Amazon Web Services ブログ

Category: Networking & Content Delivery

ディスラプションへの対応 : 金融機関がクラウドテクノロジーを使用して COVID-19に対応し、業界を変革する方法

AWS for Industries 本投稿はアマゾンウェブサービス (AWS) のグローバル金融領域の市場開発を担当するマネージングディレクターの Scott Mullins による寄稿を翻訳したものです。 「ディスラプション」。 これは、金融業界でよく耳にする言葉です。確立された規範、マーケットリーダー、あるいは製品に取って代わる可能性のある、新しい市場やバリューネットワークを生み出すイノベーションについて述べる際によく使われます。今世界が直面している前代未聞の健康上の難題は、世界経済そして世界中の人々に、上記とは異なる種類のディスラプション(混乱)をもたらしています。これは、今ある金融サービスの提供方法に直接影響し、将来的には金融業界の仕組みや利用者とのやり取りの形を変えていくことになるでしょう。 COVID-19 は、金融機関や利用者の通常のビジネスのやり方を根底から覆し、両者それぞれが対処すべき独自の懸念事項や要求を抱えることとなりました。事業の存続可能性を判断したり、財務的なコミットメントを達成する能力を維持したりする上で、スピードが非常に重要視されているときには、金融サービスの利用者は資本に到達できるかどうかに注目しています。金融機関は、安全性、セキュリティ、回復力、拡張性、および業務の継続的な健全性を重視しています。金融規制当局は、経済の回復を重視し、資金を必要とする企業が資金調達できるようにし、国内および世界の金融システムの安定性の確保に務めています。技術的な観点では、これらの懸念や要求の高まりは金融システムの負担に変換されていきます。この病気は、レガシーなアプリケーションやインフラストラクチャーが利用者と主にデジタルでやり取りを行う体制へ即座に移行する能力、そして世界市場が直面している異常な取引量と変動の凄まじさへも対応する能力を持ち合わせているかどうかを試しています。 AWS は世界中の金融機関、政府、規制当局と協力して、COVID-19 がもたらす世界経済の課題への取組みを支援しています。リモートワークの実現、ミッションクリティカルなアプリケーションの業務回復力の維持、桁外れの取引量を捌くための世界規模の市場システムの拡張性、充実した機能で使いやすい顧客体験を提供するデジタルでの関わり方の実現、費用対効果を改善するためのアプリケーションおよび環境の最適化など、世界経済を動かしている人々やシステムが継続して動き続けられるよう、AWS は金融サービスのお客様と協働しながら取り組んでいます。本投稿では、私たちがお客様と共に積極的に取り組んでいるいくつかの主要な取組みをご紹介します。(実現できることやどのように AWS が支援できるかといった点に焦点を当てるため、具体的な金融機関名にはあえて言及しておりません。)主要な取組みには以下のようなものがあります: 金融サービスを動かしている人々が働き続けられるようにする COVID-19 が世界中の人々に影響を与えている状況下で、日々の生産性への影響を最小限に抑え、従業員の健康と安全を確保するため、金融機関は業務手順をすばやく変更し、リモートワークに切り替えました。パンデミックが継続するにつれて、企業は従業員が場所を問わず安全に働くための選択肢をさらに検討し始めています。場所を問わず働けるようサポートする方法、世界中にいる従業員間のコラボレーションを促進する方法、状況に応じて変更できる接続ポイントを管理する方法、あるいは災害発生時にビジネスの継続性を確保する方法といった信頼できるリモートワークソリューションを金融機関は求めています。AWS は、従業員、契約社員、学生、そしてコンタクトセンターの従業員がリモートワークをすばやく行えるよう、一連のソリューションを構築し、提供しています。 例えば、Amazon WorkSpaces はマネージド型のセキュアな Desktop-as-a-Service (DaaS) ソリューションで、外勤および在宅勤務の従業員が必要なアプリケーションへのアクセスを支援します。Amazon WorkSpaces を使用すると、外勤者はインターネット接続が可能であればいつでもどこからでもサポートされているデバイスを使用して、自身で選択した応答速度が速いデスクトップ環境を手にすることができます。金融機関は、デスクトップアプリケーションおよび外勤者に対するセキュリティとデータ統制の要件を満たす必要があります。エンドユーザーデバイスは、非常に重要なデータが攻撃、損失、または盗難に晒されるといったリスクがある接続ポイントになりうるという課題をもたらします。AWS では、お客様は接続ポイントを一元管理することで、セキュリティを向上させ、コンプライアンスを維持できます。この対策のために、オンプレミスソリューションで発生するような費用や複雑さはありません。COVID-19 への対応策として、あるグローバル投資管理会社のお客様は、数千人のユーザーに対し在宅勤務ソリューションを 1 週間以内に展開しました。セキュリティを最優先としながら、このお客様は従業員 1 人あたり複数の Amazon WorkSpace を提供しました。 Amazon Connect を使うと、完全に機能するコンタクトセンターをわずか数分で立ち上げ、事実上どこからでも運用できます。エージェント、スーパーバイザー (SV)、マネージャー、管理者は自宅で働きながら、通常の業務をすべて実行できます。エージェントは受電・架電を行えます。SV は、同じオフィスにいるかのように、エージェントをリアルタイムでモニタリングし、コーチングすることができます。管理者は、ダッシュボードの表示、レポートの作成、サービスレベルの監視、通話履歴の聴き取り、パフォーマンスの追跡といった作業をすべて自宅で行うことができます。ある欧州のグローバルなシステム上重要な銀行 (G-SIB) は、COVID-19 へ対処するために迅速に Amazon Connect を展開し、サービスを中断することなく、エージェントが自宅から銀行の顧客をサポートできるようにしました。 AWS Client VPN は、数千人のリモートユーザーをサポートするように伸縮自在にスケール可能な、完全マネージド型の従量制 […]

Read More

AWS 及びオンプレミスリソースに安全にアクセスができる、AWS Client VPNの紹介

大小の多くの組織は、内部ネットワークでホストされているリソースへの安全なリモートユーザーアクセスを容易にするために、何らかの形のクライアント仮想プライベートネットワーク(VPN)接続に依存しています。これは、多くの場合、EC2インスタンスでオンプレミスのVPNハードウェアまたはプロビジョニングされたクライアントソフトウェア、VPNインフラストラクチャに依存することを意味しています。これらのクライアントベースのVPNソリューションの管理は、スケーリングと運用の課題をもたらし、継続的な負担となっています。多くの場合、予期しないイベントによって帯域幅と接続要件が急上昇し、VPNの可用性が低下します。 概要 AWS Client VPNは、OpenVPNベースのクライアントを使用して、任意の場所からAWSおよびオンプレミスのリソースに安全にアクセスする機能をお客様に提供するフルマネージドサービスです。リモートのエンドユーザーからAWSおよびオンプレミスのリソースへの接続は、この高可用性でスケーラブルな従量課金制のサービスによって促進できます。クライアントVPNソリューションの維持と実行という、差別化されていない重い作業からは完全に回避されます。AWS Client VPNでユニークなのは、サービスのスケーラブルな性質です。このサービスは、ライセンスや追加のインフラストラクチャを取得または管理する必要なく、多くのユーザーにシームレスに拡張されます。これは、典型的な接続の1日の流れなど、急激なワークロードにとって重要です。この良い例が悪天候です。通常、レガシークライアントVPNソリューションは、クライアント接続の増加に伴い、クライアント接続を提供するために必要な帯域幅の巨大な流入はもちろんのこと、限界に達しています。AWS Client VPNは、使用量の増加にもかかわらず、容量のニーズに合わせてスケーリングし、一貫したユーザーエクスペリエンスを保証します。 AWS Client VPNは、証明書ベースの認証とActive Directoryベースの認証の両方をサポートしています。Active Directoryグループに基づいてアクセスコントロールルールを定義でき、セキュリティグループを使用してAWS Client VPNユーザーのアクセスを制限できるため、顧客はより厳格なセキュリティコントロールを取得できます。単一のコンソールを使用して、すべてのクライアントVPN接続を簡単に監視および管理できます。クライアントVPNでは、Windows、macOS、iOS、Android、Linuxベースのデバイスなど、OpenVPNベースのクライアントから選択できます。 クライアントVPNは、クラウド中心の方法でクライアントVPNインフラストラクチャのプロビジョニング、スケーリング、および管理を簡素化しようとしています。コンソールを数回クリックするだけで、スケーラブルなクライアントVPNソリューションを簡単に展開できます。 使い方 AWSはクライアントVPNのバックエンドインフラストラクチャを管理します。必要に応じてサービスを構成するだけです。プロビジョニングプロセスを次のアーキテクチャ図に示します。 クライアントVPNの導入 次に、クライアントVPNの展開について説明します。Active Directory認証を使用したクライアントVPN接続のエンドツーエンドソリューションの展開について説明します。 クライアントVPNエンドポイントを作成する まず、AWSマネジメントコンソールのVPCセクションに移動します。オプションとして、クライアントVPNエンドポイントがあります。 コンソールのこの新しい部分から、クライアントVPNエンドポイントを作成できます。 次に、VPNクライアントのCIDRを選択します。この例では、使用できる最小のサブネットである/ 22アドレススペースを使用しています。必要に応じて、より大きなサブネットを指定できます(/ 18まで)。選択するサブネットが、クライアントVPNエンドポイントを介してアクセスするリソースと重複しないことを確認してください。クライアントVPNはソースNAT(SNAT)を使用して、関連付けられたVPCのリソースに接続することに注意してください。 次のセクションでは、認証のための情報を入力する必要があります。以前に管理対象のActive Directoryを展開したことがあるので、それを選択します。AWS Managed Microsoft ADディレクトリがない場合は、ここからセットアップに関する詳細情報を見つけることができます。プライベート証明書を生成してAWS Certificate Manager(ACM)にインポートする必要があります。このウォークスルーでは、Active Directory認証のみを示しています。 次のセクションでは、接続ログを構成します。この目的のために、CloudWatchロググループをすでに設定しています。接続ログを使用すると、クライアントが接続を試みたフォレンジックと、接続試行の結果を取得できます。 構成の最後のセクションでは、DNSサーバーのIPアドレスを指定し、クライアント接続にTCPまたはUDPを選択します。ここでは、Route 53 Resolverの受信エンドポイントのIPアドレスを選択していますが、環境で使用するDNSサーバーを選択できます。 必要な情報の入力が完了すると、VPNエンドポイントがPending-associateであることがわかります。これで、VPNエンドポイントを1つ以上のVPCに関連付けることができます。 クライアントVPNエンドポイントをターゲットネットワークに関連付ける 次のステップは、VPNエンドポイントをターゲットネットワーク(VPCサブネット)に関連付けることです。これは、AWSクライアントVPNコンソールのアソシエーション部分を介して行われます。 VPCとサブネットを選択して、クライアントVPNエンドポイントとの関連付けを作成します。VPCに特定のサブネットを作成して、VPCエンドポイントのENIをホストし、クライアントVPNトラフィックの可視性とトレーサビリティを容易にしました。クライアントVPCエンドポイントは複数のサブネットに関連付けることができますが、各サブネットが同じVPCに属しているが、異なるアベイラビリティーゾーンに属している必要があることです。ターゲットネットワーク(VPC内のサブネット)を正常に関連付けると、VPNセッションを作成することができ、リソースにアクセスできなくなります。 VPCへのエンドユーザーアクセスを有効にする(承認ルールを追加する) 次のステップは、認可ルールを追加することです。承認規則は、クライアントVPNエンドポイントを介して指定されたネットワークにアクセスできるユーザーのセットを制御します。例では、「クライアントVPN」ADグループのユーザーにのみアクセスを許可します。これを行うには、まず、AWSアカウントの既存のAWS Microsoft Active Directoryで作成した「クライアントVPN」ADグループのSIDを取得します。これは次のスクリーンショットに示されています。 次に、クライアントVPNコンソールの承認部分に移動し、[ Authorize Ingress ]をクリックします。 宛先ネットワークを有効にするにはインターネットのトラフィック(NAT Gatewayを通じてVPC内で実行している)を含め、クライアントVPNエンドポイントを通って流れるようにすべてのトラフィックを有効にするためには、私は0.0.0.0/0のデフォルトルートを入力します。次に、VPNユーザーグループのSIDをActive […]

Read More

[AWS Black Belt Online Seminar] オンプレミスとAWS間の冗長化接続 資料及び QA 公開

先日 (2020/02/19) 開催しました AWS Black Belt Online Seminar「オンプレミスとAWS間の冗長化接続」の資料を公開しました。当日、参加者の皆様から頂いた QA の一部についても共有しております。 20200219 AWS Black Belt Online Seminar オンプレミスとAWS間の冗長化接続 from Amazon Web Services Japan AWS クラウドサービス活用資料集(すべての過去資料が閲覧できます) Q. リージョンをまたいだ冗長構成(Act/Act、Act/Sby)のベストプラクティスはありますでしょうか? A. 多くの場合、オンプレミス拠点から一番近くにある Direct Connect ロケーションへ接続したほうが、レイテンシーの面で有利になります。そのため、レイテンシーが短い接続を Active、他方を Standby とする方が一般的かと考えます。 一方で、こういったレイテンシーの違いによるアプリケーションへの影響が無い場合、両方の接続で帯域を使い切る事ができるActive-Activeを選択する事も有効です。 どちらの方式を選択するかは、ご利用のアプリケーションの要件からご判断ください。 — 今後の AWS Webinar | イベントスケジュール 直近で以下を予定しています。各詳細およびお申し込み先は下記URLからご確認いただけます。皆様のご参加をお待ちしております。 — AWSome Day Online Conference 「AWSome Day Online」は、実際に足を運んでいただく 1 日の AWSome Day […]

Read More

Contour で EKS Ingress を保護し、Let’s Encrypt の GitOps 方法を学びます

Weaveworks の Stefan Prodan 氏によるゲスト投稿です。 Kubernetes の用語で、Ingress は、クラスターの外部からクラスター内で実行されているサービスへの HTTP(S) ルートを公開します。Ingress は、負荷分散と SSL/TLS 終了を実行しながら、Kubernetes サービスに外部から到達可能な URL を提供するように構成できます。 Kubernetes には Ingress リソースが付属しており、ELB Ingress Controller や NGINX などの Ingress 仕様を実装するコントローラがいくつかあります。Kubernetes Ingress の仕様は非常に限られているため、ほとんどのコントローラはアノテーションを使用してルーティング機能を Ingress が許可する基本範囲を超えて拡張する必要がありました。ただし、アノテーションを使用しても、名前空間間のルーティングや加重負荷分散など、解決できない制限がいくつかあります。 Contour (今後 CNCF プロジェクト) は、Envoy に基づいた最新の Ingress コントローラで、HTTPProxy という名前の新しい仕様で Ingress API の機能を拡張します。HTTPProxy API は、より豊かなユーザー体験を可能にし、マルチテナント環境での Ingress の使用制限に対処します。 HTTPProxy 仕様は、HTTP ヘッダーまたは Cookie フィルターに基づいた高度な L7 ルーティングポリシー、および Kubernetes […]

Read More

株式会社フジテレビジョン、ワールドカップバレー 2019 の配信において AWS を利用した超低遅延配信を実現

『 超低遅延配信は放送番組の視聴をより楽しくするマルチスクリーンでの利用や UGC におけるユーザ体験の向上を通し、インターネット配信に大きな変化をもたらすでしょう。』と株式会社フジテレビジョン(フジテレビ) 技術局 技術開発部 副部長 伊藤氏は述べます。 そして以下のように続きます。『 今回の ワールドカップバレー 2019( FIVB2019 ) では数万人が同時に視聴できる環境をわずか 3~4 週間で組み上げ本番に臨みました。我々は手軽に素早く超低遅延配信環境を実現できるようになりました。また、従量課金で利用でき、配信時における煩雑な運用から解放された事を非常に嬉しく思います。我々は既にそのユースケースを拡大しています。』 超低遅延配信はスポーツ Live 、TV と連動した配信、配信者/ユーザとのインタラクティブなやりとりを必要とする配信など様々なシーンで求められています。ただし超低遅延配信の実現には CMAF-UltraLowLAtency(ULL) 、WebRTC 、LL-HLS 、セグメント秒数を切り詰めた HLS/MPEG-DASH など様々なアプローチがありますが、超低遅延配信に対応したエンコーダ/インフラ/プレイヤーの準備が必要であり、大規模配信への対応の容易さ、到達できる遅延秒数も様々でした。 フジテレビは CMAF-ULL を用いて地上デジタル放送と同程度の約2~3秒という遅延量で FIVB2019 の配信を実現させました。それは地上デジタル放送の放送映像をさらに楽しんで頂くためのマルチスクリーンとして配信され、TV では試合のコート全体が映し出されている間、手元のスマートフォンではエース選手やフォーカスされた選手にクローズアップされるといったユーザ体験を向上させる取り組みでした。目的はユーザ体験を向上させ、これまでよりも更に試合の運び、選手の動きに注目し、放送番組にのめり込んでもらう事でした。 低遅延配信を実現した仕組みを以下の図に記します。 試合会場からの映像信号はフジテレビ局舎に伝送され、地上デジタル放送用設備と超低遅延配信用エンコーダである Videon社のEdgeCaster4K に分配して入力されます EdgeCaster4K では入力された映像信号を CMAF-ULL の HLS/DASH に処理します。1つの fMP4 ファイルの構造は 8 秒セグメント、200msec の Chunk です EdgeCaster4K からは専用線である AWS DirectConnect を通りオリジンサーバとなる […]

Read More

AWS Transit Gatewayにマルチキャストとインターリージョンピアリング機能を追加

AWS Transit Gateway は、1 つのゲートウェイを使用して、数千の Amazon Virtual Private Cloud(VPC)とオンプレミスネットワークを接続できるサービスです。 お客様は、このサービスがもたらす運用コストの削減と全体的なシンプルさを享受しています。 さらに、本日(2019/12/03) AWS Transit Gateway インターリージョンピアリングと AWS Transit Gateway マルチキャストという 2 つの新機能がリリースされました。 ピアリング お客様がAWSでワークロードを拡張するときに、複数のアカウントやVPCにまたがってネットワークを拡張する必要があります。お客様は、VPCピアリングを使用して VPC のペアを接続するか、PrivateLink を使用して VPC 間でプライベートサービスエンドポイントを公開することができます。 しかし、この管理は複雑です。 AWS Transit Gateway インターリージョンピアリングでは、これに対処し、複数のAWSリージョンにまたがるセキュアでプライベートなグローバルネットワークを簡単に作成できます。 インターリージョンピアリングを使用すると、組織内の異なるネットワーク間で一元化されたルーティングポリシーを作成し、管理を簡素化し、コストを削減できます。 インターリージョンピアリングを流れるすべてのトラフィックは匿名化、暗号化され、AWS バックボーンによって伝送されるため、リージョン間の最適なパスが常に最も安全な方法で確保されます。 マルチキャスト AWS Transit Gateway Multicast を使用すると、クラウドでマルチキャストアプリケーションを構築し、接続された数千の仮想プライベートクラウドネットワークにデータを配信することが容易になります。 マルチキャストは、単一のデータストリームを多数のユーザーに同時に配信します。 これは、ニュース記事や株価などのマルチメディアコンテンツやサブスクリプションデータをサブスクライバーグループにストリーミングするための好ましいプロトコルです。 AWS は、お客様がアプリケーションをクラウドに移行し、AWS が提供する伸縮自在性と拡張性を活用できるようにするネイティブのマルチキャストソリューションを提供する最初のクラウドプロバイダーです。今回のリリースでは、Transit Gatewayにマルチキャストドメインが導入されました。 ルーティングドメインと同様に、マルチキャストドメインを使用すると、マルチキャストネットワークを異なるドメインにセグメント化し、Transit Gateway を複数のマルチキャストルーターとして動作させることができます。 今すぐ利用可能 これら2つの新機能は準備ができており、今日あなたが試すことを待っています。 インターリージョンピアリングは、米国東部 (バージニア北部)、米国東部 […]

Read More

[AWS Black Belt Online Seminar] AWS Transit Gateway 資料及び QA 公開

先日 (2019/11/14) 開催しました AWS Black Belt Online Seminar「 AWS Transit Gateway 」の資料を公開しました。当日、参加者の皆様から頂いた QA の一部についても共有しております。 20191113 AWS Black Belt Online Seminar AWS Transit Gateway from Amazon Web Services Japan   AWS クラウドサービス活用資料集(すべての過去資料が閲覧できます) Q. TGW を使う場合、DXGW も一緒に使う必要がありますか?TGW のみでも利用できるのでしょうか? A. Direct Connect を使う場合は、DXGW を一緒に使う必要があります。構成については、こちらをご参照ください Q. VPC をアタッチするときに指定するサブネットをアタッチ専用のサブネットとする必要性について、もう少し具体例を挙げて説明していただきたいです。そのサブネットの内部のEC2 インスタンスのルーティングに影響あるとのことでしたが、どのような影響があるのか?などを教えていただきたいです。 A. Transit Gateway (TGW) のアタッチメントがついているサブネットと同一のサブネットに EC2 インスタンスが存在する場合に、その EC2 インスタンスはTGWと同じルーティングテーブルを参照します。 例えば インライン監査用の […]

Read More

[AWS Black Belt Online Seminar] Elastic Load Balancing (ELB) 資料及び QA 公開

先日 (2019/10/29) 開催しました AWS Black Belt Online Seminar「 Elastic Load Balancing (ELB) 」の資料を公開しました。当日、参加者の皆様から頂いた QA の一部についても共有しております。   20191029 AWS Black Belt Online Seminar Elastic Load Balancing (ELB) from Amazon Web Services Japan   AWS クラウドサービス活用資料集(すべての過去資料が閲覧できます) Q. なぜ NLB だけ暖気不要なのでしょうか? A. AWS Hyperplaneと呼ばれる特殊なAWS独自の負荷分散技術を用いているためです。 AWS Hyperplaneに関しては、こちらの資料のP17 – P21をご確認ください。 Q. ALB のルーティング機能を用いると API Gateway を用いた時と同じようなかたちで REST API などの Web […]

Read More

ソシオネクスト、AWS でリアルタイム AV1 エンコーディングを実現

NFL の試合をストリーミングで観戦することや、ミステリースリラー番組「ストレンジャー・シングス」の新シーズンを好きなだけ見たりする事から、消費者はストリーミングビデオ体験に対し、高い映像品質を期待するようになってきています。また、コンテンツ制作者や配給事業者にとって、低遅延且つ高品質のビデオを作成することが不可欠となっています。ただし、拡大するデバイスへの配信や多様なネットワーク接続環境を考慮に入れると、映像品質について高い水準を維持することは困難になっています。 日本の SoC( System-on-Chip )テクノロジープロバイダーである株式会社ソシオネクスト(以下、ソシオネクスト社)では、映像伝送にAWS Elemental MediaConnect、AV1エンコード処理にAmazon Elastic Compute Cloud( EC2 )F1 インスタンス、コンテンツ配信に Amazon CloudFront を使用しクラウドベースの AV1 リアルタイムエンコードを可能にするソリューションを構築することで、処理時間を大幅に短縮しながら一貫した高い映像品質を実現しました。 その仕組みは次のとおりです。 エンコーダを内蔵し Zixi プロトコルに対応した JVCのCONNECTED CAMカメラで撮影をします。JVC カメラは 前方誤り訂正(FEC)および自動再送要求(ARQ)パケット損失回復を使用するメカニズムであるZixiプロトコルに対応した唯一のプロフェッショナル用カメラです。JVC カメラから出力された信号は MediaConnect に送信されます。その後、信号は EC2 F1 インスタンスに入力され、リアルタイムで次世代の圧縮コーデック AV1 にエンコードされ、CloudFront を介して視聴者に送信されます。 適切に実装された場合、AV1 エンコーディングは H.264 および H.265 コーデックよりも小さいファイルサイズでより高品質の画像を生成しますが、エンコーディングのための高いコンピューター処理装置( CPU )要件によって、広く採用されていません。MediaConnect と EC2 F1 インスタンスがサポートするフィールドプログラマブルゲートアレイ( FPGA )を組み合わせることで、ソシオネクスト社のソリューションはリアルタイムの AV1 エンコードを可能にし、専用 CPU のハードウェアコストを削減します。また、不安定なネットワーク環境でも、エンドユーザーエクスペリエンスとストリームの品質を向上させながら、ストレージとコンテンツ配信ネットワーク( CDN […]

Read More