Amazon Web Services ブログ

Category: Networking & Content Delivery

me.magazine2

メディア&エンターテインメント業界向けデジタルマガジン「me.magazine 2」をリリースしました

メディア&エンターテインメント業界向けデジタルマガジン 第二弾 『 me.magazine 2』日本語版をリリースしました。 AWSを活用して構築した、新しいワークフロー、新しいビジネスモデル、新しい技術ソリューションについてM&E 業界お客様のストーリーを集めたオンラインマガジンです。 お客様がクラウドをどのように活用して、カスタマーエクスペリエンスの向上、商品やサービス価値を高め、ビジネスチャンスや収益拡大の機会を得ることができたか 是非、me.magazine 2 をご覧ください。

Read More

AWS Network Firewall が東京リージョンで利用可能になりました

みなさん、こんにちは。アマゾン ウェブ サービス ジャパン、シニアエバンジェリストの亀田です。 今週はAWS東京リージョンの10周年、そして3つのAZを持つ大阪リージョンの発表があり、日本におけるクラウド利用は広がり続けています。そして、2020年11月に発表された、AWS Network Firewall が東京リージョンで本日利用可能になりましたのでお知らせいたします。 Network Firewall は AWS クラウド上でお客様向けに論理的に分離された仮想ネットワークの構築を実現するAWSの重要な機能である、Amazon Virtual Private Cloud (VPC) に不可欠なネットワーク保護を簡単にデプロイできるようにするマネージドサービスです。数回クリックするだけでセットアップでき、ネットワークトラフィックに合わせて自動的に拡張される数十万コネクションを管理できるため、インフラストラクチャのデプロイと管理について心配する必要はありません。 従来VPCには基本的なセキュリティ機能として、プロトコル単位、IPアドレス単位、ポート単位で通信のインバウンド、アウトバウンドの許可・拒否の制御を行うセキュリティグループ、ネットワークアクセスコントロールリスト (ACL) があり、主にレイヤ3及び4で動作します。このNetwork Firewall は、VPCに備わる新たなセキュリティ機能であり、アカウントとアプリケーション全体で一元的にファイアウォールのルールを設定、管理できるようにするAWS Firewall Managerと統合されて、レイヤ7まで含めた制御を実現します。 Network Firewallは数千のカスタムルールを設定可能なステートフルに動作するファイアウォールとして機能し、接続の追跡やプロトコルの識別などのトラフィックフローからコンテキストを組み込んで、VPC が不正なプロトコルを使用してドメインにアクセスするのを防ぐなどのポリシーを適用することができます。AWS Network Firewall の侵入防止システム (IPS) は、アクティブなトラフィックフロー検査を提供するため、シグネチャベースの検出を使用して脆弱性の悪用を特定してブロックすることができ、また、既知の不正な URL へのトラフィックを停止し、完全修飾ドメイン名を監視できるウェブフィルタリング等も提供されます。従来のセキュリティグループやネットワークACLの制御では、許可、拒否の2択でしたが、alertの機能が備わっており、これらの検知結果などはAmazon CloudWatch でダッシュボード化することが可能で、可観測性を高めることに役立ちます。 外部通信のインバンド、アウトバウンド制御だけではなく、AWS Transit Gatewayとの連携により、相互接続された VPC のきめ細かいネットワークセキュリティコントロールを実現することが可能で、さらに Transit Gateway でサポートされているクライアントデバイスおよび オンプレミス環境から AWS Direct Connect と VPN のトラフィックを保護することができます。 サービスの起動はマネージメントコンソールのVPC画面から行えます。 Network Firewallに組み込むルールは以下の画面で設定を行っていきます。送信元IP、送信元ポート番号、宛先IP、宛先ポート番号、プロトコル番号を指定する5-tuple形式、ドメイン名ベースの制御を行うDomain list形式、オープンソースベースのIPSであるSuricata […]

Read More

Amazon CloudFront、Lambda@Edge、AWS Elemental MediaConvertによるオンザフライ動画変換

はじめに メディアライブラリ内の動画が、長編の特集ムービー、もしくは短編の「ハウツー」クリップであっても、通常、動画アセットの人気は視聴者の好みによって決まります。 AWSは、メディアサプライチェーンの自動化やコンテンツ配信の合理化など、お客様がオンライン動画コンテンツを配信する際に使用できる複数のソリューションを提供しています。 オンザフライ動画変換ワークフローを導入することで、メディア配信にかかる全体的なコストをさらに最適化できます。単一品質のレンディションで、まれにしか視聴されない、またはまったく視聴されない動画アセットについて考えてみてください。例えば、動画処理や配信の投資収益率(ROI)が動画コンテンツの人気と直接結びつく、広告付きの「無料視聴可能」モデルはオンザフライ動画変換の検討対象となるでしょう。また、次のようなユースケースにも適しています 。

Read More

AWS Gateway Load Balancerが東京リージョンに対応しました

みなさん、こんにちは。アマゾン ウェブ サービス ジャパン、シニアエバンジェリストの亀田です。 AWS Gateway Load Balancerが東京リージョンに対応しましたのでお知らせいたします。 Virtual Private Cloud (VPC)では、インターネットゲートウェイ (IGW) または Virtual Private Gateway (VGW)  において、すべての発着信トラフィックを、特定の Amazon Elastic Compute Cloud (EC2) インスタンスの Elastic Network Interface にルーティングさせる機能を用いることで、トラフィックをターゲットの EC2 インスタンスに中継する前に、バーチャルアプライアンスなどをインストールした別のEC2インスタンスを用いて、疑わしいネットワークトラフィックを検査またはブロックすることができます。 さらにこの機能を活用することでセキュリティ系ツールを提供しているパートナーは、検査を行うソフトウェアが起動しているEC2を動作させる専用VPCを起動し、AWS PrivateLink 経由で検査対象のEC2が存在しているVPCと連携させることで、VAaaS (Virtual Appliance as a Service) ビジネスを展開することが可能になりました。 このような構成をとる場合、仮想アプライアンスが動作しているEC2の高可用性、スケーラビリティは非常に重要となります。時として、ピーク時の負荷と高可用性を処理するために仮想アプライアンスのためにEC2を過剰にプロビジョニングするか、トラフィックに基づいてアプライアンスを手動でスケールアップ/ダウンするか、等の対応を行う必要がありましたが、Gateway Load Balancer を用いることで、簡単かつ費用効果の高い方法で、デプロイ、スケーリング、管理が可能となります。 AWS Gateway Load Balancer (GWLB)の仕組み こちらのBlog記事にその詳細がありますので、合わせて読んでみてください。以下はその抜粋です。 VPC のルートテーブルで簡単な設定更新を行うことで、トラフィックを GWLB に送信することができるようになります。GWLB を使用すると、仮想アプライアンスのフリート間でトラフィックの負荷分散を行うことで、仮想アプライアンスを自在にスケーリングできます。GWLB […]

Read More

[AWS Black Belt Online Seminar] AWS Direct Connect 資料及び QA 公開

先日 (2021/02/09) 開催しました AWS Black Belt Online Seminar「AWS Direct Connect」の資料を公開しました。当日、参加者の皆様から頂いた QA の一部についても共有しております。 20210209 AWS Black Belt Online Seminar AWS Direct Connect AWS クラウドサービス活用資料集(すべての過去資料が閲覧できます) Q. 接続のパターン2で、Direct Connect (DX) ロケーション内のパートナー機器がお客様機器になるパターンはないんでしょうか。 A. ロケーション内にお客様機器を設置し、専用線で接続するパターンもございます。スライド 17 のパターン 1 において、広域網、専用線など、キャリヤ様提供の回線種別からご選択いただく構成となります。 Q. router の設置場所は全国のデータセンターならどこでも対応可能なのでしょうか? A. データセンターに限らず、ロケーションからパートナー様が接続できる環境であればどちらでも配置可能です。詳しくはパートナー様にご確認ください。 Q. SLA 99.9% のためには DX 冗長化しか方法が無いのでしょうか?バックアップを Site-to-Site VPN などでは達成できないのでしょうか? A. Site-to-Site VPN をバックアップとした構成では、SLA の適用はできません。SLA 適用を目的とする場合、バックアップ回線にも Direct […]

Read More

【開催報告&資料公開】放送業界向け InterBEE 2020 / re: Invent 2020 Recap セミナー

1 月 28 日に放送業界のお客様向けに、昨年開催された InterBEE 2020 と AWS re:Invent 2020 の Recap セッションを実施しました。 ■InterBEE 2020 Recap アマゾンウェブサービスジャパン ソリューションアーキテクト 門田 梓 [Slide] ソリューションアーキテクトの門田より、InterBEE 2020 で発表した AWS を活用した放送業界の AWS 活用事例を紹介しました。2020 年は新型コロナウイルスの感染拡大が番組制作に非常に大きく影響した年でした。登壇いただいたお客様は、この困難に立ち向かうため、AWS のサービスとツールを活用して コストを必要最小限に、ゼロから作るより迅速に、拡張性や可用性のメリットを手に入れています。本セッションでご紹介した概要は以下の通りです。

Read More

リクルートマーケティングパートナーズにおけるAmazon EKSとAWS App Meshを使った基盤安定性向上とGitOpsへの挑戦

本番環境でコンテナを利用したワークロードを構築する場合、ほとんどのケースでコンテナオーケストレーションのテクノロジが導入されます。AWS では、Amazon Elastic Container Service (Amazon ECS) や Amazon Elastic Kubernetes Service (Amazon EKS)といったコンテナオーケストレーションに関するサービスを提供しています。 コンテナオーケストレーターの選定においては、各オーケストレーターの持つ機能や思想を理解することが重要です。Amazon ECS は、他の AWS サービスとシームレスに組み合わせることが可能であり、Amazon ECS をビルディングブロックの一つとして多様なワークロードをサポートするシステムを素早く構築可能です。Amazon EKS は、Kubernetes の持つエコシステムの利用や、カスタムリソースをクラスターに追加することにより、EKS クラスター上にワークロードの要件に応じたシステムを柔軟に構築することができます。これらの観点に加えて、ワークロードの要件を考慮した上でコンテナオーケストレーターを選択します。 一方で、ビジネスや組織の成長に伴い、コンテナオーケストレーターとワークロードがマッチしない状況が発生する場合があります。例えば、Amazon EKS でサービスを提供しているチームにおいて、サービスの拡充に伴い管理対象となる EKS クラスターやクラスター上のアプリケーションが増加した結果、Kubernetes バージョンのアップデート作業がチームで抱えきれないような負担になるかもしれません。この状況を解消する手段として、まず思いつくのがコンテナオーケストレーターの再選定ですが、コンテナオーケストレーターの移行には少なからず必要となる作業が見込まれるため、安易に決断することはできません。 しかしながら、コンテナオーケストレーターの移行により得られるベネフィットを評価できる場合、移行によるメリットが作業コストを上回る可能性があります。この評価を行うためには、現在の課題を正確に分析し、移行先となるコンテナオーケストレーターでは解決のためにどのようなアプローチが採用できるのか把握しておく必要があります。 本投稿では、リクルートマーケティングパートナーズが行なった Amazon ECS から Amazon EKS への移行を通じて、コンテナオーケストレーターの移行におけるベネフィットをどのように評価したのかを紹介します。合わせて、リクルートマーケティングパートナーズが Amazon EKS で導入したサービスメッシュと継続的デリバリーについて、その実例を紹介します。 リクルートマーケティングパートナーズ スタディサプリ ENGLISH SRE グループの大島 雅人氏、木村 勇太氏、横山 智大氏によるゲスト投稿 以下の投稿はリクルートマーケティングパートナーズの3つのブログ記事を元に再構成したものです。 概要 スタディサプリ ENGLISH の基盤を […]

Read More

AWS PrivateLink for Amazon S3 の一般提供を開始

AWS re:Invent で AWS PrivateLink for Amazon S3 のリリースに関する発表が行われましたが、この新機能の一般提供が開始されました。AWS PrivateLink は、仮想ネットワークからのプライベート IP を使用して、Amazon Simple Storage Service (S3) とオンプレミスリソース間のプライベート接続を提供します。 S3 は VPC エンドポイントを追加する最初のサービスとして 2015 年に提供が開始されましした。これらのエンドポイントは、ゲートウェイや NAT インスタンスを必要としない S3 への安全な接続を提供します。この柔軟性はお客様に歓迎されましたが、オンプレミスアプリケーションから AWS Direct Connect または AWS VPN によるセキュアな接続を介した S3 へのプライベートアクセスが必要という意見も聞かれました。 機知に富む私たちのお客様は、プライベート IP アドレスを持つプロキシサーバーを Amazon Virtual Private Cloud にセットアップし、S3 のゲートウェイエンドポイントを使用することで、この問題を解決しました。この解決法は機能しますが、一般的にプロキシサーバではパフォーマンスが抑制されるだけでなく、障害点が増えてオペレーションが複雑になります。 このような欠点を排除し、問題を解決する方法として PrivateLink for S3 が開発されました。 この機能を使用することによって、Virtual Private Cloud 内で新しいインターフェイス […]

Read More

AWS App Mesh と Kong を使って Amazon EKS 上でマイクロサービスを実行する

この記事は、Running microservices in Amazon EKS with AWS App Mesh and Kong を翻訳したものです。 本投稿は、Kong ソリューションエンジニアの Claudio Acquaviva、Kong アライアンスの Morgan Davies と共同で作成されたものです。 サービスメッシュはサービス間通信のための一般的なアーキテクチャパターンとなっている透過的なインフラストラクチャレイヤーです。Amazon EKS と AWS App Mesh を組み合わせることでマイクロサービスのための強力なプラットフォームを形成し、ロードバランシング、サービスディスカバリ、可観測性、アクセスコントロール、トレース、ヘルスチェック、サーキットブレーカーなどサービス間通信で発生する技術的な要件に対応する事ができます。 モダンなエンタープライズソリューションでは、次のカテゴリの明確な管理制御が必要です。 API エンドポイントへの外部からのイングレストラフィックをカバリングする API 管理 運用管理とサービスの状態に焦点を当てたサービス管理機能 サービスメッシュは主に 2 つ目のカテゴリに対応していますが、イングレストラフィックも同様に重要であり、スロットリング、アプリケーションとユーザの認証、リクエストログとトレース、データのキャッシングなどクラスタ全体のポリシーをサポートするソリューションから恩恵を受けることができます。これらのポリシーに加えてイングレスは使用状況の把握、課金システムの追加、運用上の閾値を超えたアラートの生成などの機能により、API のマネタイズを可能にするレイヤーです。 これらの機能はクラスタ外の周辺ツールを利用することで実現することも可能ですが、Kong for Kubernetes Ingress Controller は HPA、自己修復、RBAC、cert-manager などの Kubernetes の機能を活用して、アプリケーションと並行して稼働しているサービスメッシュを保護するソリューションを提供します。 この記事では、Amazon EKS、AWS App Mesh、Kong for Kubernetes を利用してサービスメッシュを安全に実装する方法について説明します。ここで取り上げる課題の範囲は API […]

Read More

新機能 – VPC Reachability Analyzer

Amazon Virtual Private Cloud (VPC) を使用すると、お客様は、論理的に分離された専用の仮想ネットワークを、AWS クラウド上で起動できます。クラウド上でお客様のフットプリントが拡大し、デプロイされるネットワークアーキテクチャの複雑さも増していく中、誤った設定が原因で発生するネットワーク接続の問題は、その解決に時間がかかるようになっています。今回、当社では、ネットワーク診断ツールである VPC Reachability Analyzer を発表できる運びとなりました。このツールでは、VPC 内の 2 つのエンドポイント間、または複数の VPC 間で、通信の到達性に関する問題を解決できます。 ネットワークが目的どおりに設定されているかを確認 Reachability Analyzer のユーザーは、仮想ネットワーク環境を全体的に制御できます。独自の IP アドレス範囲の選択、サブネットの作成、またルートテーブルやネットワークゲートウェイの設定が可能です。また、VPC のネットワーク設定のカスタマイズも簡単です。例えば、ウェブサーバー用にパブリックサブネットを作成する際、インターネットへのアクセスに、インターネットゲートウェイを使用するように構成できます。データベースやアプリケーションサーバーなど、厳しいセキュリティが必要なバックエンドシステムは、インターネットにアクセスできないプライベートサブネットに配置できます。セキュリティグループや、ネットワークアクセスコントロールリスト (ACL) など、複数のセキュリティレイヤーを使用することで、各サブネットのエンティティへのアクセスを、プロトコル、IP アドレス、ポート番号によって制御できます。 また、VPC ピアリング、もしくは AWS Transit Gateway を経由させながら、リージョン全体またはグローバルなネットワーク接続の中で複数の VPC を組み合わせれば、トラフィックを非公開にルーティングさせられます。さらに、サイトを AWS アカウントに接続して、安全な通信を行うために、VPN Gateway を使用することもできます。AWS Lambda や Amazon S3 など、VPC 外に配置された多くの AWS のサービスでは、VPC エンドポイントや AWS PrivateLink を VPC 内のエンティティとしてサポートしており、それらのエンティティとは、プライベートな通信が可能です。 このような豊富なコントロールと機能セットがあると、接続の問題を引き起こし得るような意図しない構成を行ってしまうことも、珍しいことではありません。今回リリースされた VPC Reachability […]

Read More