AWSアカウントのセキュリティ対策〜 #iretスペシャリストからの挑戦状 5〜 | iret.media
クラウドインテグレーション事業部セキュリティセクションの青池です。 なんやかんやで半年ほど禁酒しています。 健康診断の結果がどう変わっているのか楽しみです。 この記事は、iretスペシャリストによるブログリレーキャンペーン「iretスペシャリストからの挑戦状」の第5弾です。 iretのスペシャリスト認定制度についてはiretスペシャリスト認定制度をご覧ください。 私のインタビュー記事はコチラになります。 はじめに 突然ですが、皆さんは管理しているAWSアカウントの脅威対策をおこなっていますか? クラウド環境は権限があれば誰でも自由に地理的に離れた場所にサーバーを用意したり、設定を変更したりといった操作を簡単に行う事ができます。 しかし、なんとなく行った設定が情報漏えいの危険やアカウントの不正利用に繋がる可能性があることは理解されていても細かく監視していないケースを見かけます。 リスクに気づ
Spannerを解説したら講義になった話 | iret.media
はじめに Qiitaにこんな記事が上がりました 2020年現在のNewSQLについて – Qiita NewSQLについてアーキテクチャから詳しくまとまっていて 理解しやすい素晴らしい記事だと思います。 社内のSlackでも共有したのですが、 この辺の話は 古くからあるモノリシックなRDBMSが生まれて スケールアップの限界との戦い データベースをどうスケールアウトするかの時代が訪れて、 分散コンピューティングの問題にぶち当たる という、 『歴史を理解してはじめてCloud Spannerの凄さを理解できる』 と思ったので もっと補足説明がいるんじゃないかと思い、社内でLTしました。 また、自分はDataBase周りの知識が弱いと思っているので、 補強のためにもまとめてLTを…とおもったら、 前後編で2回に分けて30分語るという発表だったので、 もう講義じゃんって言われたし思いました。 W
サーバーレス・アーキテクチャで構築したシステムの運用はどうやるのか? | iret.media
2016年12月20日からスタートしたMBS(毎日放送)の有料動画配信サービス『MBS動画イズム444』にて、サーバーレス・アーキテクチャ(AWS Lambda)が全面採用されたという事例は、世界を見渡しても類をみない、大変優れた設計であると話題になりました。 でもね、重要なことは「AWS Lambdaを使って構築した」ことではないんです! 『MBS動画イズム444』は、次々と新しい動画コンテンツが増えていますし、有料会員も猛スピードで増えていると伺っています。そうなると、このサービスの安定運用こそが、もっとも重要なことなのです。 そこで、この記事では「AWS Lambda」で構成されるシステムの運用をcloudpackならこうやります!というのをご紹介いたします。 サーバーレス・アーキテクチャのシステム運用はどう考えるべきか? 『MBS動画イズム444』のシステム構成は、実に複雑です。
pacemaker と corosync を使って複数の EIP 切り替える試み | iret.media
cloudpack の 自称 Sensu芸人 の かっぱこと 川原 洋平(@inokara)です。 はじめに あまりニーズがあるか判りませんが pacemaker と corosync を使って複数の EIP の付け替えを試行錯誤してみたいと思います。ちなみに切り替えにあたっての条件は下記の通りです。 インスタンスには仮想ネットワークカードを付与して二つのプライベート IP を付与 プライベート IP は設定ファイル等には静的に設定を行わずインスタンス内部から取得する 尚、下記はあくまでも検証中の内容となっておりますので安定動作にはまだ試行錯誤が必要ですのでそのあたりは大目に見て頂ければ幸いです。 切り替えのイメージ 以下のようなイメージ。 EC2 壱号機に障害が発生したら EC2 弐号機に複数の EIP が遷移する(はず)です。 ポイント pacemaker と corosync を使っ
CentOS で始める etcd
最初の etcd インスタンスを起動すると以下のようなメッセージと共に etcd が起動します。 bash-4.1# etcd -peer-addr 127.0.0.1:7001 -addr 127.0.0.1:4001 -data-dir machines/machine1 -name machine1 & [1] 42 bash-4.1# [etcd] Nov 22 18:05:35.464 INFO | machine1 is starting a new cluster [etcd] Nov 22 18:05:35.466 INFO | etcd server [name machine1, listen on :4001, advertised url http://127.0.0.1:4001] [etcd] Nov 22 18:05:35.467 INFO | peer se
AWSのCDNよりも、AWSのCDNを安く使う方法 | iret.media
シンジです。そもそもAWSが提供しているサービス「Amazon CloudFront」を、それよりも安い価格で提供する会社があったとして、というか現実にcloudpackがAWSよりも安く提供してしまっているわけですが、いったい何がどうなってんのよって話です。 業界最安値=世界的に見ても最安 「データ転送料金は1GBあたり月額0.1ドル」 というわけですが、AWSでは現在1GBあたり0.14ドルとしており、その時点で既に安いという不思議。更に細かく見ると、HTTPやHTTPSのリクエスト数にかかるその他料金が基本料金として含まれている。不思議。 cloudpack名乗ってるのにドル建てなの!? と思うなかれ、請求は円で行われます。 なぜドル表記か、それは「価格を最適化するため=お客様に損をさせないため」ドル表記にしているわけです。こちらは月額での料金確定後に、みずほ銀行外国為替公示相場ヒス
AnsibleをAmazon Linuxにセットアップする | iret.media
はじめに こんにちは。インフラエンジニアレベル1のf_prgです。 普段業務では、MacからAnsibleを使用しております。 Amazon Linuxから使う必要がでたので、インストールの作業内容をまとめたいとおもいます。 インストール pipのインストール [root@ip-172-31-21-105 ~]# sudo easy_install pip Ansibleのインストール [root@ip-172-31-21-105 ~]# sudo pip install ansible Ansibleの確認 [root@ip-172-31-21-105 ~]# which ansible /usr/bin/ansible AWS EC2 External Inventory Scriptと組み合わせる Ansible and Dynamic Amazon EC2 Inventory Ma
Linuxでのネットワーク処理負荷を適正化する(RPS/RFS/XPS) | iret.media
それほどCPU負荷も高くないはずなのになんとなく「もっさり」してる…という事案に直面している方のお役に立てるかもしれません。 困っていたこと 状況の把握 対象となるサーバ群はApache/PHPでサービスを提供しています。 AWS/ParaVirtual/c3.2xlargeという構成ですので、8coreが利用できる状態です。 稼働中の問題点は以下のようなものです。 特定のコアに負荷が偏っている CPU負荷としてはそれほど高くないはずなのに、ネットワーク転送などが時々詰まる top - 19:29:57 up 9:08, 1 user, load average: 0.92, 0.70, 0.69 Tasks: 427 total, 3 running, 424 sleeping, 0 stopped, 0 zombie Cpu0 : 54.6%us, 5.7%sy, 0.0%ni, 25
Check! AWS Lambda を理解しよう(2) ~ Lambdaファンクションとコンソール | iret.media
こんばんは、cloudpack の @dz_ こと大平かづみです。 Prologue – はじめに AWS Lambda の話をしていたら、プログラマの大先輩が「半年前に欲しかったわ~」と感想をこぼすほど、AWS Lambda はコード書く人はかなり興味のあるサービスなんです。 さぁ、前回「Check! AWS Lambda を理解しよう ~ 2つの動作モデル (pushモデル/pullモデル)」に引き続き、AWS Lambda ディベロッパーガイドの「Component: Lambda Function」を読み進めます。 Lambdaファンクション とは? AWS Lambda にアップロードしたコード群 = Lambdaファンクション コード群は、.zipファイルにまとめます(依存するライブラリも含む) Lambdaサービスにプリインストールされているのは、AWS SDK for No
Check! AWS Lambda を理解しよう ~ 2つの動作モデル (pushモデル/pullモデル) | iret.media
AWSサービスや独自アプリケーションから、AWS Lambda へイベント通知して、コードを実行する コード実行の順序は保証されない 大事そうな部分をクイック和訳: pushモデル In both these cases, you must grant Amazon S3 or the custom application permission to invoke a function on your behalf. You do this by creating an invocation role, discussed in the following section. (2つのユースケース図のについて)これらのケースでは、あなたは Amazon S3、またはカスタムアプリケーションに、ファンクションを実行するパーミッションを与える必要があります。これは、invocation role
【事例から学ぶ】ConoHaの仕様変更からのセキュリティの話 | iret.media
注)これ以降の萌えはありません。 あんずちゃんが良い人はこちら→もう怖くない!ファイアーウォール(iptables)(このはとあんずのVPS勉強室) 事は、2015年3月20日 18:28にGMOインターネット社よりユーザへ送信された、緊急メンテナンスのアナウンスになります。 日ごろはConoHaをご愛顧いただきありがとうございます。 ConoHaのサービスにおきまして、セキュリティ対策の一環として、 下記のとおり通信制御の設定を追加いたします。 変更日 :2015年03月20日(金) 19時00分頃 作業内容 :以下の作業を実施します。 1.内部から外部、外部から内部の通信を制限。 22番ポート/UDP 80番ポート/UDP 1900番ポート/UDP 2.内部からのブロードキャスト通信を制限。 解釈として、 インターネットからインスタンスへのinboundの強制的な制限。 インスタンス
RDSでParameter Groups変更時のDBリブートについて調査してみた | iret.media
こんにちは、cloudpack の 今岡 です。 Amazon RDS はインスタンスのスペックに応じて、自動でDBパラメータを調整してくれるのが売りでもありますが、どうしても変更したいパラメータがあったりします。有名なところでは max_allowed_packet character_set_xxx 系 この辺りのパラメータや、もっと重いパラメータ(クエリキャッシュの有効化等) 変更時に、DBリブートはかかるのか、かけなくていいのかを検証します。今回はとりあえずMySQLです。 リブートが掛かっていないかの確認 スクリプトを用意しました。しょうもないスクリプトですが、使ってください。 #!/bin/bash while : do dt=$(date) state=$(timeout 5 mysqladmin ping -u -p -h) echo $dt-$state sleep 1
Apache にあんまり手を加えずに内部情報モニタリングする方法を探したメモ | iret.media
ども、cloudpack の かっぱ (@inokara) です。 目的(やりたいこと) コマンドラインから Apache の設定や状態を確認したい イメージとしては MySQL の show variables で設定パラメータは show statsu で現在の状態が確認出来るようなものが Apache にもないかしら 避けては通れない mod_status 当初は mod_status に頼らない方法を模索していましたが無理そうなので mod_status を有効にしつつ以下のように mod_status の設定。 Listen 8000 (snip) ExtendedStatus On SetHandler server-status Order deny,allow Deny from all Allow from 127.0.0.1 fullstatus links が必要 標
DynamoDB Local を Docker コンテナで動かすメモ(2) | iret.media
ども、cloudpack の かっぱ (@inokara) です。 はじめに 前回、前々回からの続きです。 室内の温度を計測して fluentd を経由してログに出力していましたが、これを DynamoDB Local に突っ込んでみるメモです。 参考 [AWSマイスターシリーズ] Amazon DynamoDB Amazon DynamoDB(初心者向け 超速マスター編)JAWSUG大阪 Dynamic ダイ○マ~ 以下のようなイメージです… fluentd プラグイン fluentd から DynamoDB にデータを送る場合には以下のような Output プラグインがありますが… fluent-plugin-dynamodb fluent-plugin-dynamodb-alt fluent-plugin-dynamodb は DynamoDB Local には対応していない(SDK
俺の consul チートシート(2) | iret.media
やっほい。 インストールと起動 mkdir /opt/consul-ui cd /opt/consul-ui wget https://dl.bintray.com/mitchellh/consul/0.4.1_web_ui.zip unzip 0.4.1_web_ui.zip 展開すると以下のような構成になっています。 # tree ./consul-ui/ ./consul-ui/ ├── 0.4.1_web_ui.zip └── dist ├── index.html └── static ├── application.min.js ├── base.css ├── bootstrap.min.css ├── consul-logo.png ├── favicon.png └── loading-cylon-purple.svg 2 directories, 8 files 起動は
sensu プラグインを作って学ぶ Go | iret.media
このプラグインも systemstat パッケージを利用させて頂きます。 ... (snip) ... // Buffers Cached MemTotal MemUsed MemFree SwapTotal SwapUsed SwapFree time.Time // {80888 648992 2056668 1881204 175464 1438004 476 1437528 2014-12-30 09:57:09.298455307 +0900 JST} mem := systemstat.GetMemSample() // 純粋な空き容量を算出 mem_free_uint := (mem.Buffers + mem.Cached + mem.MemFree) // uint64 => String => float64 mem_free, _ := strconv.ParseFl
Play2 アプリケーションのデプロイを fabric でやろうと思ったのでメモ(3)〜対象ホストを SDK で取得する巻〜 | iret.media
ども、cloudpack の 夜の Player かっぱ (@inokara) です。今年の紅白歌合戦出場は辞退しました。すいません。 はじめに AWS 環境において fabric を利用して Play2 アプリケーションをリモートホストに対してデプロイしようとした際にリモートホストの情報を動的に取得したいと思ったので組み込んでみました。 boto fabric が Python 実装ということで fabric から AWS 環境を扱おうとすると boto というライブラリが必須ですのでインストールしておきましょう。環境に応じてインストール方法は異なりますのでご注意下さい。 boto 初めて知りましたが boto = AWS SDK for Python だったんですね。 実装 ギットハヴ fab-deploy-play ツッコミ宜しくお願い致します! ざっくりイメージ 以下のように EC
HAProxy チートシート(acl や SSL サポート等) | cloudpack.media
どうも、39 歳の cloudpack の かっぱ(@inokara)です。おっさんです。 はじめに HAProxy の acl 機能を利用して各種条件の振り分け設定についてメモってみます。 構成 振り分けを坦々(淡々)と… acl を使って振り分け HAProxy は機能大杉漣ですが、acl を使うことで柔軟でアクセスコントロールすることが出来ます。 HAProxy – acl 以下 acl を使って幾つかの条件による振り分け設定例を試してみたいと思います。 ホストヘッダによる振り分け frontend kappa-test bind 0.0.0.0:80 acl hage hdr(host) -i hage.test.inokara.com acl pika hdr(host) -i pika.test.inokara.com use_backend hage_bk if hage u
CentOS 6.5 に 5 分で HAProxy の最新版をインストールする方法 | iret.media
ども、cloudpack の かっぱ(@inokara)です。 はじめに すいません、取り急ぎメモです。 HAProxy は本日(2014/11/6)時点で 1.5.8 となっています。 メモ 関連パッケージの導入 yum install gcc make pcre-devel openssl-devel rpm-build wget ビルド用のディレクトリ作成 mkdir rpmbuild mkdir rpmbuild/BUILD mkdir rpmbuild/BUILDROOT mkdir rpmbuild/RPMS mkdir rpmbuild/SOURCES mkdir rpmbuild/SPECS mkdir rpmbuild/SRPMS tar ball の取得と展開 cd rpmbuild/SOURCES wget http://www.haproxy.org/downloa
”memory leak”が止まらない | iret.media
何も実行してないPHP 要するにPHPのヘッダーだけのコード 本当に何もしてない こいつをまずはValgrindでチェックしてみる ==2783== LEAK SUMMARY: ==2783== definitely lost: 15,176 bytes in 1,067 blocks ==2783== indirectly lost: 2,662 bytes in 44 blocks ==2783== possibly lost: 0 bytes in 0 blocks ==2783== still reachable: 81,456 bytes in 2,693 blocks ==2783== suppressed: 0 bytes in 0 blocks こんなん返ってきた phpのbinaryだけでDefinnnitely lostが15,176 bytes、indirectory
リリース、障害情報などのサービスのお知らせ
最新の人気エントリーの配信
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
