Upgrade to Pro — share decks privately, control downloads, hide ads and more …

おかえり!Tech-in AWS 20211213 大石

Suguru Ohishi
December 08, 2021

おかえり!Tech-in AWS 20211213 大石

Suguru Ohishi

December 08, 2021
Tweet

More Decks by Suguru Ohishi

Other Decks in Technology

Transcript

  1. 気になるサービス(運⽤監視視点) 5/30 •Amazon CloudWatch Metrics Insights ・CloudWatchの各メトリクス履歴に対してSQLベースでクエリ可能 傾向やパターンをリアルタイムに特定し、分析することにより、課題解決までの時間を短縮することが期待 ・Metrics Insightsには標準的なSQL⾔語が付属

    ・ビジュアルクエリビルダを使ってMetrics Insightsを始めることも可能 ・Metrics Insightsは、Amazon Managed Grafanaコンソールでも利⽤可能 これまでのメトリクスによるアラート発砲より、更に 柔軟な検知設定が(CloudWatch内で)可能となる事を期待
  2. 気になるサービス(運⽤監視視点) 6/30 •(Update) AWS Compute Op=mizerがリソース効率のメトリクスを提供 ・コスト削減機会とパフォーマンス改善機会という2つの新しいダッシュボードレベルのメトリクスにより、 優先順位をつけ、コスト最適化機会を素早く特定することが可能 ・コスト削減機会メトリクス (saving

    oppotunity) は、Compute OpCmizerの推奨事項を採⽤することで、アカウント レベル、リソースタイプレベル、リソースレベルで達成できるAmazon EC2、Amazon EBS、AWS Lambdaの ⽉間節約額を定量化 ・パフォーマンス改善機会メトリクスは、アカウントレベルおよびリソースタイプレベルで、プロビジョニング 不⾜のリソースの割合と数を定量化 ・リソースのボトルネックのリスクに対処するパフォーマンス改善の機会を評価し、優先順位を決定可能 単純なコスト削減のみならず、コスト効率の向上が出 来るようになるのか?
  3. 気になるサービス(運⽤監視視点) 7/30 •(Update) AWS Compute Op=mizerがインフラストラクチャメトリクスを強化 し、ルックバック期間を3ヶ⽉に延⻑ ・インフラストラクチャのメトリクスを強化し、EC2インスタンスとAuto Scalingグループの推奨品質を⾼める 有料の推奨環境設定機能を新たに提供

    ・この機能を有効にすると、メトリクスのルックバック期間が3カ⽉に延⻑ ・個々のリソース、またはAWSアカウントやAWS組織レベルで有効化可能 機能拡張はありがたいものの、“有料”な機能にどうし ても引っ掛かりが…(^_^;)
  4. 気になるサービス(環境構築視点) 13/30 •(Update) 継続的な脆弱性管理のための新しい「Amazon Inspector」を発表 ・新しいAmazon Inspectorでは、ワンクリックで組織全体のサービスを有効にすることが可能 ・Inspectorは⾃動的にすべてのワークロードを検出し、ソフトウェアの脆弱性や意図しないネットワークへの 露出がないかを継続的にスキャン可能 ・Amazon

    Elas+c Container Registry(ECR)をサポートしたことで、ECRに格納されているコンテナイメージの 脆弱性を把握することが可能 ・Amazon Systems Manager(SSM)エージェントを、EC2の脆弱性スキャンに使⽤ ・情報は、Amazon Security Hubに転送され、Amazon EventBridgeにプッシュされることで、パートナー ソリューションとの連携の⾃動化を実現し、解決までの平均時間(MTTR)を短縮可能 環境構築時、商⽤引き渡し前の事前チェックに…
  5. 気になるサービス(環境構築視点) 14/30 •AWS Control Tower Account Factory for Terraform ・TerraformとAWS

    Control Towerを統合するソフトウェアリリースパイプラインを使⽤し、すべてのアカウントで ⼀貫したガバナンスとコンプライアンスの要件をシンプルに達成するための機能 ・開発パイプラインを使⽤してTerraformを通じてAWSアカウントのプロビジョニングとカスタマイズを⾏うことが 可能 そもそも商⽤環境でTerraformが使えないと 意味が無いが…orz
  6. 気になるサービス(環境構築視点) 15/30 •(Update) Simplify Access Management for Data Stored in

    Amazon S3 ・アクセス制御リスト(ACL)を無効化できる新しいAmazon S3オブジェクトの所有権の設定項⽬が追加 ・設定を適⽤すると、バケット内のすべてのオブジェクトは、バケットを作成したAWSアカウントが所有する ようになり、アクセスを許可するためのACLは使⽤されなくなる ・S3ポリシーを作成する際に、IAM Access Analyzerによるセキュリティ警告、エラー、提案を表⽰ S3のセキュリティ設定が⾰新される!?
  7. 気になるサービス(環境構築視点) 16/30 •Amazon VPC Network Access Analyzer ・Amazon VPC Network

    Access Analyzerは、AWS上のリソースへの意図しないネットワークアクセスを特定する ことができる新機能 ・ネットワークアクセスがセキュリティやコンプライアンスのガイドラインを満たしているかどうかを検証可能
  8. 気になるサービス(環境構築視点) 17/30 •(Update) AWS Transit Gatewayがリージョン内ピアリングを導⼊し、クラウド 運⽤とネットワーク接続を簡素化 ・AWS Transit Gatewayはイントラ・リージョン・ピアリングをサポートし、同じAWSリージョン内の複数の

    Transit Gateway間でピアリング接続を確⽴可能 ・この変更により、組織内のさまざまなユニットが独⾃のTransit Gatewayを導⼊し、それらを簡単に相互接続する ことができるため、管理上のオーバーヘッドが少なくなり、運⽤の⾃律性が向上 ・同じAWSリージョンにある別々のTransit Gatewayでサービスを提供しているネットワーク間のルーティングや 相互接続を簡素化可能 ・同⼀リージョン内のTransit Gatewayをネイティブにピアリングすることで、Transit VPCの作成や管理が不要にな り、 ルートテーブルの管理も簡素化され、設定ミスの確率も減少することが期待される ・リージョン内ピアリングを利⽤することで、柔軟なネットワークトポロジーを構築し、同⼀リージョン内の サードパーティやパートナーが管理するネットワークと⾃社のネットワークを簡単に統合可能
  9. 気になるサービス(環境構築視点) 18/30 •(Update) Amazon Virtual Private Cloud (VPC)がIP Address Manager

    (IPAM)を発表、 AWS上でのIPアドレス管理の簡素化を⽀援 ・VPC IPAMでは、ルーティングやセキュリティのニーズに基づいてIPアドレスを簡単に整理し、シンプルな ビジネスルールを設定してIPの割り当てを管理 ・IPAMの使⽤で、VPCへのIPアドレス割り当てを⾃動化でき、維持管理が難しく時間のかかるスプレッドシート ベースのアプリケーション(Excelなど)や⾃社製のIPプランニング・アプリケーションを使⽤する必要がない ・IPAMは、AWSアカウント、Amazon VPC、ルーティングドメインやセキュリティドメインなどの重要なIPアドレス 情報を⾃動的に追跡するため、IPアドレスの⼿動追跡や、帳簿記録の必要がない ・IPアドレス使⽤状況のアラームを設定し、可視性を得ることでIPアドレスの問題を積極的に解決出来る ・IPAMは、IPアドレスのモニタリングデータを⾃動的に保存(最⼤3年間)。この履歴データを利⽤して、 ネットワークセキュリティやルーティングポリシーのレトロスペクティブ分析や監査を⾏うことが可能 ・IPAMは統⼀されたオペレーションビューを提供し、AWS Resource Access ManagerやAWS Organizationsを使って、 AWSリージョンや⾃分のアカウントにまたがるIPアドレスを管理可能 ・IP利⽤率の追跡、トラブルシューティング、監査などの⽇常的なIPアドレス管理活動をより効率的に、より速く ⾏うことが可能
  10. 気になるサービス(データ分析基盤視点) 22/30 •Amazon Kinesis Data Streams On-Demand ・Kinesis Data Streamsの新しいキャパシティモードで、キャパシティプランニングなしで1分間にギガバイトの

    書き込みおよび読み込みのスループットを提供可能 ・ワンクリックで新しいオンデマンドデータストリームを作成したり、既存のデータストリームをオンデマンド モードに変換したりすることができ、サーバー、ストレージ、スループットのプロビジョニングや管理を⾏う 必要がなくなる ・オンデマンドモードでは、プロビジョニングされたリソースではなく、消費されたスループットに対して コストが発⽣ ・全リージョンでGA
  11. 気になるサービス(データ分析基盤視点) 23/30 •Amazon AthenaがLake Forma=onの新機能をサポート ・Athena ACIDトランザクションにより、複数の同時ユーザーがAthenaのコンソール、API、ODBCおよびJDBC ドライバーからAmazon S3データに対して信頼性の⾼い⼀貫性を持った⾏レベルの変更を⾏うことが可能 ・Apache

    Icebergテーブルフォーマットに基づいて構築されたAthena ACIDトランザクションは、Amazon EMRや Apache Sparkなど、Icebergテーブルフォーマットをサポートする他のサービスやエンジンとの互換性あり ・Athenaの管理者はLake FormaConのデータフィルタリ ング機能を利⽤して、カラムレベル、⾏レベル、 セルレベルのアクセス権限を設定できる ・東京リージョン未対応
  12. 気になるサービス(データ分析基盤視点) 24/30 •(Update) AWS Lake Forma=on、Governed Tables、ストレージの最適化、⾏レ ベルのセキュリティをサポート ・データの追加や変更が⾏われると、Lake FormaConが⾃動的にコンフリクトやエラーを管理し、すべてのユーザー

    がデータの⼀貫したビューで確認可能 ・Governed Tablesがデータの保存⽅法を監視し、⾃動的に最適化するため、クエリ時間が⼀貫して⾼速化 ・⾏レベルとセルレベルのパーミッションをサポート ・Amazon Simple Storage Service(S3) テーブルでセルレベルのセキュリティポリシーを指定できるように、 きめ細かいアクセ スコントロールを提供 (列、⾏、セルへのアクセスを制限して、 個⼈情報 (PII) などの機密データを保護 できる ) ・ 東京リージョンで対応
  13. 気になるサービス(データ分析基盤視点) 25/30 •AWS Database Migration Service Fleet Advisor ・フリートの発⾒と分析を⾃動化することで、データベースとアナリティクスの移⾏計画を迅速に構築 ・機能メタデータ、スキーマオブジェクト、使⽤メトリクスの情報を含む、データベーススキーマとオブジェクト

    を収集し、分析 ・ソースデータベースをAWSのターゲットサービスに移⾏する際の複雑さを判断し、カスタマイズされた移⾏ プランを構築可能 AWS Schema Conversion Tool (AWS SCT) で苦 労したから、半信半疑(^_^;)
  14. 気になるサービス(開発視点) 29/30 •Amazon CloudWatch RUM(Real-User Monitoring for Amazon CloudWatch) ・アプリケーションのクライアントサイドのパフォーマンスを監視

    ・Webアプリケーションのクライアントサイドの問題を特定してデバッグし、 エンドユーザーのデジタルエクスペリエンスを向上させることができるリアルユーザーモニタリング機能 ・CloudWatch RUMを使⽤すると、異なるロケーション、ブラウザ、およびデバイス間でアプリケーションの パフォーマンスをほぼリアルタイムで確認でき、パフォーマンスの最適化が可能 ・ページロードステップ、コアウェブバイタル、およびJavaScriptとH\pエラーを含むアプリケーションの パフォーマンスの異常を表⽰可能 ・問題によって影響を受けたセッションの数を把握し、修正すべき問題の優先順位付けも可能 ・CloudWatch ServiceLensやAWS X-Rayとの統合により、クライアントサイドからバックエンドのインフラ ストラクチャノードへのトレースを簡単に相関して確認可能 ・CloudWatch RUMの登場で、CloudWatchをエンドツーエンドのモニタリングに利⽤可能となった