Category: Technical How-to

運用部門の管理者は、エージェントのアップデートやパッチ適用状況のチェックのような一般的な設定を組織全体に適用したいとお考えではないでしょうか。2020/07/28にAWS Systems Manager Quick SetupはAWS Organizationsをサポートしました。この機能によって、Systems Managerの設定を簡単に、組織のアカウント全体に定義できるようになりました。この操作はOrganizationマスターアカウントから行います。Quick Setupは、Organization全体または、特定のAWS Organization Units(OU)を選択して適用することが出来ます。このブログ記事では、組織内のマルチアカウントに対して、Systems Manager Quick Setupの設定オプション(Configuration options)を展開するベストプラクティスをご紹介します。

このブログ投稿では、フェデレーションユーザーに対して、AWS Systems Manager Session Managerへのアクセス権限を属性ベースのアクセスコントロール（ABAC=Attribute Based Access Control）にて設定する方法を示します。SAMLセッションタグを使用することで、外部IDシステムで定義された属性をAWS内のABACの判定の一部として使用できます。たとえば、AWS Identity and Access Management（IAM）ユーザーが所属する部門に基づいて、特定のマネージドインスタンスへのアクセスを許可することができます。フェデレーションユーザーが使用できる属性の詳細については、「新しい ID フェデレーション – AWS でアクセスコントロールに従業員属性を使用する」を参照してください。

世界中の企業でクラウドコンピューティングの導入が急速に増加しており、クラウドジャーニー（クラウド活用を進める過程）の中で、さまざまな移行パターンが選ばれています。モノリシックなレガシーアプリケーションをそのまま使用してクラウドに移行することは「リフト・アンド・シフト」とも呼ばれるアプローチであり、クラウド移行の有力な手法の1つです。一方で、お客様が移行パターンについての知識を深めるにつれ、クラウドネイティブツールを最大限に活用できるようにリフト・アンド・シフト方式を最適化する必要があります。

昨年、AWS AppConfigをリリースしました。これはアプリケーション設定の作成、管理及び迅速なデプロイを行う、AWS Systems Managerの新機能です。AppConfigを使用すると、デプロイメントを行う前にアプリケーション設定を検証でき、制御及び監視可能な方法で設定をデプロイできます。 AWS AppConfigを使用すると、アプリケーションコードのデプロイメントとは独立して、設定の変更をデプロイ可能です。つまり、アプリケーション設定を更新しても、アプリケーションの再起動やサービスの停止を行う必要がありません。AWS AppConfigを使用すれば、アプリケーションは更新した設定をすぐに使用できます。具体的には、AWS AppConfig API、AWS CLIやAWS SDKを使用することで、更新した設定を取得することができます。 ローンチ以来、お客様はさまざまなユースケースにAWS AppConfigを採用しており、なかでもコードのデプロイメントとは独立して新機能をリリースする機能がトップユースケースの1つでした。アプリケーション設定のデプロイメントはコードのデプロイメントより高速です。なぜならコンフィグレーションファイルは、ビルドステージを必要とせず、アプリケーションを停止すること無く実行中にデプロイすることができるためです。 機能リリースにあたって、バックエンドサービスの設定とフロントエンドの設定を正しい順序で行う必要があります。そのためには、しばしば複数のチームや手作業を調停する必要があります。こういった手作業によるデプロイメントは、カスタマーエクスペリエンスに影響を与える作業遅延を引き起こす可能性があります。 複数の環境、アプリケーションやリージョンに、アプリケーション設定をデプロイするという手動タスクをシンプルにするために、我々はAWS AppConfigとAWS CodePipelineの統合を発表しました。このローンチは、お客様が AWSの数千のチームが使用するベストプラクティスを選択することを可能にします。それは、コード変更を機能リリースから容易に分離し、安全且つ効率的な方法でこれらの機能リリースを自動化するというものです。

コンテナやマイクロサービスベースのアーキテクチャを導入してのアプリケーションの最新化が、現在、各組織で行われています。多くのお客様は、マイクロサービスアーキテクチャを機能させるために、パフォーマンスの高いワークロードをコンテナ内でデプロして、これらのコンテナーから低レイテンシで高スループットの共有ストレージにアクセスする必要があります。これは、コンテナは一時的なもので、長期にわたりアプリケーションを実行するには、データを耐久性のあるストレージに保存する必要があるからです。Amazon FSx for Lustre (FSx for Lustre) は、世界中で最も使用されているハイパフォーマンスファイルシステムを提供し、現在は完全マネージド型で Amazon S3 と統合されています。このサービスでは、Kubernetes ワークロード用にパフォーマンスのピークを確保ながら高い耐久性のあるストレージを実現する、POSIX 互換の高速並列ファイルシステムをご利用いただけます。FSx for Lustre では、Lustre ファイルシステムの設定や管理に関する従来の複雑さを取り除くことで、パフォーマンスの高いファイルシステムを数分で使用開始できるようになりました。FSx for Lustre のレイテンシーはミリ秒単位以下であり、スループットは最大数百 GB/秒、IOPS は数百万を実現しています。機械学習やハイパフォーマンスコンピューティング (HPC)、画像処理、そして金融モデリングなど、速度が重要視されるワークロードを実行するお客様が、この FSx for Lustre を使用されています。 Kubernetes は、コンテナ化されたアプリケーションのデプロイ、スケーリング、および管理を自動化するための、オープンソースなコンテナ用オーケストレーションシステムです。AWS のマネージド型サービスである Amazon Elastic Kubernetes Service (Amazon EKS) を使用することで、Kubernetes のコントロールプレーンやワーカーノードを独自にインストールしたり、操作する必要がなくなり、容易に Kubernetes を実行できるようになります。Amazon EKS では、複数のアベイラビリティゾーン間で Kubernetes のコントロールプレーンインスタンスを実行することで、高可用性を実現しています。障害のあるコントロールプレーンインスタンスは、Amazon EKS により自動的に検出および置き換えが行われ、またそれらに対する、バージョンのアップグレードやパッチ修正も自動で実施されます。 今回の記事では、GitHub のチュートリアルとして、Amazon EKS クラスターでの FSx for Lustre 永続的ファイルシステムのプロビジョニング方法と、FSx for […]

AWS Configルールの使用により、リソースの構成をベストプラクティスに照らし合せて評価し、決められた構成ポリシーに従っていない場合は修正することができます。 AWS Config適合パックを使用すると、AWS Organizations全体に適用されるAWS Configルールと修復アクションのセットを単一のパックで作成できます。これにより、Configルールの集中管理と展開が可能になります。 今までは、組織全体にまたがる適合パックとConfigルールの展開は、組織のマスターアカウントのみが実施できました。しかし、マスターアカウントを一括請求にのみ使用するお客様も多数おられます。お客様がセキュリティ、監査、コンプライアンスのための専用アカウントを持っている場合、代わりにその専用アカウントを使って組織全体にわたるConfigの展開を管理したいと考えるでしょう。このようなご要望にお応えして、AWS Organizationsの非マスターアカウントからConfigルールと適合パックのデプロイができるようになりました。このAWS Config新機能を使用すると、これらのConfigリソースをAWS Organizations全体に展開し管理できる権限を委任する管理者アカウントを登録できます。 このブログ投稿では、委任された管理者アカウントにて、組織全体に適合パックを展開し、AWS Configルールと適合パックを管理する方法について示します。

はじめに AWS CloudFormationを介してAmazon Elastic Cloud Compute (EC2) インスタンスをデプロイした後には、ソフトウェアのインストール、またはオペレーティングシステムの設定が必要になることがほとんどです。多くのAWSのお客様はCloudFormationのヘルパースクリプトの一つである cfn-init （2012年2月から利用可能）を使用していると思います。しかし、それ以後もAWSは、お客様のフィードバックに応じて多くの新機能とサービスをリリースしてきました。そのうちの一つはAWS Systems Managerです。このブログ記事では、AWS CloudFormationを介してデプロイされたAmazon EC2インスタンスに対して、AWS Systems Manager State Managerを使用してインスタンスを設定する、よりシンプルで堅牢な方法を紹介します。

昨年公開したブログで、AWS Storage Gateway をセットアップして、File Gateway でクラウドベースの SMB 共有を使用して SQL Server バックアップを Amazon S3 に保存する方法を説明しました。 オンプレミスのバックアップコストが増加し、運用オーバーヘッドが増加しているお客様は、SQL Server バックアップを永続的かつ確実に AWS に保存するために、このソリューションを使っています。これにより、費用を節約し、オンプレミスのストレージインフラストラクチャを削減しながら、バックアップ操作を簡素化できます。 File Gateway は、ローカルキャッシュを使用して S3 バケットに保存されたデータへの SMB および NFS アクセスを提供し、データへ低レイテンシーでアクセスできるようにします。AWS は前回のブログ記事以来、 Storage Gateway の多くの機能をリリースし、耐障害性を高め、パフォーマンスを向上させ、機能を強化しました。このような機能には、VMware デプロイの高可用性、SMB 共有の監査ログ記録、パフォーマンスの向上、統合された CloudWatch アラーム、および S3 Intelligent-Tiering のサポートなどがあります。 この記事では、前回のブログを基に、File Gateway の設定、モニタリング、パフォーマンスに関するベストプラクティスについて説明します。また、さまざまな File Gateway 環境設定で実行した SQL Server バックアップテストの結果を示します。さらに、これらの結果から外挿して、独自の SQL Server 環境を計画する方法も示します。このブログを読むと、SQL Server バックアップワークロード用のスケーラブルで耐久性のあるソリューションをより適切に設計できるようになっていることでしょう。 File Gateway […]

お客様は、AWS Backup と AWS Organizations を使用して、大規模なバックアップを管理する標準化された方法を使用できるようにしたいと考えています。AWS Backup は、AWS Storage Gateway を使用してクラウド内およびオンプレミスの AWS サービス全体でデータをバックアップするための集中管理サービスを提供します。AWS Backup は、次のようなさまざまな AWS リソースのバックアップ、復元、およびポリシーベースを保持する単一のダッシュボードとして機能します。 Amazon EBS ボリューム Amazon EC2 インスタンス Amazon RDS データベース Amazon Aurora クラスター Amazon DynamoDB テーブル Amazon EFS ファイルシステム AWS Storage Gateway ボリューム 数千には及ばないまでも数百の AWS アカウントで AWS ワークロードをスケールアップする顧客がいるため、顧客はバックアップを一元管理および監視における必要性を表明しています。AWS Backup は AWS Organizations と提携して、お客様が組織のマスターアカウントから直接 AWS アカウント全体のバックアップを集中管理および監視できる、新しいクロスアカウント管理機能を立ち上げました。以前は何千ものアカウント間でバックアップ構成を手動で複製する必要があった管理者が、単一のマスターアカウントから単一のプロセスを通じてバックアップを管理および監視できるようになりました。 お客様は、組織全体のバックアッププランをデプロイして、AWS Organizations で選択したすべてのアカウント全体にわたりコンプライアンスを確保できます。これにより、お客様はバックアップポリシーの実装方法を標準化し、エラーのリスクを最小限に抑え、手動オーバーヘッドを削減できます。AWS Organizations […]

 この投稿は、ソフトウェア開発エンジニアの Anuj Singh 氏とエンタープライズソリューションアーキテクトの Steven David 氏によって提供されたものです。 このブログ投稿では、Amazon Elastic Kubernetes Service (EKS) で実行されている Calico for Windows コンテナをインストールして使用する方法について、順を追って説明します。 Tigera Calico for Windows は、Kubernetes ベースの Windows ワークロード向けのネットワーキングおよびネットワークセキュリティソリューションです。.NET アプリケーションなどの Windows ワークロードを EKS 環境に移動でき、ネットワークポリシーの適用の管理に Calico を役立てることができます。ネットワークポリシーは、ポッドなどの低レベルのデプロイでネットワークを定義できる AWS セキュリティグループに似ています。 Calico は以前 Amazon EKS Linux 環境で検証されました。プロセスはこちらに記載されています。本日は、EKS Windows ワーカーノードにおける Calico のサポートについて詳しく説明しています。Windows ノードの Calico は、Linux ノードのポッドとは対照的に、Windows サービスとして実行されます。 Tigera Calico for Windows は通常、Tigera […]