。クライアントVPNはソースNAT(SNAT)を使用して、関連付けられたVPCのリソースに接続することに注意してください。 次のセクションでは、認証のための情報を入力する必要があります。以前に管理対象のActive Directoryを展開したことがあるので、それを選択します。AWS Managed Microsoft ADディレクトリがない場合は、ここからセットアップに関する詳細情報を見つけることができます。プライベート証明書を生成してAWS Certificate Manager(ACM)にインポートする必要があります。このウォークスルーでは、Active Directory認証のみを示しています。 次のセクションでは、接続ログを構成します。この目的のために、CloudWatchロググループをすでに設定しています。接続ログを使用すると、クライアントが接続を試みたフォレンジックと、接続試行の結果を取得できます。 構成の最後のセクションでは、DNSサーバーのIPアドレスを指定し、クライアント接続にTCPまたはUDPを選択します。ここでは、Route 53 Resolverの受信エンドポイントのIPアドレスを選択していますが、環境で使用するDNSサーバーを選択できます。 必要な情報の入力が完了すると、VPNエンドポイントがPending-associateであることがわかります。これで、VPNエンドポイントを1つ以上のVPCに関連付けることができます。 クライアントVPNエンドポイントをターゲットネットワークに関連付ける 次のステップは、VPNエンドポイントをターゲットネットワーク(VPCサブネット)に関連付けることです。これは、AWSクライアントVPNコンソールのアソシエーション部分を介して行われます。 VPCとサブネットを選択して、クライアントVPNエンドポイントとの関連付けを作成します。VPCに特定のサブネットを作成して、VPCエンドポイントのENIをホストし、クライアントVPNトラフィックの可視性とトレーサビリティを容易にしました。クライアントVPCエンドポイントは複数のサブネットに関連付けることができますが、各サブネットが同じVPCに属しているが、異なるアベイラビリティーゾーンに属している必要があることです。ターゲットネットワーク(VPC内のサブネット)を正常に関連付けると、VPNセッションを作成することができ、リソースにアクセスできなくなります。 VPCへのエンドユーザーアクセスを有効にする(承認ルールを追加する) 次のステップは、認可ルールを追加することです。承認規則は、クライアントVPNエンドポイントを介して指定されたネットワークにアクセスできるユーザーのセットを制御します。例では、「クライアントVPN」ADグループのユーザーにのみアクセスを許可します。これを行うには、まず、AWSアカウントの既存のAWS Microsoft Active Directoryで作成した「クライアントVPN」ADグループのSIDを取得します。これは次のスクリーンショットに示されています。 次に、クライアントVPNコンソールの承認部分に移動し、[ Authorize Ingress ]をクリックします。 宛先ネットワークを有効にするにはインターネットのトラフィック(NAT Gatewayを通じてVPC内で実行している)を含め、クライアントVPNエンドポイントを通って流れるようにすべてのトラフィックを有効にするためには、私は0.0.0.0/0のデフォルトルートを入力します。次に、VPNユーザーグループのSIDをActive […]

Read More