共用サーバー EX サーバー管理画面「PEM」 ユーザーズガイドPEMとは、共用サーバー EX各種サービスの追加・変更・削除などの設定を行うサーバー管理ツールです。このサーバー管
Jaws days 2015 LT 「サーバー消してみた。」
-
Upload
tomoharu-ito -
Category
Technology
-
view
140 -
download
1
Transcript of Jaws days 2015 LT 「サーバー消してみた。」
伊東 知治(株)TGL http://www.tgl.co.jp/
AWS歴 約2年半。
好きなAWSサービス。
Amazon VPC と Route53。
C# と RubyOnRails が好き。
#本日携帯を無くす。(さきほど取り戻しましたw)
自己紹介
上と下の説得
社内説得1 お金を出してくれる人へ。
TCOTCO計算ツールhttp://aws.amazon.com/jp/tco-calculator/
で考えてもらう。
上と下の説得
多いのは、誤操作、管理ミス、紛失など、約 80%
http://www.jnsa.org/seminar/2014/0610/data/A4_incident.pdf
人がからめばからむほどセキュリティリスク。
と考えるのも、あながち間違いではない。
実行に移す。
セキュアに社内とつなぐ方法は2通り。
Direct Connecthttp://aws.amazon.com/jp/directconnect/
Amazon VPCでVPN接続http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_VPN.html
実行に移す。
AWS Direct ConnectAWS Direct Connect への接続には、シングルモード光ファイバー、1000BASE-LX(1310nm)(1 ギガビットイーサネットの場合)、ま
たは 10GBASE-LR(1310nm)(10 ギガビットイーサネットの場合)が必要です。この接続上で 802.1Q VLAN がサポートされている必
要があります。
使うには、いろいろ条件があります。
要件
AWS Direct Connect を使用するには、お客様のネットワークが以下のいずれかの条件を満たしている必要があります。
● ネットワークが既存している AWS Direct Connect ロケーションと同じ場所にある。利用可能な AWS Direct Connect ロケーションの詳細については、http://aws.amazon.com/directconnect/ をご覧ください。
● AWS Partner Network(APN)のメンバーである AWS Direct Connect パートナー企業のサービスを利用している。接続に役立つ AWS Direct Connect パートナーのリストについては、http://aws.amazon.com/directconnect を参照し
てください。
● 独立系サービスプロバイダを利用して AWS Direct Connect に接続する。
さらに、以下のネットワーク条件もあります。
● AWS Direct Connect への接続には、シングルモード光ファイバー、1000BASE-LX(1310nm)(1 ギガビットイーサネットの場合)、または 10GBASE-LR(1310nm)(10 ギガビットイーサネットの場合)が必要です。この接続上で 802.1Q VLAN がサポートされている必要があります。
● ネットワークがボーダーゲートウェイプロトコル(BGP)と BGP MD5 認証をサポートしている必要があります。必要に応じて、双方向フォワーディング検出(BFD)プロトコルを設定することもできます。
Amazon Virtual Private Cloud(Amazon VPC)に接続するには、初めに以下を実行する必要があります:
● 自律システム番号(Autonomous System Number/ASN)を提供します。Amazon はお客様に、169.x.x.x の範囲内のプライベート IP アドレスを 1 つ割り当てます。
● 仮想プライベートゲートウェイを作成して、それをお客様の VPC に付けます。仮想プライベートゲートウェイの作成の詳細については、『Amazon VPC ユーザーガイド 』の「Adding a Hardware Virtual Private Gateway to Your VPC」をご覧く
ださい。
Amazon EC2 や Amazon S3 などの公共の AWS 製品に接続するには、以下を提供する必要があります:
● お客様が所有するパブリックの ASN(こちらをお勧めします)またはプライベートの ASN。
● 各 BGP セッション用のパブリック IP アドレス(/31)(BGP セッションの両端に 1 つずつ)。この接続に割り当てられているパブリック IP アドレスがない場合は、AWS にログオンし、AWS サポートでチケットを開きます。
● お客様が BGP 経由でアドバタイズするパブリックルート。
(改めて)実行に移す。
AWS Virtual Private CloudAmazon Virtual Private Cloud(Amazon VPC)で、アマゾン ウェブ サービス(AWS)クラウドの論理的に分離したセクションを確保し、ここで、お客
様が定義する仮想ネットワークで AWS リソースを起動することができます。独自の IP アドレスレンジの選択、サブネットの作成、ルートテーブ
ル、ネットワークゲートウェイの設定など、仮想ネットワーク環境を完全にコントロールできます。
S3どうする?
Amazon S3Amazon Simple Storage Service(Amazon S3)は、安全で耐久性があり拡張性の高いオブジェクトストレージを、開発者や IT チームに提供します。Amazon S3 は、シンプルなウェブサービスインターフェイスにより、ウェブのどこからでもお好みの量のデータを簡単に保存し取得します。Amazon S3 では、実際に使用したストレージ分のみお支払いいただきます。最低料金や初期費用はありません。
S3はVPNの外。
S3どうする?
バケットポリシーでもできますが。。。
グループ単位では、設定できない。
IAMのグループ単位で基本のアクセス権を管理して、例外的に認めるケースをバケットポリシーで一時的に制御。がベストプラクティスかな。
S3どうする?
AWS Storage Gateway.AWS Storage Gateway は、オンプレミスのソフトウェアアプライアンスをクラウドベースのストレージと接続し、組織のオンプレミスの IT 環境と AWS のストレージインフラストラクチャ間でシームレスでセキュアな統合を実践するサービスです。このサービスを利用すると、スケーラブルでコスト効率の高いストレージとして AWS クラウドに安全にデータを保管できます。AWS Storage Gateway は、お客様の既存のアプリケーションで動作する業界標準のストレージプロトコルをサポートしています。頻繁にアクセスするデータをオンプレミスで維持することにより低レイテンシーのパフォーマンスを提供し、すべてのデータを暗号化して Amazon Simple Storage Service(Amazon S3) または Amazon Glacier に安全に保管します。
社内にS3専用の仮想マシンを立てて、セキュアにやりとりしましょう。
S3どうする?
EC2 Nat
http://docs.aws.amazon.com/ja_jp/AmazonVPC/latest/UserGuide/VPC_NAT_Instance.html
Public Subnet経由で、インターネット接続