Upgrade to Pro — share decks privately, control downloads, hide ads and more …

FinJAWS-20230510-LT2-FinRefArchitechture-DB

Hidehiko ASAHI
May 12, 2023
Technology
2
490

 FinJAWS-20230510-LT2-FinRefArchitechture-DB

Hidehiko ASAHI

May 12, 2023
Tweet

More Decks by Hidehiko ASAHI

See All by Hidehiko ASAHI
20240123_OracleCloud-ManagedDatabase
asahihidehiko
1
42
20240119_AWS-recap-Limitless-DB_v1.0
asahihidehiko
0
6
AWS_BlueGreenDemo
asahihidehiko
0
47
JPOUG Tech Talk Night #7 ASAHI
asahihidehiko
0
290
20221124 AWS update Database
asahihidehiko
0
14
20220928 RDS Update
asahihidehiko
0
13

Other Decks in Technology

See All in Technology
現代CSSフレームワークの内部実装とその仕組み
poteboy
8
3.4k
JSON攻略法.pdf
miyakemito
8
4.4k
FrontDoorとWebAppsを組み合わせた際のリダイレクト処理の注意点
kenichirokimura
1
440
最近たまに見かけるTiDBってなんだ? - Findy
pingcap0315
2
740
KubeCon EU 2024 Recap “Kubernetes Policy Time Machine: Where to Next?”
ryysud
0
190
継続的な改善 x ⾮連続的な進化
sansantech
PRO
3
120
生産性向上チームの紹介
cybozuinsideout
PRO
1
840
20240416_devopsdaystokyo
kzkmaeda
1
200
反実仮想機械学習とは何か
usaito
PRO
8
3k
ChatworkのSRE部って実は 半分くらいPlatform Engineering部かもしれない
saramune
0
150
Delivering Millions of Messages within seconds @ Duolingo
pelelgrino
0
340
Postman v10リリース後を振り返る / Looking back at Postman v10 after release
yokawasa
1
150

Featured

See All Featured
Helping Users Find Their Own Way: Creating Modern Search Experiences
danielanewman
19
1.9k
Writing Fast Ruby
sferik
620
60k
Agile that works and the tools we love
rasmusluckow
324
20k
Web development in the modern age
philhawksworth
202
10k
GraphQLの誤解/rethinking-graphql
sonatard
50
9.2k
Done Done
chrislema
178
15k
Building Better People: How to give real-time feedback that sticks.
wjessup
354
18k
Producing Creativity
orderedlist
PRO
336
39k
Optimising Largest Contentful Paint
csswizardry
7
2.3k
Rails Girls Zürich Keynote
gr2m
91
13k
Making the Leap to Tech Lead
cromwellryan
123
8.5k
The Language of Interfaces
destraynor
151
23k

Transcript

  1. DBからみた 金融リファレンスアーキテクチャ 【Fin-JAWS】 2023年5月10日 野村総合研究所 朝日英彦

  2. 2 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    ◼朝日英彦(ASAHI Hidehiko) ◼略歴 ⚫野村総合研究所にて金融業界のお客様向けのミッションクリティカルなシステム基 盤設計・構築、特にデータベース周りのチューニング等を長年にわたり実施。現在は 保険業界向けのシステムモダナイズやクラウドシフトに従事 ◼好きなAWSサービス ⚫Amazon RDS ◼データベース関連の資格等 ⚫2022, 2023 Japan AWS Top Engineer(Database) ⚫2022, 2023 Japan AWS All Certifications Engineer ⚫情報処理技術者(データベース) ⚫Oracle Master Platinum、Oracle Cloud Database Services 2021 Certified Specialist ⚫Azure Database Administrator Associate ⚫Google Cloud: Professional Cloud Database Engineer 自己紹介

  3. 3 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    金融リファレンスアーキテクチャについて

  4. 4 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    ◼金融向けのシステム構築においては、基本的にはFISC安対基準が インプットとなります ◼金融リファレンスアーキテクチャではベストプラクティスがAWSから提 供されています 1. 「金融リファレンスアーキテクチャ 日本版」の位置づけ • 「金融リファレンスアーキテクチャ 日本版」とは? https://aws.amazon.com/jp/blogs/news/financereferencearchitectureproductionseminar202210/#section1

  5. 5 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    ◼金融リファレンスアーキテクチャでは、幾つかの金融ワークロードのベス トプラクティスが紹介されています ◼今回は「勘定系のワークロード」にフォーカスし、リファレンスアーキテク チャを紐解きます 2. ベストプラクティス • 「金融リファレンスアーキテクチャ 日本版」とは? https://aws.amazon.com/jp/blogs/news/financereferencearchitectureproductionseminar202210/#section1

  6. 6 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    ◼勘定系のワークロード ⚫「基本的にはトランザクション系の汎用的なアーキテクチャとなり、他の 金融系システムにも適用が可能となります」となっており、データベース を中心としたOLTP系のシステムの実装となり、比較的他のシステムに も適用しやすい且つこのコアな部分は大体どのシステムにでもあるため です 3. 勘定系のベストプラクティス •勘定系ワークロードの特徴 https://aws.amazon.com/jp/blogs/news/financereferencearchitectureproductionseminar202210/#section41 金融系のコア業務はどのシス テムも同じような感じ

  7. 7 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    4. 勘定系のベストプラクティスのDB構成 • メイン DB として Aurora Global Database、アプリケーションのステー ト管理用 DB として DynamoDB を 採用 • リージョンを切り替える際、 DynamoDB についてはグローバル テーブルを用いる場合、切り替え 作業は不要。Aurora Global Database についてはフロントのネッ トワークと同様、手動による切り替 えを想定 • どちらの DB も通常は 1 秒以内に レプリケーションされるが、障害復 旧時のレプリケーションラグについ ては業務要件やアプリケーションの 特性などを踏まえて別途考慮が 必要 •金融ワークロードアーキテクチャ解説 [勘定系] https://github.com/aws-samples/baseline-environment-on-aws-for-financial-services- institute/blob/main/doc/reference-arc-core-banking/core-banking-arch-readme.md

  8. 8 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    4. 勘定系のベストプラクティスのDB構成 • メイン DB として Aurora Global Database、アプリケーションのステー ト管理用 DB として DynamoDB を 採用 • リージョンを切り替える際、 DynamoDB についてはグローバル テーブルを用いる場合、切り替え 作業は不要。Aurora Global Database についてはフロントのネッ トワークと同様、手動による切り替 えを想定 • どちらの DB も通常は 1 秒以内に レプリケーションされまる、障害復 旧時のレプリケーションラグについて は業務要件やアプリケーションの特 性などを踏まえて別途考慮が必 要 •金融ワークロードアーキテクチャ解説 [勘定系] https://github.com/aws-samples/baseline-environment-on-aws-for-financial-services- institute/blob/main/doc/reference-arc-core-banking/core-banking-arch-readme.md この構成が取れればよいよね。。 ←結局何ができているとよいんだっけ?

  9. 9 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    ◼ベースとなるWell-Architected Frameworkの六本の柱 ⚫運用上の優秀性 ⚫セキュリティ ⚫信頼性 ⚫パフォーマンスの効率 ⚫コスト最適化 ⚫持続可能性 5.Well-Architected Framework •AWSのテクノロジーとフレームワーク https://aws.amazon.com/jp/blogs/news/financereferencearchitectureproductionseminar202210/#section1

  10. 10 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    ◼FISC安全対策基準(第10版)のレビューを可能にするベストプラクティス 集となります ◼金融機関におけるベストプラクティスを活用し、FISC対応に向けた 検討 負荷の軽減を⽬的に作成されています 6.Well-Architected Framework FSI Lens for FISC •金融に求められるセキュリティとレジリエンス https://aws.amazon.com/jp/blogs/news/financereferencearchitectureproductionseminar202210/#section2 BLEA for FSIは統制・共通基盤の話となるため本日のテーマでは割愛します

  11. 11 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    ◼通常求められるWell-architected Frameworkに加えて、FSI Lens for FISCをインプットとして対応していくことが必要となります ◼本日はこの「FSI Lens for FISC」にフォーカスします 7.金融系システムとしての要求事項 •金融に求められるセキュリティとレジリエンス https://aws.amazon.com/jp/blogs/news/financereferencearchitectureproductionseminar202210/#section1

  12. 12 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    ◼データベースレイヤにて対応すべき内容としては、「金融ワークロードテ ンプレートの対策内容(勘定系)」より、主として以下と想定します ⚫ベストプラクティスである Aurora Global Database を採用することで、 通常の実装だと非常に難易度が高くなる高可用性を容易に実装す ることが可能となっている 8.ではデータベースレイヤへの具体的な要求は? •FISC 安全対策基準 実務基準の対策 より筆者にて再構成・加筆 https://github.com/aws-samples/baseline-environment-on-aws-for-financial-services-institute/blob/main/doc/reference-arc-core-banking/fisc-mapping-core-banking.md 分類 項目 対応内容(例) FISC安対実務基準(※) セキュリティ 認証・認可 パスワード漏洩防止の措置 接続元制限 実1、89 暗号化 KMSによる暗号化、キーのローテーション 実3、13、30、89 業務継続性 バックアップ/PITR 自動バックアップの有効化、PITR有効化 実6、39、106 高可用性 マルチリージョン、マルチAZ構成、切替方針の策定 高可用性サービスの利用 実73、74、84、85、86、87、 88、104 運用 モニタリング CloudWatchでのモニタリング 実46、47、72、101、102 (※)FISC安対実務基準との対比は各システムによって解釈が違うため、参考情報となります

  13. 13 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    データベースに求められること

  14. 14 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    ◼メイン DB として Aurora Global Database、アプリケーションのステート管理用 DB と して DynamoDB を採用 ◼リージョンを切り替える際、DynamoDB についてはグローバルテーブルを用いる場合、切 り替え作業は不要。Aurora Global Database についてはフロントのネットワークと同様、 手動による切り替えを想定 ◼どちらの DB も通常は 1 秒以内にレプリケーションされるが、障害復旧時のレプリケー ションラグについては業務要件やアプリケーションの特性などを踏まえて別途考慮が必要 9.ベストプラクティス(再掲) •金融ワークロードアーキテクチャ解説 [勘定系] https://github.com/aws-samples/baseline-environment-on-aws-for-financial-services-institute/blob/main/doc/reference-arc-core-banking/core-banking-arch-readme.md

  15. 15 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    ◼超高性能低遅延且つ リージョンを跨いだ構成が 可能なリレーショナルデー タベース 10.Aurora Global Database •Amazon Aurora MySQL/PostgreSQL 独自の機能のご紹介 https://pages.awscloud.com/rs/112-TZM- 766/images/02_Amazon%20Aurora%20MySQL_PostgreSQL%20%E7%8B%AC%E8%87%AA%E6%A9%9F%E8%83%BD%E3%81%AE%E3%81%93%E3%82%99%E7%B4%B9%E4%BB%8B.pdf

  16. 16 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    ◼超高性能低遅延且つ リージョンを跨いだ構成が 可能なリレーショナルデー タベース 10.Aurora Global Database •Amazon Aurora MySQL/PostgreSQL 独自の機能のご紹介 https://pages.awscloud.com/rs/112-TZM- 766/images/02_Amazon%20Aurora%20MySQL_PostgreSQL%20%E7%8B%AC%E8%87%AA%E6%A9%9F%E8%83%BD%E3%81%AE%E3%81%93%E3%82%99%E7%B4%B9%E4%BB%8B.pdf

  17. 17 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    ◼そのままベストプラクティスを利用できない(場合もあります) ⚫Oracle ⚫SQL Server(Microsoft) ⚫etc.. 11.実際に利用されているデータベースは、、 •The Most Popular Databases – 2006/2022 https://statisticsanddata.org/data/most-popular-databases-2006-2022/ •2022: What’s new in the database world? https://dataintegration.info/2022-whats-new-in-the-database-world

  18. 18 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    ◼(例)Oracleを利用している際のAWSへの移行パス ⚫今回は高可用性サービス利用ということで、Amazon RDSへのRE- Platformを想定します 12.OracleやSQL Serverを利用している場合にどうしますか? • Oracle DatabaseのAWSへの移行パス https://bcblog.sios.jp/amazon-rds-custom-for-oracle-migration-path/

  19. 19 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    ◼Aurora Global Databaseではなく通常のRDSを利用する場合に、 どのような対応を行えばFISC安対実務基準を満たせますか? 13.RDSを利用する場合にはどうなりますか? 分類 項目 対応内容(例) FISC安対実務基準(※) セキュリティ 認証・認可 パスワード漏洩防止の措置 接続元制限 実1、89 暗号化 KMSによる暗号化、キーのローテーション 実3、13、30、89 業務継続性 バックアップ/PITR 自動バックアップの有効化、PITR有効化 実6、39、106 高可用性 マルチリージョン、マルチAZ構成、切替方針の策定 高可用性サービスの利用 実73、74、84、85、86、87、 88、104 運用 モニタリング CloudWatch等でのモニタリング 実46、47、72、101、102 •FISC 安全対策基準 実務基準の対策 より筆者にて再構成・加筆 https://github.com/aws-samples/baseline-environment-on-aws-for-financial-services-institute/blob/main/doc/reference-arc-core-banking/fisc-mapping-core-banking.md (※)FISC安対実務基準との対比は各システムによって解釈が違うため、参考情報となります

  20. 20 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    ◼RDS for OracleやSQL Serverを利用する場合の実装(案) 14.FISC安対を満たすための実装(案) 対応内容 実装(案) Oracle SQL Server 認証・認 可 パスワード漏洩防止の措置 接続元制限 SecretManagerの利用(※1) AD・Kerberos認証等の利用 セキュリティグループ等での制限 SecretManagerの利用 AD・Kerberos認証等の利用 セキュリティグループ等での制限 暗号化 KMSによる暗号化、キーのロー テーション KMSによるデータ暗号化・ローテーション SSL/NNEによる経路暗号化(※2) KMSによるデータ暗号化・ローテーション SSLによる経路暗号化 バックアッ プ/PITR 自動バックアップの有効化、 PITR有効化 自動バックアップ(自動バックアップを利 用するとPITRも利用可能) 自動バックアップ(自動バックアップを利 用するとPITRも利用可能) 高可用性 マルチリージョン、マルチAZ構 成、切替方針の策定 (高可用性サービスの利用) ・Multi-AZ ・クロスリージョンスナップショットリストア ・クロスリージョンリードレプリカプロモーション (Active Data Guard/Data Guard) ・論理レプリケーションプロモーション (DMS/GoldenGate) ・Multi-AZ ・クロスリージョンスナップショットリストア ・クロスリージョンリードレプリカプロモーション ・論理レプリケーションプロモーション(DMS) モニタリング CloudWatch等でモニタリング CloudWatchやサードパーティのオブザベー ションツールの利用 CloudWatchやサードパーティのオブザベー ションツールの利用 (※1) RDS for OracleとAWS Secrets managerの統合を試してみた (※2) RDS for Oracleのネイティブネットワーク暗号化(NNE)を試してみた 、RDS for OracleのSecure Sockets Layer(SSL)暗号化を試してみた

  21. 21 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    ◼RDS for Oracleの高可用性におけるコストとRPO/RTO 14.1. RDS for Oracleの高可用性 高可用性の方式(※1) コスト RPO RTO 備考 Multi-AZ 中 0 ~数分 リージョン障害には対応できない クロスリージョンスナップショットリス トア 小 ~1時間 ~1時間 RPO/RTOが許容できるシステムなら採用可能 スタンバイ側のインスタンス利用料やライセンス料が不要 となるため、コストを抑えることが可能 Standard Editon2(SE2)でも利用が可能となる クロスリージョンリードレプリカプロ モーション(Active Data Guard/Data Guard) 大~特 大 ~数分 ~数分 OracleのData Guardの機能を利用することでクロスリー ジョンでのデータ準同期が可能(※2) Enterprise Editionが必須となり、またRead Replicaと して利用するためには追加でActive Data Guardのライ センス費用が必要となるため高額となる 論理レプリケーションプロモーション (DMS/GoldenGate) 中~大 数分~1 時間 数分~1 時間 Change Data Capture(CDC)機能を利用した論理レプ リケーション プライマリとスタンバイのバージョン差分等がある場合にも 利用可能、DMS・GoldenGateそれぞれの利用料やラ イセンス費用が必要となる (※2) Amazon RDS for Oracle がマネージド Oracle Data Guard スイッチオーバとレプリカの自動バックアップがサポートされるようになりました (※1)各方式の詳細はユーザガイド等をご確認ください https://docs.aws.amazon.com/ja_jp/AmazonRDS/latest/UserGuide/CHAP_Oracle.html

  22. 22 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    ◼RDS for SQL Serverの高可用性におけるコストとRPO/RTO 14.2. RDS for SQL Serverの高可用性 高可用性の方式(※) コスト RPO RTO 備考 Multi-AZ 中 0 ~数分 リージョン障害には対応できない クロスリージョンスナップショットリス トア 小 ~1時間 ~1時間 RPO/RTOが許容できるシステムなら採用可能 スタンバイ側のインスタンス利用料やライセンス料が不要 となるため、コストを抑えることが可能 Standard Editionでも利用が可能となる(一部バージョ ンでは不可) クロスリージョンリードレプリカプロ モーション(Always On) 中 ~数分 ~数分 SQL Serverのクロスリージョンリードレプリカの機能を利 用することでクロスリージョンでのデータ準同期が可能 論理レプリケーションプロモーション (DMS) 中 数分~1 時間 数分~1 時間 Change Data Capture(CDC)機能を利用した論理レプ リケーション プライマリとスタンバイのバージョン差分等がある場合にも 利用可能、DMSのインスタンス費用や利用料が必要と なる (※)各方式の詳細はユーザガイド等をご確認ください https://docs.aws.amazon.com/ja_jp/AmazonRDS/latest/UserGuide/CHAP_SQLServer.html

  23. 23 Copyright (C) Nomura Research Institute, Ltd. All rights reserved.

    ◼金融リファレンスアーキテクチャでベストプラクティスとして提供 されている構成は、AWSのマネージドで高機能で高可用な仕 組みを利用しており、完成度が高い構成となっています ◼ベストプラクティスが採用できなくても、金融リファレンスアーキ テクチャを参考にすることで、それぞれのシステムに適したレベル でのAWSの利用が可能となります 15.まとめ
  24. None