はてなブックマーク

【コスト削減】AWS EC2インスタンス 夜間休日自動停止方法 (2) AWS Systems Manager Automation + Amazon EventBridgeAWSEC2初心者SystemsManagerコスト削減 1. はじめに AWS環境のコスト削減に取り組んでいる。コスト削減の一番ベーシックな対策である、EC2インスタンスの夜間休日の自動停止方法について、いくつかやり方があるようなので、それぞれ試してみて、難易度やメリット・デメリットを比較する。 本記事ではシンプルかつノーコードで設定できる方法(Systems Manager Automation + EventBridge)の動作確認を行う。 2. やったこと 自動起動・停止対象とするインスタンスを1台用意する。 以下のスケジュール設定により、夜間休日のインスタンス自動停止を実現する。 EventBridgeルール

1. 目的 ElastiCache for Redis のサービス更新通知が来た。AWS社(公式)の説明によると、サービス更新実施時の影響は数秒程度の断とのこと。本当にそうなのか？と心配なため、検証環境にて実際の接続断時間(ダウンタイム)を確認する。 2. 予習 AWS社(公式)による説明はこちら。接続断時間に関する記載部分を引用。 お客様または Amazon ElastiCache により 1 つ以上の Redis クラスターにサービス更新が適用されると、選択したすべてのクラスターが更新されるまで、一度に 1 つのノードの更新をそれぞれのシャード内で適用します。ノードの更新には数秒のダウンタイムが発生しますが、それ以外の Redis クラスターは引き続きトラフィックを処理します。 以前のアップデートの際に、既に実機確認している記事が何個かあり、AWSの言う通り、数秒程度の接続断の様子。

1. はじめに AWSのネットワーク関連の復習をしている。AWSと外部(オンプレミスなど)を接続した際のお互いの名前解決の方法について確認したかったため、実機での設定を行い基本的な仕組みを理解する。 2. やったこと AWS VPCとGCP VPCネットワークがVPNで接続されている環境を用いる。(環境の構築記事： 【初心者】AWS Site-to-Site VPN を使ってみる (GCPとのVPN接続)) GCP内のインスタンスから、Route 53 Resolver(インバウンドエンドポイント)を用いて、AWS側VPC内の名前解決を行う。 AWS内のインスタンスから、Route 53 Resolver(アウトバウンドエンドポイント)を用いて、GCP側VPCネットワーク内の名前解決を行う。 3. Route 53 Resolver インバウンド/アウトバウンドエンドポイントとは(自分の理

1. 目的 AWSのセキュリティ関連サービスの復習をしている。VPCフローログについて、今さらやってみるのも…と思ったが、定期的に新機能も追加されているようなので、改めて動作確認してみる。 ちょうど2021/3/3に、VPCフローログで取得できるフィールドが追加されたとのこと。せっかくなのでそれらを含めた確認を行う。 DevelopersIOの記事「[アップデート] VPC フローログに AWS サービス名および通信経路が表示されるようになりました！」 AWS公式「Amazon VPC フローログに AWS のサービス名である Traffic Path と Flow Direction を反映」 2. やったこと 検証用のVPCとインスタンスを作成する。 VPC全体に対して、VPCフローログの取得設定を行う。 試験トラフィックを発生させ、VPCフローログにどのように記録されるか確認する。

【初心者】AWS Secrets Manager と AWS Systems Manager Parameter Store を使ってみるAWS初心者parameter_storeSecretsManager 1. 目的 AWSのセキュリティ関連サービスの復習をしている。パスワードなどの保護すべき値を安全に保存するための仕組みであるAWS Secrets Manager と AWS Systems Manager Parameter Store について、それぞれを試して使い勝手などを確認する。 機能の差異や使い分けについては、Qiita記事「AWSのParameter StoreとSecrets Manager、結局どちらを使えばいいのか？比較」に詳しく整理、網羅されており、それを読むだけで一通り理解できるが、一応自分でどんなものか試してみる。 2. やったこと RDSと、RDSへ接続し

AWS認定セキュリティ - 専門知識 (AWS Certified Security - Specialty) に合格したAWS資格資格試験 1. 初めに AWSエンジニアとして、何かSpecialtyの資格を取ってみようと思い、業務的にも既存知識的にも一番なじみがあり取り組みやすそうな「AWS Certified Security - Specialty」にチャレンジすることにした。 2. 勉強法 2.1 先人の体験記 まずは合格体験記で勉強の仕方の流れを確認するとともに、「自分も取るぞ」、というモチベーションを高めた。 AWS 認定セキュリティスペシャリティ試験合格へ向けてやったこと AWS Certified Security - Specialtyに合格したよ！ AWS Certified Security Specialty 合格記録 2.2 Exam Readiness: AW

1. 目的 AWSのセキュリティ関連サービスの復習をしている。AWS KMSについて、暗号鍵の登録や、ファイルの暗号化・復号といった基本的な処理を行い、動作イメージを把握する。 2. AWS KMSとは(自分の理解) データを暗号化するための鍵の管理を行ってくれるサービス。暗号鍵をAWSの責任範囲において保管したり、更新したりしてくれる。 3. やったこと CMK(カスタマーマスターキー) を作成する。 CMKに紐づくデータキーを作成する。 データキーで自分のファイルを暗号化する。 （暗号化されたデータキー及び暗号化されたファイルを残し、元のファイルを削除する。） 暗号化されたデータキーを復号し、復号したデータキーを用いて暗号化されたファイルも復号する。 4. 予習 先人のまとめを読んで勉強する。 「10分でわかる！Key Management Serviceの仕組み」 2014年の古い記

【初心者】Amazon EKSを使ってみる #3 (AWS Load Balancer Controller によるIngressの利用)AWS初心者eks 目的 k8sの学習のため、EKSを触っている。前回記事：「【初心者】Amazon EKSを使ってみる #2（WordPressのデプロイ）」でService type: Loadbalancerは使えるようになったので、今回はIngressができるようにする。 やったこと 「AWS Load Balancer Controller」を用いて、ServiceをIngress(ALB)で外部公開する。 従来、EKSでは「ALB Ingress Controller」によりIngressが実装されていたが、ちょうど2020/10月末頃に、新しい方式である「AWS load balancer controller」がリリースされた。せっかくな

目的 今までインスタンスに接続するのにレガシーにTeratermでssh接続していたが、心を入れ替えて、セキュアにSesson Managerを使うように変えていこうかなと思い、使い方を確認する。 AWS Systems Manager Session Manager とは（自分の理解） AWS Systems Managerの中の一機能で、sshをせずに、AWSの機能としてLinuxにシェルアクセス(WindowsにはPowerShell)できる。 やったこと 以下の環境のEC2インスタンス(Amazon linux 2)へSession Managerを用いて接続できることを確認する。 インターネット接続あり(IGW/EIP, NatGateway) インターネット接続なし(VPCエンドポイント) 接続のログが取れることを確認する。 構成図 予習 公式ドキュメント等を見て、Sessio

【初心者】GCP Identity-Aware Proxy (IAP), Access Context Managerを使ってみる (WEBサーバへのアクセス制限)初心者GoogleCloud 目的 Google の提唱する BeyondCorp って何かな？と思っていたが、BeyondCorpはいろんな技術の組み合わせであり、Identity-Aware Proxy (IAP)やAccess Context Managerがその中の主要な構成要素とのこと。それらがどんなものか簡単に確認する。 GCP Identity-Aware Proxy (IAP) とは（自分の理解） 既存のWEBサービスに対して認証機能を挟むことができる仕組み。 GCPのサービス(GCE, GAE, GKE)で作られているWEBサービスであれば、その前にIAPをそのまま追加できる。オンプレや他のクラウドで提供されて

目的 クライアントVPN接続の調査の案件があり、やり方を載せたサイトは既にいくつかあったが、自分で一通り実機で触って気になるところを確認する。 AWS クライアントVPN とは (自分の理解) 自分のPCにVPNクライアントソフトを入れて、インターネット経由で安全にAWS VPCへ接続できる。さらにそのVPCを経由したインターネット接続やオンプレミス接続ができる。 やったこと VPN接続を認証するためのADを用意する(ADサーバの構築、AD Connectorによる利用設定)。 クライアントVPNエンドポイントの作成とVPC(Subnet)への紐づけを行う。 クライアントPCへVPNソフトウェアのインストールと設定を行う。 PCからVPNソフトウェアを用いてVPNアクセスし、AD上のユーザID/パスワードを用いて認証し、VPC内に接続する。さらにDirectConnectの先のオンプレサー

目的 PrivateLinkは既に登場して2年ほどになる、ある程度枯れたサービスだが、構成を理解するため触ってみることにした。 AWS PrivateLink とは（自分の理解） 自分のVPCのNLB配下のWEB等のサービスを、同一リージョン内の他のVPCに公開できるサービス。VPCピアリング等と異なり、IPアドレスレンジの重複等の考慮が不要で、AWS内に閉じた安全なNW接続を実現できる。 PrivateLinkは、サービスを公開する側（エンドポイントサービス）と、サービスにアクセスする側（インターフェースエンドポイント）のセットで構成される。 やったこと VPC(Provider)側にNLBとEC2(nginx)、VPC(Consumer)側にEC2(WEB Client)を作成する。 VPC(Provider)側で「エンドポイントサービス」を作成し、NLBを指定する。 VPC(Cons

目的 オンプレ時代にネットワークにTAPを入れてwireshark等でパケットキャプチャするような仕事があったが、同じようなことをAWSでできると聞いたため、どんなものかを確認してみることにした。 VPC Traffic Mirroring とは（自分の理解） 特定のENIを通るトラフィックをミラーリングして、別のENIもしくはNLBに出力できる。 やったこと インスタンス1(Amazon Linux2) と インスタンス2(WS2019) を作成する。インスタンス2には、RDP用のENIとミラーリングを受ける用のENIの2つをアタッチする。 インスタンス1にアタッチしたENIをミラーリングのSource、インスタンス2にアタッチしたENIをミラーリングのTargetに設定する。 インスタンス1にssh接続する。そのパケットをインスタンス2のwiresharkでキャプチャして、sshの通信

目的 動画配信について勉強する必要があり、とりあえず基本を実機で試してみることにした。 Kinesis Video Streams とは（自分の理解） カメラからの動画を受信してストリームとして保存し、配信や解析を行う他のサービスに渡すことができるサービス。 やったこと ラズパイ(Raspberry Pi 3 model B) にUSBカメラ(Buffalo BSWHD06M) を接続する。 ラズパイにKinesis Video Streams のProducerSDKをインストール、設定する。 ラズパイからの動画をAWS東京リージョンに送信し、マネージメントコンソールの動画プレビュー画面で確認する。 構成図 作業手順 公式ドキュメント：Kinesis ビデオストリーム の使用開始に従い作業を行う。 AccessKeyの発行 IAMユーザを作成し、「AmazonKinesisVideoSt

目的 AWS Application Discovery Serviceについて仕事上の相談があり、勉強（知ったかぶり）のため、基本動作を確認することにした。 AWS Application Discovery Service とは（自分の理解） オンプレ等、AWSとは別環境で稼働しているサーバ（物理/仮想問わない）のスペック、負荷状況等を収集できるサービス。 収集したデータを元にAWSに移行する場合の必要スペック（インスタンスタイプ等）を設計し、移行計画を立案する。 AWS Application Discovery Service で環境調査をして、AWS Server Migration Service （AWSへの移行を行うサービス）等で実際にMigrationを行う。それらの進捗を管理画面（AWS Migration Hub：マネージメントコンソール内で、移行関連サービスを一覧で

目的 ALBにFQDNではなく、固定のIPアドレスでアクセスしたいという要件あり。Global Acceleratorでできるのではないかと思い検証することにした。 Global Acceleratorとは（自分の理解） Global Acceleratorを使うと、クライアント(PCやスマホ)と、サーバ(ELB配下のWEBとか)の通信時に、AWSが用意するネットワークを通る区間が長くなるため、通常のインターネット経由よりも速くなる。 固定のIPが払い出されるので、それをALBと紐づけることで、結果的にALBに固定IPでアクセスできるようになる。 やったこと ALB + EC2(nginx) の作成 Global Accelerator と ALBの紐づけ(=ALBへの固定IPでのアクセス) 通常のインターネット経由とGlobal Accelerator経由の速度の比較 ALBのアクセスロ