Amazon Web Services ブログ

Category: Networking & Content Delivery

CloudFront 関数の導入 – 任意の規模において低レイテンシーでコードをエッジで実行

Amazon CloudFront を使用すると、データ、動画、アプリケーション、API を低レイテンシーと高速転送速度で世界中の顧客に安全に配信できます。カスタマイズされたエクスペリエンスを可能な限り最小のレイテンシーで提供するために、今日の多くのアプリケーションはエッジで何らかの形式のロジックを実行します。エッジでロジックを適用するユースケースは、主に 2 つのカテゴリに分類できます。 最初のカテゴリは、オブジェクトがキャッシュにないときに実行される複雑な計算負荷の高いオペレーションです。私たちは、広範で複雑なカスタマイズを実装するための完全にプログラミング可能なサーバーレスエッジコンピューティング環境を提供するために 2017 年に Lambda@Edge を立ち上げました。Lambda@Edge 関数は、リージョンのエッジキャッシュで実行されます (通常は、クライアントがアクセスする CloudFront エッジロケーションに最も近い AWS リージョン内にあります)。たとえば、動画やオーディオをストリーミングする場合、Lambda@Edge を使用して適切なセグメントをすばやく作成して提供することで、オリジンのスケーラビリティの必要性を減らすことができます。もう 1 つの一般的なユースケースは、Lambda@Edge と Amazon DynamoDB を使用して、短縮されたユーザーフレンドリーな URL を完全な URL ランディングページに変換することです。 ユースケースの 2 番目のカテゴリは、非常に短命の関数で実行できるシンプルな HTTP(S) リクエスト/レスポンス操作です。このユースケースでは、パフォーマンス、スケール、費用対効果を備え、各リクエストで操作を実行できる柔軟なプログラミングエクスペリエンスが必要です。 この 2 番目のユースケースを支援するために、218 以上の CloudFront エッジロケーションで軽量の JavaScript コードを Lambda@Edge の 1/6 のコストで実行できる新しいサーバーレススクリプトプラットフォームである CloudFront Functions の提供が開始されました。 CloudFront Functions は、次のようなウェブリクエストの軽量な処理に最適です。 キャッシュキーの操作と正規化: HTTP リクエスト属性 (URL、ヘッダー、クッキー、クエリ文字列など) […]

Read More

AWS TransitGateway が大阪リージョンでご利用いただけます

みなさん、こんにちは。アマゾン ウェブ サービス ジャパン、シニアエバンジェリストの亀田です。 AWS Transit Gatewayが大阪リージョンでご利用いただけるようになりましたのでお知らせいたします。 AWS Transit Gateway Transit Gateway は、中央ハブを介して VPC とオンプレミスネットワークを接続しクラウドルーターとして機能するため、複数VPCの接続などでVPC Peeringを用いた複雑なピア接続関係ネットワークを簡素化することができます。データは自動的に暗号化され、インターネットを介して移動することはありません。また、IPv4 環境だけではなくIPv6環境をサポートします。 数千の Amazon VPC にまたがるアプリケーションを構築する際、個別VPCのPeeringやルートテーブルを更新せずに新しい接続関係を作成することが可能になります。新しい VPC を追加でアタッチする場合、その CIDR が、既にアタッチされている別のVPC と同一である場合、Transit Gateway では、新しい VPC のルートを ルートテーブルに伝播しないため、異なるCIDR持つ必要があることをVPC作成時点で留意いただく必要があります。この際、静的ルーティングは行われず、BGPによりルートは自動でアドバタイスされ、BGP セッションはGeneric Routing Encapsulation (GRE) トンネル上に確立されます。 VPC接続だけではなく、AWS Direct Connect ゲートウェイを追加して、オンプレミスネットワークトのルーティングも管理を行えます。 異なるリージョン間のTransit Gatewayをピアリング接続させるための、Peering接続は2021年4月27日時点で、大阪リージョンで未サポートですので、リージョンをまたぐ接続は従来通りVPC Peeringをご利用いただくことなります。また同様に、Transit Gateway はマルチキャスト IGMPをサポートしており、アプリケーションを再設計することなく、マルチキャストアプリケーションをAWS上にホストすることもできますが、現時点で大阪リージョンにはまだ未対応ですのでご留意ください。これらの機能のご要望をお持ちのお客さまは是非サポートまでご意見をお寄せください。 – シニアエバンジェリスト 亀田

Read More
Choosing the right AWS live streaming solution for your use case

ユースケースに合わせたAWSライブストリーミングソリューションの選択

昨年7月、AWSは低遅延の双方向ストリーミングサービスを実現するマネージドライブストリーミングサービスAmazon Interactive Video Service (Amazon IVS) を発表しました。Amazon IVSは、既存のAWSメディアサービスに加えてライブストリーミング体験を構築するための優れた機能を備えていますが、お客様から特定のユースケースに対してどのオプションが最適かという質問をよく受けます。 この質問に回答するためには、まずお客様のビジネスゴール、コア技術コンピテンシー、アプリケーション要件を理解することが重要だと考えています。

Read More

【SAP Fioriのパフォーマンス向上】Amazon CloudFrontとAWS Global Acceleratorの活用

はじめに グローバルに事業を展開するSAPのお客様は、全従業員がいつでも、どのデバイスからでも、どこからでもSAPアプリケーションにアクセスできるようにしたいと考えています。アクセスするサービスを24時間利用できるような、いつでもアクセス可能にすることは実は非常に簡単です。あらゆるデバイスからのアクセスは、SAPUI5の機能を備えたSAP Fioriの重要な特徴です。しかし、どこからでもアクセスできるというのは複雑な問題で、お客様は組織のセキュリティポリシー、パフォーマンス要件、拠点からの既存のネットワーク接続(その帯域幅やレイテンシーの特性を含む)、ユーザーのモビリティなど、様々な点を考慮する必要があります。 このブログでは、お客様がAWS上でSAPワークロードを実行しており、専用のネットワーク接続に多額の投資をすることなくSAPアプリケーションへの直接アクセスを提供することに興味を持っているというシナリオを考えてみます。

Read More

AWS Service Catalog とAWS Marketplace の CloudEndure を使用して、AWS アカウントのプロビジョニングとサーバーの移行を自動化する

AWS クラウドに移行する予定の会社の移行プロジェクトに関与している場合は、移行の準備、ポートフォリオの発見、計画、設計など、さまざまな段階を経ることでしょう。ほとんどの場合、これらの段階の後に正念場を迎え、物理ベース、仮想ベース、またはクラウドベースのインフラストラクチャワークロードの AWS への移行を開始します。AWS のお客様は、CloudEndure (現在は AWS の会社) などのツールを使用して、アプリケーションの移行、災害復旧や AWS へのレガシーインフラストラクチャのバックアップを自動化します。移行中にお客様が直面する課題の 1 つに、サーバーを管理して、数百または数千の AWS アカウントで構成される階層的なアカウント構造に移動することがあります。このブログ記事では、新しい CloudEndure 移行プロジェクトのセットアップを自動化する方法と、お使いの環境で新しいアカウントを販売するたびに「アカウント自動販売機」を使用してこのプロセスを自動化する方法を学びます。 はじめに CloudEndure は、AWS への大規模な移行と障害復旧のデプロイを簡素化、迅速化、自動化するのに役立ちます。継続的なデータレプリケーションはバックグラウンドで行われ、アプリケーションの中断やパフォーマンスへの影響はありません。これにより、データがリアルタイムで同期され、カットオーバー/フェイルオーバーウィンドウが最小限に抑えられます。カットオーバー/フェイルオーバーが開始されると、CloudEndure は高度に自動化されたマシン変換とオーケストレーションプロセスを実行します。これにより、最も複雑なアプリケーションやデータベースでも、互換性の問題なく、最小限の IT スキルで AWS でネイティブに実行できます。AWS Marketplace から CloudEndure をデプロイできます。 このアカウントの自動販売機を作成するには、AWS Service Catalog、AWS Lambda、AWS Organizations などのネイティブの AWS のサービスを追加で使用します。また、CloudEndure との API 統合を使用して、アカウントの作成後に新しいプロジェクトをセットアップします。さらに、移行をサポートするために、販売したアカウントで AWS Direct Connect、Amazon Kinesis Data Firehose、Amazon S3 Transfer Acceleration などの追加の AWS のサービスを設定して、この参考用のサンプルソリューションを拡張できます。 このソリューションのサービス このソリューションで使用するサービスの簡単なレビューを次に示します。 […]

Read More

[AWS Black Belt Online Seminar] Gateway Load Balancer 資料及び QA 公開

先日 (2021/03/31) 開催しました AWS Black Belt Online Seminar「Gateway Load Balancer」の資料を公開しました。当日、参加者の皆様から頂いた QA の一部についても共有しております。 20210331 AWS Black Belt Online Seminar Gateway Load Balancer AWS クラウドサービス活用資料集(すべての過去資料が閲覧できます) Q. エンドポイントと GWLB 間は従来の PrivateLink を使用しているとの事ですが、UDP の通信は通りますか? A. はい、通ります。TCP/UDP は関係なくIP 通信であれば問題ございません。(現状は IPv4 のみサポート) Q. トラフィックフロー例 1 の Public IP はどこに付与された IP になるのでしょうか? A. トラフィックフロー例 1 は Customer VPC 内の Instance 自身が Public […]

Read More

Amazon FSx for Windows File ServerをAzure ADDSドメインと使用する方法

このブログはAdeleke Coker (Sr. Cloud Support Engineer)によって執筆された内容を日本語化した物です。原文はこちらを参照して下さい。 Amazon FSx for Windows File Serverは、業界標準のSMB(Server Message Block)プロトコルでアクセスでき、Microsoft Active Directoryと統合された共有ファイルストレージを必要とする様々なユースケースに使用されています。Amazon FSxは、オンプレミスでもクラウドでも、セルフマネージドでもフルマネージドでも、ユーザIDをホストしているMicrosoft Active Directoryであれば、どこでも使用することができます。このブログでは、ユーザIDがAzure Active Directory Domain Services (ADDS)ドメインでホストされている場合に、どのようにAmazon FSxを使用できるかについて説明します。Active Directoryは、ネットワーク上のオブジェクトに関する情報を保存し、管理者やユーザーがその情報を簡単に見つけて使用できるようにするために使用されるMicrosoftのディレクトリサービスです。これらのオブジェクトには、通常、ファイルサーバーなどの共有リソースや、ネットワークユーザーおよびコンピュータアカウントが含まれます。Amazon FSxは、AWS Directory Service for Microsoft Active DirectoryでAmazon FSxを使用したり、オンプレミスのActive DirectoryでAmazon FSx for Windows File Serverを使用したりするなど、ファイルシステムを参加させるActive Directory環境を管理者が柔軟にコントロールすることができ、ポリシーの適用や管理権限の委譲を容易に行う事が出来ます。 ADDS上でホストされているActive Directoryにユーザーのアイデンティティがある場合、アイデンティティをAWSに移行または同期する必要なく、そのActive DirectoryでAmazon FSx for Windows File Serverを使用することができます。このブログでは、ラボ環境での例を用いて、Amazon FSxを既存のADDSに参加させる方法を示します。既存のADDSのアイデンティティは、保存されたファイルにアクセスするためにこの共有を利用することができ、Amazon FSx for Windows File Serverのファイル共有に対して認証するためにAzure […]

Read More

Amazon VPC 向け Amazon Route 53 Resolver DNS Firewall の使用を開始する方法

ネットワーク内でアウトバウンド接続をする際には、通常、DNS ルックアップから始めます。セキュリティグループ、ネットワークアクセスコントロールリスト (ACL)、AWS ネットワークファイアウォールなどの AWS サービスを使うと、Amazon Virtual Private Cloud (VPC) のリソースとインターネットサービスが不必要に直接通信しないようにすることができます。これらの AWS サービスはネットワークトラフィックをフィルタリングしますが、パブリック DNS レコード、Amazon Virtual Private Cloud (VPC) 固有の DNS 名、および Amazon Route 53 プライベートホストゾーンに対する DNS クエリに自動的に応答している Amazon Route 53 Resolver に向けたアウトバウンド DNS リクエストはブロックしません。 DNS 漏洩により、DNS クエリを介して犯罪者が管理するドメインにデータが流出する可能性があります。例えば、犯罪者がドメイン「example.com」を管理しており、「sensitive-data」を流出させたい場合、VPC 内の犯罪者が侵入しているインスタンスから「sensitive-data.example.com」の DNS ルックアップを発行できます。これを防ぎ、不正行為による DNS ルックアップをフィルタリングするために、従来は各自が DNS サーバーを操作する手間が必要でした。 こういった DNS レベルの脅威を防ぐことができる Amazon Route 53 Resolver DNS Firewall (DNS […]

Read More

Amazon EKS 上の AWS App Mesh での SPIFFE/SPIRE による mTLS の使用

本記事は、Efe Selcuk、Apurup Chevuru、Michael Hausenblas による Using mTLS with SPIFFE/SPIRE in AWS App Mesh on Amazon EKS を翻訳したものです。 AWS では、セキュリティを最優先事項と考え、責任共有モデルの観点から、お客様の責任部分をケアするためのコントロールを提供しています。サービスメッシュの一般的な使用例の 1 つは、通信経路のセキュリティ対策を強化することが挙げられますが、これは AWS App Mesh でも重点的に取り組んでいます。また、mTLS を安全かつ正しく利用するという課題は、実務者の間でも議論の対象となっています。AWS は App Mesh roadmap からの mTLS (mutual TLS、相互 TLS) の要望に応え、この機能のサポートを開始しました。このブログ記事では、mTLS の背景を説明し、Amazon Elastic Kubernetes Service (EKS) クラスターを使用したエンドツーエンドの例を紹介します。 背景 mTLS にあまり詳しくない場合は、このセクションをご覧ください。そうでない場合は、ウォークスルーに進んでください。 SPIFFE (Secure Production Identity Framework for Everyone) プロジェクトは、CNCF (Cloud Native […]

Read More
creating-a-secure-video-on-demand-vod-platform

AWSでセキュアなビデオオンデマンド(VOD)プラットフォームを構築する方法

動画の活用は情報共有や学習の主要な手段となっており、お客様はeラーニングや動画配信の分野に参入するために、革新的なソリューションに投資を始めています。動画コンテンツはお客様のIP (知的財産) であり、保護され安全に配信される必要があります。オンライン動画は、企業、教育機関、政府機関などあらゆる業界がますます活用するようになっている強力なテクノロジーです。 多くの企業や組織はセキュアなストリーミングソリューションを必要としています。特に、医療機関、大学・学校、企業、OTT・メディア事業者、知的財産権・著作権保護団体、弁護士、官公庁などはセキュリティが絶対に必要であると考えるべきでしょう。

Read More