ゼロからわかる！！AWSの構成図を書いてみようワークショップ 問題&解答解説 #デッカイギ #羽田デッカイギおつ

Transcript

1. 2025/01/10 行政デジタル改革共創会議 クラスメソッド株式会社 クラウド事業本部 AWS認定インストラクター 伊豫谷 優希 補助資料

2. 自己紹介 2 伊豫谷 優希 / Yuuki Iyotani a.k.a もっさん すきなもの

   • 故郷の北九州市と福岡県 • ひとを笑顔にする技術 • 日曜の朝の特撮作品 (羽田デッカイギおつ のコンセプトに大興奮！！) クラスメソッド株式会社 福岡オフィス クラウド事業本部 ソリューション部 AWS 認定インストラクター(AAI)

3. 目次 3 ⚫ AWS Well-Archtected Framework とは ⚫ 構成図をもとにした問題を解いてみよう！

4. AWS Well-Archtected Framework とは

5. AWS Well-Archtected Framework とは 5 AWS でシステムを構築・運用する際のベストプラクティスを文書化したもの AWS Well-Archtected Frameworkを利用すると、

   安全性、信頼性、システムパフォーマンス、コスト効率に優れた AWS 上のシステム設計・構築・運用について理解を深めることができる フレームワークは6つの柱で構成されている 参考：AWS Well-Architected フレームワーク - AWS Well-Architected フレームワーク https://docs.aws.amazon.com/ja_jp/wellarchitected/latest/framework/welcome.html

6. AWS Well-Archtected Framework の6つの柱 6 ⚫ 運用上の優秀性(オペレーショナルエクセレンス) ⚫ セキュリティ ⚫

   信頼性 ⚫ パフォーマンス効率 ⚫ コスト最適化 ⚫ 持続可能性

7. 運用上の優秀性(オペレーショナルエクセレンス) 7 ビジネス価値を生み出すために、システムを運用およびモニタリングし、 プロセスと手順を継続的に改善する • オペレーションイベントやメトリクスを記録・分析し、継続的に改善する • オペレーションをコードとして実行し、自動化する • 小規模かつ可逆的な変更を頻繁に行う

   • 障害を予測し、シミュレートする • マネージドサービスを使用し、運用上の負担を軽減する

8. セキュリティ 8 データ、システム、アセット(資産)を保護し、 クラウドテクノロジーを活用してセキュリティを強化する • セキュリティのベストプラクティスを自動化する • モニタリング、ロギング、アラートを維持し、 調査とアクションを自動化する •

   転送中のデータと保管中のデータを保護する • インシデント対応をシミュレートする • 全てのレイヤーにセキュリティを適用する

9. 信頼性 9 意図した機能を期待通りに、正しく、一貫して実行できるよう システムを構成する • 障害から自動的に復旧できるようにアラートやアクションを設定する • 水平方向のスケールによりワークロード全体の可用性を高める • スケーリングの自動化を行い、想定外の負荷に対応できるようにする

10. パフォーマンス効率 10 クラウドのリソースを効率的に使用し、 需要の変化や技術の進化に対応しながらシステムの要件と効率を維持する • 障害から自動的に復旧できるようにアラートやアクションを設定する • 水平方向のスケールによりワークロード全体の可用性を高める • スケーリングの自動化を行い、想定外の負荷に対応できるようにする

11. コスト最適化 11 最も安価にシステムを実行し、ビジネス価値を実現する • 必要な時間だけリソースを起動する • コストを分析し、帰属関係を明らかにする • より安くリソースを利用できる料金体系を導入する

12. 持続可能性 12 自分のワークロードの実行による環境への影響を把握し、最小化する • 環境への影響を理解する • リソース使用率を最大化し、エネルギー効率化をはかる • マネージドサービスや新製品の導入による効率化をはかる

13. 構成図をもとにした問題を解いてみよう！

14. 問題1 : 構成図

15. 問題1 15 図中のAmazon EC2はインターネット と疎通できないようです。 この問題を解消するために、 どのコンポーネントを追加すれば よいでしょうか？ 1. NAT

    ゲートウェイ 2. インターネットゲートウェイ 3. APIゲートウェイ NAT gateway Internet gateway Amazon API Gateway 1. 2. 3.

16. 問題 1：解答 16 VPC内のリソースがインターネットと 通信をするには、 • インターネットゲートウェイの作成 • インターネットへの経路を ルートテーブルで設定

    の2点が必要です。 よって、解答は 2. インターネットゲートウェイ です。

17. 問題 1：解答 他の選択肢について補足 17 1. NAT ゲートウェイ は ネットワークアドレス変換(NAT) を提供するコンポーネントです。

    パブリックサブネットにNATゲートウェイを作成すると、 プライベートサブネットのリソースはNAT ゲートウェイを経由して、 間接的に インターネットへのアクセスが可能となります。 NATゲートウェイはVPCそのもののインターネットへのアクセスを可能にする機能はないため、 1は不正解です。 ただし、今回はプライベートサブネット内にリソースが存在しているため、 パブリックサブネットを作成 & パブリックサブネット内へNATゲートウェイを配置すると、 間接的なインターネットアクセスが実現できます。

18. 問題 1：解答 他の選択肢について補足 18 3. APIゲートウェイは、AWS内に作成・公開しているAPIのエントリポイントとして 機能するサービスです。 APIの作成・配布・監視・保護などが手軽に行えます。 リソースがインターネットと疎通するために使用するものではないため、3も不正解です。

19. 問題1 : 解答 構成図

20. 問題2 20 構成図中に示す Amazon EC2 の CPU 使用率が高騰し、 アクセス不可状態になりました。 再発を防止するため、

    Amazon EC2 のCPU使用率を モニタリングしたいです。 どのサービスを使用しますか？ 1. Amazon CloudWatch 2. Amazon GuardDuty 3. AWS Personal Health Dashboard Amazon CloudWatch AWS Personal Health Dashboard Amazon GuardDuty 1. 2. 3.

21. 問題 2 : 解答 21 Amazon CloudWatch は、AWS やオンプレミスのリソースの状態の監視、 アプリケーションのログ記録が行えるサービスです。

    EC2 インスタンスの CPU使用率 をモニタリングするには、 CloudWatch の [CPUUtilization] メトリクスを確認します。 よって、解答は 1.Amazon CloudWatch です。 メトリクスは、CloudWatch コンソールからグラフ形式で確認可能です。 また、特定のメトリクスがあらかじめ設定した閾(しきい)値を超えた際に、 アラームを発報するよう設定できます。

22. 問題 2：解答 他の選択肢について補足 22 2. Amazon GuardDuty は、 AWS アカウント内の悪意あるアクティビティや

    不正な動作を監視し、セキュリティ上の脅威を検出するサービスです。 Amazon EC2 インスタンスのCPU使用率の高騰はトラッキングできないため、2は不正解です。 3. AWS Personal Health Dashboard は、 AWS アカウント固有や組織の Health イベントを通知します。 主に AWS 基盤側のイベントや変更、 アカウントセキュリティ上の脆弱性に関する通知が行われます。 Amazon EC2 インスタンスのCPU使用率 の継続モニタリングは行わないため、3は不正解です。

23. 問題3 23 構成図中のRDSインスタンスを 誤って削除してしまいました。 RDS インスタンスが削除されても データベースのデータを 復旧できるようにするには、 どのような設定・構成にすると よいでしょうか？

    3択のうち、もっとも効率的な方法を 選んでください。

24. 問題3 (つづき) 24 1. RDS インスタンスの AMI を作成し、保持しておく 2. 手動で定期的に

    RDS のデータを CSV形式でエクスポートし、 Amazon S3 に保存する 3. RDS の 自動バックアップ機能を 設定する

25. 問題 3：解答 25 データの消失に備えるためには、ストレージやデータベースの バックアップを取得しておくことが重要です。 Amazon RDS には「自動バックアップ」の機能があります。 自動バックアップを有効にすると、あらかじめ設定されたバックアップウィンドウ※ 内でバックアップが開始されます。

    よって、最も効率的な方法は 3. RDS の 自動バックアップ機能を設定する です。

26. 問題 3：解答 他の選択肢について補足 26 1. RDS インスタンスの AMI を作成し、保持しておく について、AMI

    の作成は EC2 インスタンスで行うことができます。 RDS には、カスタム AMIを作成する機能はありません。 よって、1は不正解です。 2.手動で定期的に RDS のデータをCSV形式でエクスポートし、Amazon S3 に保存する 上記でバックアップを取得することは仕様上可能ですが、 今回の設問では「もっとも効率的な方法」を選択するという条件があります。 3の自動バックアップの方が、復旧の際も人間による操作の手間を省略できますので、 2も不正解です。

27. 問題4 27 構成図中のEC2インスタンスが突然 停止し、システムの稼働に影響が 出ました。 この障害を回避するための 構成に変更してください。

28. 問題 4 ：解答 28 構成図では、EC2インスタンスが1台のみ起動しています。 このEC2インスタンスが障害などでダウンしてしまうと、システム全体に影響を及ぼし ます。 これを回避するには、EC2インスタンスを複数台起動して冗長化する構成とします。 EC2インスタンスの前段にElastic Load

    Balancing を配置することで、 ターゲットのヘルスチェックを実施し、異常なターゲットにトラフィックを ルーティングしないように設定できます。

29. 問題4 : 解答 構成図 29

30. 問題4 : 解答 構成図 30

31. 問題5 31 アベイラビリティゾーン(AZ)障害が AWS 上のシステム稼働へ及ぼす 影響を最小限にし、 高い可用性を実現するための 構成に変更するにはどうすれば よいでしょうか？

32. 問題 5 32 高い可用性を備えたシステムを実現するには、冗長的な構成とすることが重要です。 マルチAZ構成(複数のアベイラビリティゾーンを使用する構成) とすることで、 いずれかのアベイラビリティゾーンで障害が発生しても、 残りの AZ でシステムを稼働し続けることができます。

    具体的には、 ⚫ Elastic Load Balancing と EC2 Auto Scaling を組み合わせて、 サービスレベル上の正常なEC2インスタンスの起動台数を維持する ⚫ Amazon RDS をマルチAZ配置とし、自動フェイルオーバーを可能とする などの方法があります。

33. 問題5 : 解答 構成図 33

34. 問題6 34 リージョン単位での障害や災害に備えた構成に変更したいです。 DR / ディザスタリカバリ構成の一般的な戦略4つを、 コストが低いものから順に並べ替えてください。 A) ウォームスタンバイ B)

    バックアップと復元 C) マルチサイト Active – Active D) パイロットライト

35. 問題 6 選択肢説明 – ウォームスタンバイ 35 データをほぼ最新の状態でレプリケートし、 通常時も最小限の容量でリソースを起動しておく戦略です。 障害発生時には、本番環境に必要な容量までスケールします。 画像引用：https://aws.amazon.com/jp/blogs/news/disaster-recovery-dr-architecture-on-aws-part-1-strategies-for-recovery-in-the-cloud/

36. 問題 6 選択肢説明 – バックアップと復元 36 データを定期的にバックアップし、 障害発生時にはバックアップから インスタンス等を復元します。 画像引用：https://aws.amazon.com/jp/blogs/news/disaster-recovery-dr-architecture-on-aws-part-1-strategies-for-recovery-in-the-cloud/

37. 問題 6 選択肢説明 – マルチサイト Active - Active 37 本番環境と同等の容量で、DR

    サイトでもリソースを起動し続けます。 障害発生時には、リクエストを処理可能なリージョンにのみ トラフィックをルーティングします。 画像引用：https://aws.amazon.com/jp/blogs/news/disaster-recovery-dr-architecture-on-aws-part-1-strategies-for-recovery-in-the-cloud/

38. 問題 6 選択肢説明 – パイロットライト 38 データをほぼ最新の状態でレプリケートしますが、 リソースは起動しない状態で保持します。 障害発生時にこれらのリソースを起動します。 画像引用：https://aws.amazon.com/jp/blogs/news/disaster-recovery-dr-architecture-on-aws-part-1-strategies-for-recovery-in-the-cloud/

39. 問題 6 39 一般的にはコストが低い順に、 B) バックアップと復元 D) パイロットライト A) ウォームスタンバイ

    C) マルチサイト Active – Active となります。 「使用していないが起動しているリソース」が多ければ多いほど、 コストは高くなりますが、復旧までの時間やデータ消失が減少します。 ガバメントクラウドの推奨構成では、 B) バックアップと復元 で要件は満たすと 考えられますが、RTO/RPOとコストとの兼ね合いで構成を検討してください。

40. 問題 7 40 EC2 インスタンスのストレージである EBS の スナップショットをAmazon S3に保存する 予定です。

    S3 ストレージへアクセスするためには インターネットゲートウェイが必要ですが、 セキュリティやコストの観点から インターネットゲートウェイを使わない 構成としたいです。 どのコンポーネントを使用すれば、 インターネットゲートウェイを使用せず S3 にアクセスできますか？

41. 問題 7 41 VPC エンドポイントを使用することで、 インターネットゲートウェイなしで AWS のサービスにプライベートに接続 することができます。 VPCエンドポイントには

    ・ゲートウェイVPCエンドポイント ・インターフェイスVPCエンドポイント があります。 対応サービスやルーティング方法によって 使い分けてください。

42. 問題7 : 解答 構成図 42

43. 問題 8 43 図のように、3つのVPCが相互接続 しようとしています。 VPC同士が接続するために、 どのようなサービスを使用すれば よいでしょうか？

44. 問題 8 44 3つのVPC と接続する場合は、 ・AWS PrivateLink ・VPC Peering ・

    AWS Transit Gateway などの選択肢があります。 VPC Peering は 1VPC あたり 50 接続までしか作成できないため、 接続する VPC 数が増えることが見込まれる場合は、AWS Transit Gateway を使用することで、 煩雑なサブネットのルートテーブル設定や VPC ピア接続 を減らすことができます。

45. 問題8 : 解答 構成図 45

46. 問題 9 46 専用線でのオンプレミス接続を 行うには、 どのサービスを利用すれば よいでしょうか？ 必要なコンポーネントやサービス を構成図に追記してください。

47. 問題 9 47 AWSへの専用線での通信を行うには、AWS Direct Connect を使用します。 AWS Direct Connect

    を使用することで、公開されたインターネットにアクセスすることなく AWS 間とオンプレミスで通信を行うことができます。 AWS Direct Connect の使用には、AWS Direct Connect デリバリーパートナーによる 工事と設定が必要となるため、申し込みから利用開始までに十分な猶予期間を設けることが 必要です。 また、デフォルトでは専用線間の接続は暗号化されていないため、 必要に応じて転送中のデータの暗号化をご検討ください。

48. 問題9 : 解答 構成図 48

49. ありがとうございました