AWS を使う上で知っておきたい オンプレミス知識 2024 年 4 月 14 日 クラウド女子会 春のLT大会！

2 目次 • オンプレミスとクラウド • ソフトウェア、ミドルウェア • 接続、名前解決 • バックアップと災害対策 • セキュリティ • 監視、運用 • おわりに 当日は一部かいつまんで話します

3 目次 • オンプレミスとクラウド • ソフトウェア、ミドルウェア • 接続、名前解決 • バックアップと災害対策 • セキュリティ • 監視、運用 • おわりに

4 オンプレミスとクラウド

5 オンプレミスとクラウド • オンプレミス • 自社でハードウェア、ソフトウェア、 インフラを所有・管理 • 初期投資が大きい • 柔軟性や拡張性に制限がある • 自社で保守・運用を行う必要がある • キャパシティ計画が重要 • セキュリティは自社で管理 • クラウド • ハードウェア、インフラは クラウドプロバイダーが所有・管理 • 初期投資が小さく、従量課金モデル • 高い柔軟性と拡張性を持つ • 保守・運用はクラウドプロバイダーと 共同で管理 • キャパシティ計画は不要 • セキュリティはクラウドプロバイダーと 共同で管理

6 オンプレミスとクラウド 「AWS でシステム構築してください」

7 「AWS でシステム構築してください」 • AWS アカウントを取得 • メールアドレス • クレジットカード • ログインして IAM ユーザーを作成 • セキュリティは各ユーザーの権限と MFA 設定で担保 • VPC でネットワークを用意 • EC2 インスタンスを起動 準備ができた！サービスを作り始めるぞ

8 「オンプレミスでシステム構築してください」 オンプレミスとクラウド

9 「オンプレミスでシステム構築してください」 • どこに置くか • 置く場所の確保 • 台数は？サーバーラックの大きさは？ • 年間通して湿度、温度などを適切に管理 • 暑くなったり寒くなったりすると機器は壊れる • 停電時の電源確保 • 通常電源とは別で電源装置を購入・管理 • セキュリティ • 誰でも入室できる執務室？ 湿度、温度管理 電源装置 入退館管理 データセンターに置き ネットワーク経由で接続 自社に置く Router Router 自社で管理するのは大変なので データセンターにハウジングする、 一部ハウジングして一部自社に置くなど

10 「オンプレミスでシステム構築してください」 • サーバーの種類 タワー型 デスクトップ PC 同様に そのまま置く ラックマウント型 サーバーラックの中に ボード上のサーバーや ネットワーク機器 UPS などを格納する S e r v e r UPS Router FW Server Server ブレード型 筐体の中に電源と冷却装置があり ブレード型のサーバーをいくつも収納 省スペース・高価

11 「オンプレミスでシステム構築してください」 • サーバーの種類 タワー型 デスクトップ PC 同様に そのまま置く ラックマウント型 サーバーラックの中に ボード上のサーバーや ネットワーク機器 UPS などを格納する S e r v e r UPS Router FW Server Server ブレード型 筐体の中に電源と冷却装置があり ブレード型のサーバーをいくつも収納 省スペース・高価 どれを買う？レンタルする？ メーカーは？スペックは？ ストレージサイズは？ 各種メーカーに相見積もりしよう

12 「オンプレミスでシステム構築してください」 • データセンターと通信するために回線の契約が必要 • どの回線？スペックは？スピードは？ • 配線工事の依頼が必要 • データセンターと通信するためにネットワーク機器が必要 • どのネットワーク機器？スペックは？ • LAN ケーブルが必要 • スペックは？何本？ • ラッキングは自分でやる？ 依頼する？

13 「オンプレミスでシステム構築してください」 • OS のライセンスが必要なら購入 • 各種ミドルウェアも購入 • バックアップソフト、セキュリティソフトどれにする？ • 機器がデータセンターに届いたぞ！ • ラッキング作業 • ネットワーク機器設定 • 各種ソフトウェアインストール • 通信確認 準備ができた！サービスを作り始めるぞ

14 オンプレミスとクラウド • ふう、大変でしたね。 • では、オンプレミス上の既存システムを AWS に移行する場合に 何を考慮したらいいのか一緒に考えていきましょう

15 目次 • オンプレミスとクラウド • ソフトウェア、ミドルウェア • 接続、名前解決 • バックアップと災害対策 • セキュリティ • 監視、運用 • おわりに

16 ソフトウェア、ミドルウェア

17 ソフトウェア、ミドルウェア • オンプレミス環境にはなぜバックアップや DR やセキュリティ対策 などのソフトウェアがたくさんあるのか？ オンプレミスには AWS Backup や Inspector、GuardDuty などの 便利な機能が無いから。 自分たちで作るしかない、 もしくはソフトウェアを買って 実装するしかない。

18 ソフトウェア、ミドルウェア • クラウド上でもそのまま使用する？ • 必要なソフトウェアはもちろん導入する必要がある • クラウド上で利用する場合のライセンス体系はどうなっている？ • サーバー筐体に対して一つ？ユーザー数分の購入が必要？使用量ベース？ • ソフトウェアを購入しなくても、AWS 上で提供されるサービスで 代替できないか？ • バックアップソフトではなく AWS Backup や AMI の取得、各種サービス のバックアップ機能で補えないか • セキュリティソフトは GuardDuty、Inspector 等で 代替できる部分はないか

19 目次 • オンプレミスとクラウド • ソフトウェア、ミドルウェア • 接続、名前解決 • バックアップと災害対策 • セキュリティ • 監視、運用 • おわりに

20 接続、名前解決

21 接続、名前解決 • オンプレミスとの接続 • インターネット通信 • VPN 接続 • Direct Connect（専用線）

22 接続、名前解決 • インターネット通信 • 多くの通信は HTTPS になっている • 既存の SSL/TLS 証明書は何か • ドメイン認証（DV）認証レベル：★ • 企業実在認証（OV）認証レベル：★★ • Extended Validation（EV）認証レベル：★★★ • どこで証明書を購入して誰が管理しているか • ACM の使用検討 • インポートが必要？ • パブリック証明書と呼ばれる DV 証明書は無料で取得できる https://jp.globalsign.com/ssl/about/types-of-ssl.html https://www.digicert.com/jp/difference-between-dv-ov-and-ev-ssl-certificates

23 接続、名前解決 • HTTPS • Web 通信に特化、クライアント（Webブラウザ）から サーバー（Webサイト）までの HTTP トラフィックのみを暗号化 • Web サーバーと Web クライアントが SSL/TLS をサポートしている必要 がある • VPN • すべてのトラフィックを暗号化 （HTTP、HTTPS、FTP、SMTP などすべてのプロトコル） • デバイスから VPN 機器までの間すべてのデータを暗号化 • VPN の暗号化は個々のアプリケーションとは独立して機能

24 接続、名前解決 • HTTPS • Web 通信に特化、クライアント（Webブラウザ）から サーバー（Webサイト）までの HTTP トラフィックのみを暗号化 • Web サーバーと Web クライアントが SSL/TLS をサポートしている必要 がある

25 接続、名前解決 • VPN 接続（サービス名：Site to Site VPN） • 仮想プライベートネットワーク（VPN）技術を使用し AWS と 別のネットワークとの間に安全でプライベートなトンネルを確立する

26 接続、名前解決 • VPN 接続（サービス名：Site to Site VPN） • AWS 側の VGW、オンプレミス（顧客拠点）の CGW 間でデフォルトで 2 本のトンネルが確立される • BGP（Border Gateway Protocol、自律システム（AS）間でルーティング情報を交換する ためのルーティングプロトコル）を使用しルーティング情報を動的に交換する（伝播）

27 接続、名前解決 【オンプレ担当者にお知らせする】 ・VGW のパブリック IP アドレス、ASN ・AWS 側のネットワーク構成（重複しないか？） 【確認する】 ・AWS との接続に使用するインターネット回線はあるか 【AWS 担当者にお知らせする】 ・オンプレミス（顧客）拠点の VPN デバイスのパブリック IP アドレス、ASN ・オンプレミス（顧客）拠点のネットワーク構成（重複しないか？） ASN：自立システム番号

28 接続、名前解決 • これは何？

29 接続、名前解決 • オンプレミス拠点はこうなっているかもしれない

30 接続、名前解決 • 「B システムを AWS で稼働させたいです」

31 接続、名前解決 • 接続や名前解決の観点では…

32 接続、名前解決 • システムへのアクセス経路（インターネット経由？VPN経由？） • ユーザーのアクセス経路は？ • メンテナンスや保守運用のアクセス経路は？ • 拠点間の閉領網接続サービスは使っているか？ • 閉領網接続サービスを利用している場合は、その閉領網接続サービスから AWS に対して VPN 接続するなど • サービスは Web サービスか？ • オンプレ拠点側のネットワーク機器設定は自社で実施？ベンダー外注？ • ホストに接続する際、固定 IP や名前解決が必要か

33 接続、名前解決 • オンプレミスとの接続 • インターネット通信 • VPN 接続 • Direct Connect（専用線） • DirectConnect、VPNで L2 延伸はできない • https://aws.amazon.com/jp/directconnect/faqs/ • >Q: AWS Direct Connect を使用して、AWS クラウドに VLAN のいずれかを 拡張することはできますか? • >いいえ、VLAN の AWS Direct Connect での使用は、仮想インターフェイス間の トラフィックを分離することのみを目的としています。 https://repost.aws/ja/questions/QUsR218VNHRoeuTH4fdbzC9Q/%E3%82%AA%E3%83%B3%E3%83%97%E3%83%AC%E2%87%94aw- s%E9%96%93%E3%81%AE-l-2- %E6%8E%A5%E7%B6%9A%E3%81%AE%E5%AE%9F%E7%8F%BE%E5%8F%AF%E5%90%A6%E3%81%AB%E3%81%A4%E3%81%84%E3%81 %A6

34 目次 • オンプレミスとクラウド • ソフトウェア、ミドルウェア • 接続、名前解決 • バックアップと災害対策 • セキュリティ • 監視、運用 • おわりに

35 バックアップと災害対策

36 バックアップと災害対策 • オンプレミスにおけるバックアップ手法 • コマンド、VSS、ダンプツール、バックアップソフトウェアを購入して ボリュームごとに取得… • バックアップソフトの例 • Acronis • Arcserve • Veritas NetBackup • Veem • Windows バックアップ

37 バックアップと災害対策 • なぜボリュームごとに取得？ • バックアップストレージの要領を加味してストレージを購入する必要があった • サーバーにバックアップソフトをインストールし、ボリューム A のバックアップを ボリューム B に取得する、というイメージ

38 バックアップと災害対策 • バックアップの目的は？ • ユーザーのミス？ • 災害対策？ • 何が失われたら困るか？ • RPO、RTO は？ • リストア手順はどこまで必要？ • 誰が実施するのかも確認 • DR 対策は必要？ • Backup & Restore、Pilot Light、Warm Standby、Active-Active • 切り替え手順はどこまで必要？

39 目次 • オンプレミスとクラウド • ソフトウェア、ミドルウェア • 接続、名前解決 • バックアップと災害対策 • セキュリティ • 監視、運用 • おわりに

40 セキュリティ

41 セキュリティ • オンプレミスのセキュリティポリシーを AWS 上でどう担保するか • 例えば入退出管理…AWS ではログイン管理と考えることができる • 適切な IAM の設計 • 不審なアクセスを防ぐ • セキュリティグループ、サブネット分割、WAF、通信暗号化 • 業界特有の法令要件や社内コンプライアンスへの適合性 • 「機密情報をクラウドにおいてはならない」などの規定がある？ • データの所在地、データ保護、証跡管理など…

42 目次 • オンプレミスとクラウド • ソフトウェア、ミドルウェア • 接続、名前解決 • バックアップと災害対策 • セキュリティ • 監視、運用 • おわりに

43 監視、運用

44 監視、運用 • 監視 • オンプレミスでは SNMP（Simple Network Management Protocol） などでサーバーやネットワーク機器の状態を監視 • 必要に応じて SNMP を継続使用することも可能 • セキュリティグループで SNMP を許可する必要がある • 監視ツールを AWS のサービスで代替できないか検討 • CloudWatch で EC2 インスタンスやその他各リソースの CPU、ディス ク使用率などのメトリクスを監視できる • CloudWatch Agent を EC2 インスタンスにインストールするとより詳 細なメトリクスの収集やカスタムメトリクスの収集も可能 • CloudWatch Alert で通知や自動アクションの設定も可能

45 監視、運用 • 運用 • 既存の運用は何をしているか？ • 日次、週次、月次 • 既存で手動運用している部分が AWS の機能で自動化できそうなら 自動化する • パッチ適用→ SSM パッチマネージャー • 再起動→ EventBridge でスケジュールできる

46 監視、運用 • 「パトランプで警告を鳴らしオペレーターから電話する」という オペレーションがある場合 • オペレーターを介さず通知できる手段はないか • Amazon SNS からの通知で代替できないか • Slack、Teams、メール • Amazon Connect での電話発信 • PagerDuty、Datadog などの利用 • クラウド対応のパトランプもある模様

47 目次 • オンプレミスとクラウド • ソフトウェア、ミドルウェア • 接続、名前解決 • バックアップと災害対策 • セキュリティ • 監視、運用 • おわりに

48 おわりに

49 おわりに • クラウド移行成功の鍵 • 既存システムの状況をより詳細に把握する • システム利用者との情報・認識のズレをなくす • そのためにもオンプレミス（IT の基礎）について学ぶと役に立つ • もしよくわからない言葉が出てきたら臆さずに聞いてみる • プロジェクト成功のために既存システムを理解しようとする姿勢 • オンプレミスについてふわりと感じていただけましたら幸いです

50 ありがとうございました

51 参考 • [AWS] Site to Site VPN の冗長化を考える • https://dev.classmethod.jp/articles/redundancy-of-aws-site-to-site-vpn/ • AWS入門ブログリレー2024〜AWS Site-to-Site VPN編〜 • https://dev.classmethod.jp/articles/introduction-2024-aws-site-to-site-vpn/ • Site-to-Site VPN 単一および複数の VPN 接続の例 • https://docs.aws.amazon.com/ja_jp/vpn/latest/s2svpn/Examples.html • 冗長な Site-to-Site VPN 接続を使用してフェイルオーバーを提供する • https://docs.aws.amazon.com/ja_jp/vpn/latest/s2svpn/vpn-redundant-connection.html • クラウドに移行→オンプレミスに戻す、なぜ広まる？自前サーバへ回帰の理由 | ビジネスジャーナル • https://biz-journal.jp/it/post_380059.html