Slide 1
Slide 1 text
2025/01/10 行政デジタル改革共創会議
クラスメソッド株式会社 クラウド事業本部
AWS認定インストラクター 伊豫谷 優希
補助資料
Slide 2
Slide 2 text
自己紹介 2
伊豫谷 優希 / Yuuki Iyotani
a.k.a もっさん
すきなもの
• 故郷の北九州市と福岡県
• ひとを笑顔にする技術
• 日曜の朝の特撮作品
(羽田デッカイギおつ のコンセプトに大興奮!!)
クラスメソッド株式会社 福岡オフィス
クラウド事業本部 ソリューション部
AWS 認定インストラクター(AAI)
Slide 3
Slide 3 text
目次 3
⚫ AWS Well-Archtected Framework とは
⚫ 構成図をもとにした問題を解いてみよう!
Slide 4
Slide 4 text
AWS Well-Archtected Framework とは
Slide 5
Slide 5 text
AWS Well-Archtected Framework とは 5
AWS でシステムを構築・運用する際のベストプラクティスを文書化したもの
AWS Well-Archtected Frameworkを利用すると、
安全性、信頼性、システムパフォーマンス、コスト効率に優れた
AWS 上のシステム設計・構築・運用について理解を深めることができる
フレームワークは6つの柱で構成されている
参考:AWS Well-Architected フレームワーク - AWS Well-Architected フレームワーク
https://docs.aws.amazon.com/ja_jp/wellarchitected/latest/framework/welcome.html
Slide 6
Slide 6 text
AWS Well-Archtected Framework の6つの柱 6
⚫ 運用上の優秀性(オペレーショナルエクセレンス)
⚫ セキュリティ
⚫ 信頼性
⚫ パフォーマンス効率
⚫ コスト最適化
⚫ 持続可能性
Slide 7
Slide 7 text
運用上の優秀性(オペレーショナルエクセレンス) 7
ビジネス価値を生み出すために、システムを運用およびモニタリングし、
プロセスと手順を継続的に改善する
● オペレーションイベントやメトリクスを記録・分析し、継続的に改善する
● オペレーションをコードとして実行し、自動化する
● 小規模かつ可逆的な変更を頻繁に行う
● 障害を予測し、シミュレートする
● マネージドサービスを使用し、運用上の負担を軽減する
Slide 8
Slide 8 text
セキュリティ 8
データ、システム、アセット(資産)を保護し、
クラウドテクノロジーを活用してセキュリティを強化する
● セキュリティのベストプラクティスを自動化する
● モニタリング、ロギング、アラートを維持し、
調査とアクションを自動化する
● 転送中のデータと保管中のデータを保護する
● インシデント対応をシミュレートする
● 全てのレイヤーにセキュリティを適用する
Slide 9
Slide 9 text
信頼性 9
意図した機能を期待通りに、正しく、一貫して実行できるよう
システムを構成する
● 障害から自動的に復旧できるようにアラートやアクションを設定する
● 水平方向のスケールによりワークロード全体の可用性を高める
● スケーリングの自動化を行い、想定外の負荷に対応できるようにする
Slide 10
Slide 10 text
パフォーマンス効率 10
クラウドのリソースを効率的に使用し、
需要の変化や技術の進化に対応しながらシステムの要件と効率を維持する
● 障害から自動的に復旧できるようにアラートやアクションを設定する
● 水平方向のスケールによりワークロード全体の可用性を高める
● スケーリングの自動化を行い、想定外の負荷に対応できるようにする
Slide 11
Slide 11 text
コスト最適化 11
最も安価にシステムを実行し、ビジネス価値を実現する
● 必要な時間だけリソースを起動する
● コストを分析し、帰属関係を明らかにする
● より安くリソースを利用できる料金体系を導入する
Slide 12
Slide 12 text
持続可能性 12
自分のワークロードの実行による環境への影響を把握し、最小化する
● 環境への影響を理解する
● リソース使用率を最大化し、エネルギー効率化をはかる
● マネージドサービスや新製品の導入による効率化をはかる
Slide 13
Slide 13 text
構成図をもとにした問題を解いてみよう!
Slide 14
Slide 14 text
問題1 : 構成図
Slide 15
Slide 15 text
問題1 15
図中のAmazon EC2はインターネット
と疎通できないようです。
この問題を解消するために、
どのコンポーネントを追加すれば
よいでしょうか?
1. NAT ゲートウェイ
2. インターネットゲートウェイ
3. APIゲートウェイ
NAT gateway Internet gateway Amazon API Gateway
1. 2. 3.
Slide 16
Slide 16 text
問題 1:解答 16
VPC内のリソースがインターネットと
通信をするには、
● インターネットゲートウェイの作成
● インターネットへの経路を
ルートテーブルで設定
の2点が必要です。
よって、解答は
2. インターネットゲートウェイ
です。
Slide 17
Slide 17 text
問題 1:解答 他の選択肢について補足 17
1. NAT ゲートウェイ は ネットワークアドレス変換(NAT) を提供するコンポーネントです。
パブリックサブネットにNATゲートウェイを作成すると、
プライベートサブネットのリソースはNAT ゲートウェイを経由して、
間接的に インターネットへのアクセスが可能となります。
NATゲートウェイはVPCそのもののインターネットへのアクセスを可能にする機能はないため、
1は不正解です。
ただし、今回はプライベートサブネット内にリソースが存在しているため、
パブリックサブネットを作成 & パブリックサブネット内へNATゲートウェイを配置すると、
間接的なインターネットアクセスが実現できます。
Slide 18
Slide 18 text
問題 1:解答 他の選択肢について補足 18
3. APIゲートウェイは、AWS内に作成・公開しているAPIのエントリポイントとして
機能するサービスです。
APIの作成・配布・監視・保護などが手軽に行えます。
リソースがインターネットと疎通するために使用するものではないため、3も不正解です。
Slide 19
Slide 19 text
問題1 : 解答 構成図
Slide 20
Slide 20 text
問題2 20
構成図中に示す Amazon EC2 の
CPU 使用率が高騰し、
アクセス不可状態になりました。
再発を防止するため、
Amazon EC2 のCPU使用率を
モニタリングしたいです。
どのサービスを使用しますか?
1. Amazon CloudWatch
2. Amazon GuardDuty
3. AWS Personal Health Dashboard
Amazon CloudWatch AWS
Personal Health Dashboard
Amazon GuardDuty
1. 2. 3.
Slide 21
Slide 21 text
問題 2 : 解答 21
Amazon CloudWatch は、AWS やオンプレミスのリソースの状態の監視、
アプリケーションのログ記録が行えるサービスです。
EC2 インスタンスの CPU使用率 をモニタリングするには、
CloudWatch の [CPUUtilization] メトリクスを確認します。
よって、解答は 1.Amazon CloudWatch です。
メトリクスは、CloudWatch コンソールからグラフ形式で確認可能です。
また、特定のメトリクスがあらかじめ設定した閾(しきい)値を超えた際に、
アラームを発報するよう設定できます。
Slide 22
Slide 22 text
問題 2:解答 他の選択肢について補足 22
2. Amazon GuardDuty は、 AWS アカウント内の悪意あるアクティビティや
不正な動作を監視し、セキュリティ上の脅威を検出するサービスです。
Amazon EC2 インスタンスのCPU使用率の高騰はトラッキングできないため、2は不正解です。
3. AWS Personal Health Dashboard は、
AWS アカウント固有や組織の Health イベントを通知します。
主に AWS 基盤側のイベントや変更、
アカウントセキュリティ上の脆弱性に関する通知が行われます。
Amazon EC2 インスタンスのCPU使用率 の継続モニタリングは行わないため、3は不正解です。
Slide 23
Slide 23 text
問題3 23
構成図中のRDSインスタンスを
誤って削除してしまいました。
RDS インスタンスが削除されても
データベースのデータを
復旧できるようにするには、
どのような設定・構成にすると
よいでしょうか?
3択のうち、もっとも効率的な方法を
選んでください。
Slide 24
Slide 24 text
問題3 (つづき) 24
1. RDS インスタンスの
AMI を作成し、保持しておく
2. 手動で定期的に RDS のデータを
CSV形式でエクスポートし、
Amazon S3 に保存する
3. RDS の 自動バックアップ機能を
設定する
Slide 25
Slide 25 text
問題 3:解答 25
データの消失に備えるためには、ストレージやデータベースの
バックアップを取得しておくことが重要です。
Amazon RDS には「自動バックアップ」の機能があります。
自動バックアップを有効にすると、あらかじめ設定されたバックアップウィンドウ※
内でバックアップが開始されます。
よって、最も効率的な方法は 3. RDS の 自動バックアップ機能を設定する です。
Slide 26
Slide 26 text
問題 3:解答 他の選択肢について補足 26
1. RDS インスタンスの AMI を作成し、保持しておく
について、AMI の作成は EC2 インスタンスで行うことができます。
RDS には、カスタム AMIを作成する機能はありません。
よって、1は不正解です。
2.手動で定期的に RDS のデータをCSV形式でエクスポートし、Amazon S3 に保存する
上記でバックアップを取得することは仕様上可能ですが、
今回の設問では「もっとも効率的な方法」を選択するという条件があります。
3の自動バックアップの方が、復旧の際も人間による操作の手間を省略できますので、
2も不正解です。
Slide 27
Slide 27 text
問題4 27
構成図中のEC2インスタンスが突然
停止し、システムの稼働に影響が
出ました。
この障害を回避するための
構成に変更してください。
Slide 28
Slide 28 text
問題 4 :解答 28
構成図では、EC2インスタンスが1台のみ起動しています。
このEC2インスタンスが障害などでダウンしてしまうと、システム全体に影響を及ぼし
ます。
これを回避するには、EC2インスタンスを複数台起動して冗長化する構成とします。
EC2インスタンスの前段にElastic Load Balancing を配置することで、
ターゲットのヘルスチェックを実施し、異常なターゲットにトラフィックを
ルーティングしないように設定できます。
Slide 29
Slide 29 text
問題4 : 解答 構成図 29
Slide 30
Slide 30 text
問題4 : 解答 構成図 30
Slide 31
Slide 31 text
問題5 31
アベイラビリティゾーン(AZ)障害が
AWS 上のシステム稼働へ及ぼす
影響を最小限にし、
高い可用性を実現するための
構成に変更するにはどうすれば
よいでしょうか?
Slide 32
Slide 32 text
問題 5 32
高い可用性を備えたシステムを実現するには、冗長的な構成とすることが重要です。
マルチAZ構成(複数のアベイラビリティゾーンを使用する構成) とすることで、
いずれかのアベイラビリティゾーンで障害が発生しても、
残りの AZ でシステムを稼働し続けることができます。
具体的には、
⚫ Elastic Load Balancing と EC2 Auto Scaling を組み合わせて、
サービスレベル上の正常なEC2インスタンスの起動台数を維持する
⚫ Amazon RDS をマルチAZ配置とし、自動フェイルオーバーを可能とする
などの方法があります。
Slide 33
Slide 33 text
問題5 : 解答 構成図 33
Slide 34
Slide 34 text
問題6 34
リージョン単位での障害や災害に備えた構成に変更したいです。
DR / ディザスタリカバリ構成の一般的な戦略4つを、
コストが低いものから順に並べ替えてください。
A) ウォームスタンバイ
B) バックアップと復元
C) マルチサイト Active – Active
D) パイロットライト
Slide 35
Slide 35 text
問題 6 選択肢説明 – ウォームスタンバイ 35
データをほぼ最新の状態でレプリケートし、
通常時も最小限の容量でリソースを起動しておく戦略です。
障害発生時には、本番環境に必要な容量までスケールします。
画像引用:https://aws.amazon.com/jp/blogs/news/disaster-recovery-dr-architecture-on-aws-part-1-strategies-for-recovery-in-the-cloud/
Slide 36
Slide 36 text
問題 6 選択肢説明 – バックアップと復元 36
データを定期的にバックアップし、
障害発生時にはバックアップから インスタンス等を復元します。
画像引用:https://aws.amazon.com/jp/blogs/news/disaster-recovery-dr-architecture-on-aws-part-1-strategies-for-recovery-in-the-cloud/
Slide 37
Slide 37 text
問題 6 選択肢説明 – マルチサイト Active - Active 37
本番環境と同等の容量で、DR サイトでもリソースを起動し続けます。
障害発生時には、リクエストを処理可能なリージョンにのみ
トラフィックをルーティングします。
画像引用:https://aws.amazon.com/jp/blogs/news/disaster-recovery-dr-architecture-on-aws-part-1-strategies-for-recovery-in-the-cloud/
Slide 38
Slide 38 text
問題 6 選択肢説明 – パイロットライト 38
データをほぼ最新の状態でレプリケートしますが、
リソースは起動しない状態で保持します。
障害発生時にこれらのリソースを起動します。
画像引用:https://aws.amazon.com/jp/blogs/news/disaster-recovery-dr-architecture-on-aws-part-1-strategies-for-recovery-in-the-cloud/
Slide 39
Slide 39 text
問題 6 39
一般的にはコストが低い順に、
B) バックアップと復元
D) パイロットライト
A) ウォームスタンバイ
C) マルチサイト Active – Active
となります。
「使用していないが起動しているリソース」が多ければ多いほど、
コストは高くなりますが、復旧までの時間やデータ消失が減少します。
ガバメントクラウドの推奨構成では、 B) バックアップと復元 で要件は満たすと
考えられますが、RTO/RPOとコストとの兼ね合いで構成を検討してください。
Slide 40
Slide 40 text
問題 7 40
EC2 インスタンスのストレージである EBS の
スナップショットをAmazon S3に保存する
予定です。
S3 ストレージへアクセスするためには
インターネットゲートウェイが必要ですが、
セキュリティやコストの観点から
インターネットゲートウェイを使わない
構成としたいです。
どのコンポーネントを使用すれば、
インターネットゲートウェイを使用せず
S3 にアクセスできますか?
Slide 41
Slide 41 text
問題 7 41
VPC エンドポイントを使用することで、
インターネットゲートウェイなしで
AWS のサービスにプライベートに接続
することができます。
VPCエンドポイントには
・ゲートウェイVPCエンドポイント
・インターフェイスVPCエンドポイント
があります。
対応サービスやルーティング方法によって
使い分けてください。
Slide 42
Slide 42 text
問題7 : 解答 構成図 42
Slide 43
Slide 43 text
問題 8 43
図のように、3つのVPCが相互接続
しようとしています。
VPC同士が接続するために、
どのようなサービスを使用すれば
よいでしょうか?
Slide 44
Slide 44 text
問題 8 44
3つのVPC と接続する場合は、
・AWS PrivateLink
・VPC Peering
・ AWS Transit Gateway
などの選択肢があります。
VPC Peering は 1VPC あたり 50 接続までしか作成できないため、
接続する VPC 数が増えることが見込まれる場合は、AWS Transit Gateway を使用することで、
煩雑なサブネットのルートテーブル設定や VPC ピア接続 を減らすことができます。
Slide 45
Slide 45 text
問題8 : 解答 構成図 45
Slide 46
Slide 46 text
問題 9 46
専用線でのオンプレミス接続を
行うには、
どのサービスを利用すれば
よいでしょうか?
必要なコンポーネントやサービス
を構成図に追記してください。
Slide 47
Slide 47 text
問題 9 47
AWSへの専用線での通信を行うには、AWS Direct Connect を使用します。
AWS Direct Connect を使用することで、公開されたインターネットにアクセスすることなく
AWS 間とオンプレミスで通信を行うことができます。
AWS Direct Connect の使用には、AWS Direct Connect デリバリーパートナーによる
工事と設定が必要となるため、申し込みから利用開始までに十分な猶予期間を設けることが
必要です。
また、デフォルトでは専用線間の接続は暗号化されていないため、
必要に応じて転送中のデータの暗号化をご検討ください。
Slide 48
Slide 48 text
問題9 : 解答 構成図 48
Slide 49
Slide 49 text
ありがとうございました