Amazon Web Services ブログ

AWS Trusted Advisor による運用上の優秀性の継続的な最適化

AWS Trusted Advisor は、コスト最適化、パフォーマンス、耐障害性、セキュリティ、サービスの制限、運用上の優秀性のカテゴリーのベストプラクティスチェックを使用して継続的に AWS 環境を評価し、AWS Well-Architected Framework の AWS ベストプラクティスからの逸脱を修正するアクションを推奨します。AWS Well-Architected Framework は、お客様がクラウドワークロードを効果的に設計、構築するためのアーキテクチャのベストプラクティスとガイダンスを集めたものです。

2023 年 10 月 26 日、Trusted Advisor は新しく運用上の優秀性のチェックカテゴリーを追加し、AWS Config と統合したことで、すべてのカテゴリーで合わせて 64 の新しいベストプラクティスチェックを提供しました。このローンチにより、AWS 環境の運用準備状況が改善され、Trusted Advisor チェックの適用範囲が広がり、AWS Well-Architected Framework のベストプラクティスとの整合性を高めることができます。

本ブログ投稿では、新しい運用上の優秀性カテゴリーについて詳しく説明し、Trusted Advisor が運用リスクと最適化の機会の特定にどのように役立つかをサンプルシナリオを通して説明します。

AWS Well-Architected ベストプラクティスと整合した AWS Trusted Advisor

ビジネスと AWS 環境が進化するにつれ、競合環境で優位に立つために必要な拡張性や継続的な変化への対応力には、適切な運用能力を確保することが重要です。このため、AWS Well-Architected Framework では、運用上の優秀性の柱に文書化されている運用関連のベストプラクティスに特に重点を置いています。

運用上の優秀性の柱の重点分野の 1 つには、ワークロード環境を運用するにあたって十分な準備が整っているかどうかの確認に必要なベストプラクティスが含まれています。例えば、「OPS05-BP05 パッチ管理を実行する」では、エラーと運用のオーバーヘッドを削減するために、パッチ管理を大規模に実行できる適切な機能群を備えたクラウド環境を準備するようアドバイスしています。EC2 インスタンスの場合は、AWS Systems Manager Patch Manager や Change Manager などの自動化されたサービス機能と統合するのがベストプラクティスです。

Systems Manager の自動化機能を使用するための前提条件として、EC2 インスタンスにAWS Systems Manager エージェントパッケージがインストールされ、AWS Systems Manager サービスに正しく登録されていることを確認する必要があります。

ブログの次のセクションでは、EC2 インスタンスが Systems Manager によって管理されているかどうかを検出するために、AWS Config データソースの Trusted Advisor チェックを使用する方法を紹介します。

AWS Trusted Advisor による運用上の優秀性

この例では、最近導入された運用上の優秀性チェックが、AWS Config ルールを使用して AWS 環境を調査するのにどのように役立ち、その後、ワークロードの運用効率を向上させる機会が生じた際にレコメンデーションをどのように提供するかを学びます。

以下は、Trusted Advisor と AWS Config の統合を通して、AWS Systems Manager によって管理されていない Amazon EC2 インスタンスを特定する詳細な手順です。

AWS Config ルール名を抽出するには (コンソール)

  1. Trusted Advisor の運用上の優秀性タブで、[Amazon EC2 インスタンスは AWS Systems Manager によって管理されていません] のチェックを展開します。
  2. ソースセクションで、AWS Config マネージドルール名 [ec2-instance-managed-by-systems-manager] をコピーします。

図 1 – AWS Trusted Advisor での運用上の優秀性チェックの例

対応する AWS Config マネージドルールを有効化する (コンソール)

  1. AWS コンソールで AWS Config に移動します。 AWS Config をまだ有効にしていない場合は、開始方法のドキュメントを参照して AWS Config を有効にしてください。 AWS Config の使用量に基づいて料金が請求されることに注意してください。 詳細については、AWS Config の料金を参照してください。
  2. ルールページで、ルールを追加を選択します。

図 2 – AWS Config のルール追加例

  1. AWS によって管理されるルールの追加を選択します。
  2. 検索バーで AWS マネージドルール名 [ec2-instance-managed-by-systems-manager] を検索すると、関連する説明とともに対象のルールが表示されます。
  3. [ec2-instance-managed-by-systems-manager] ルール名の左側のラジオボタンをクリックします。
  4. 次へを選択します。

図 3 – [ec2-instance-managed-by-systems-manager] という名前の AWS Config マネージドルールの追加例

  1. ルールの設定ページで、デフォルト設定のまま次へを選択します。

図 4 – ルールの設定ページの AWS Config マネージドルールの詳細の例

  1. 確認と作成ページで、AWS Config マネージドルールが必要なものであることを確認します。確認してルールを保存すると、ルールの概要ページに表示されます。

図 5 – [ec2-instance-maned-by-systems-manager] ルールが AWS Config に正常に追加される

これで、この特定のチェックに対して Trusted Advisor の運用上の優秀性のレコメンデーションを生成するための前提条件が満たされました。 AWS Config ルールが評価結果を生成すると、ほぼリアルタイムで Trusted Advisor に結果が表示されます。

Systems Manager によって管理されていない EC2 インスタンスを特定する (コンソール)

  1. Trusted Advisor の運用上の優秀性タブで [調査が推奨されます] の項目を確認します。

    図 6 – Trusted Advisor の運用上の優秀性で調査が推奨される項目の例

  2. [Amazon EC2 インスタンスは AWS Systems Manager によって管理されていません] のチェックを展開して、結果を確認します。 この例では、Systems Manager によって管理されていない 4 つの EC2 インスタンスが強調表示されています。
  3. これらの EC2 インスタンスのリソース、AWS Config ルール、および入力パラメータを確認します。

    図 7 – Trusted Advisor で検出されたソース、アラート基準、推奨されるアクション、その他のリソースの詳細の例

運用上の優秀性の [AWS Systems Manager によって管理されていない Amazon EC2 インスタンス] チェックでは、集中管理、自動化、インベントリ、パッチ管理、変更管理、OS 設定の一貫性を提供することで、Amazon EC2 インスタンスを効率的に管理する方法を説明しています。

Trusted Advisor は組織が運用のオーバーヘッドを削減して Amazon EC2 インスタンスのフリートを管理するために、運用のベストプラクティスの実装をガイドする推奨されるアクションも提供します。 この例では、Trusted Advisor が Systems Manager の EC2 インスタンス のセットアップ手順をガイドし、EC2 インスタンスが Systems Manager に表示されない場合のトラブルシューティングを行います。 このチェックは、AWS Well-Architected Framework のベストプラクティス「OPS05-BP03 構成管理システムを使用する」と「OPS05-BP05 パッチ管理を実行する」に沿ったもので、これにより、運用チームは反復可能で監査可能な構成変更を行い、労力を低減することができます。AWS Systems Manager によって EC2 インスタンスが管理されると、運用チームは Systems Manager Patch Manager と Change Manager を使用した自動パッチ管理の活用や一貫した変更管理プロセスの確立によって、運用効率を向上させることができます。

上記のシナリオと同様に、チェックに対応する AWS Config マネージドルールをデプロイすることで、他の Trusted Advisor の運用上の優秀性のチェックを有効化することもできます。 AWS Config マネージドルールが有効化されると、Trusted Advisor は AWS リソースを継続的に評価し、運用のベストプラクティスから逸脱するリソース設定がある場合にフラグを立てます。 各チェックの推奨されるアクションに基づいて、AWS 環境の運用上の優秀性の達成に役立つ修正アクションを実行できます。

結論

運用上の優秀性は、規模を拡大し、継続的なビジネス変化のスピードに対応するために不可欠です。 このブログ投稿では、Trusted Advisor の新しい運用上の優秀性カテゴリを紹介しました。 また、AWS Config データソースからの新しいチェックも共有しました。これらのチェックは、AWS Well-Architected の運用上の優秀性のベストプラクティスに沿っており、お客様環境の運用態勢を改善できるように設計されています。 Trusted Advisor の新しい運用上の優秀性のチェックの詳細については、Trusted Advisor チェックリファレンスをご覧ください。

著者について:

Jang Whan Han

Jang Whan は AWS Well-Architected GEO ソリューションアーキテクトであり、AWS クラウドにワークロードをデプロイするための AWS ベストプラクティスを実証するサンプルシナリオとハンズオンラボを構築しています。彼は特に AWS パートナーネットワーク (APN) パートナーや AWS のお客様を対象に AWS ベストプラクティスを推進することに専念してきました。

Jerry Chen

Jerry Chen は現在、Amazon Web Service (AWS) のシニア AWS Well-Architected GEO ソリューションアーキテクトです。彼は AWS のお客様とパートナー向けのクラウドセキュリティと運用アーキテクチャの設計に注力してきました。

LinkedIn で Jerry をフォローできます。

翻訳はテクニカルアカウントマネージャーの河野が担当しました。原文はこちらです。