ELB:ロードバランサー
-
ホスト名に基づいてEC2へのルーティングを決定したい場合は、ALBを使用する
-
ELBで固定IPを使用したい場合は、NLBを使用する
-
スティッキーセッションを無効にしていると、これが理由で配下のEC2の負荷が均等にならない場合がある
-
古いクライアントをサポートするためにあえて弱いTLSアルゴリズムを使用する場合は、ALBのセキュリティポリシーを変更する
-
SpilloverCountメトリクスで、ELBが捌けなかったアクセスの量を確認できる
- 処理待ちキューの長さはSurgeQueueLengthで知ることができる
- SurgeQueueLengthの値をトリガにオートスケールさせることで、取りこぼしを緩和できる
## オートスケール
-
オートスケールには、Amazon EC2 Auto Scaling プロセスというものがある
-
オートスケールの設定で一部のプロセス実行をサスペンドできる
-
AZRebalanceの機能をサスペンドすると以下のことが起きる
- Auto Scaling グループが最大サイズより 10% まで大きくなることがある。
- 再分散アクティビティ中にこの状態が一時的に許可されるためです。
- Auto Scaling グループが最大サイズより 10% まで大きくなることがある。
-
ASGは、問題があるインスタンスをターミネートしたあとで、新しいインスタンスを起動する
-
ASGは、問題があるリブートはしてくれない(ターミネート&再生成のみ)
-
CLIの
set-instance-health
コマンドを使うと、インスタンスの状態を手動で変更できる -
ASGがインスタンスを生成できない理由(トラブルシューティング)
- 設定されていたSecurity Groupが削除されており存在しない
- 設定されていたKey pairが削除されており存在しない
- インスタンス生成できない状態が24時間続くとオートスケールの処理自体がサスペンドされる
-
ASGのメトリクスは1分周期で取得される
- ASGの管理配下のEC2は、デフォルトでは5分周期でメトリクスが取られていることに注意(時間が異なる)
EBS
- 暗号化されていないEBSボリュームを暗号化するには、snapshotを取って、さらにそれをコピーするときに暗号化の有無を変更できる。
- gp2のEBS volumeは16,000IOPSまでスケールする。このときのディスクサイズは5.3GBぐらいになる
S3
-
S3のデータをCloudFront経由で公開できる
- このとき、CloudFrontへのアクセスログを収集して、S3のバケットに格納できる
- 格納したアクセスログはAthenaでSQLを使って分析できる。
-
S3インベントリ機能を使うことで、S3に入っているオブジェクトの分析ができる
- オブジェクトの数を知ることができる
- レプリケーションと、暗号化のステータスをレポートできる
-
Amazon S3 分析(ストレージクラス分析)で、S3のバケットの利用状況を分析できる
- ファイル保持期間ごとの使用量がわかる
- ライフサイクルポリシーを決めるときのヒントになる
- アクセス頻度の低い STANDARD ストレージをいつ STANDARD_IAに移行すべきかを判断するヒントになる
RDS
-
MySQLやPostgreSQLの接続に対してSSL接続を強制(enforce)できる
- MysQL:
GRANT USAGE ... REQUIRE SSL
の権限を付与する - PostreSQL:
rds.force_ssl=1
のパラメータを設定する
- MysQL:
-
RDSの接続に対してSSL接続を許可(not enforce, allow)できる
- 接続時にSSLオプションを使う
IAM
- IAM Credentials Reportを使うと、どのIAMユーザがMFAを有効にしているかをcsvでダウンロードできる
IDフェデレーション
-
SAML Federation For Enterprises
- AWSのIAMではなく、ディレクトリサーバがユーザマスタを持つ
- MS Active Directoryのようなディレクトリサーバとの連携
- 自分でコードは書かなくて良い
-
Itentity Broker Application For Enterprises
- AWSのIAMではなく、自分でユーザマスタを持つ
- 認証にまつわる処理を自分で実装する必要がある
-
AWS Cognito Federated Identify Pools For public applications
- AWSのIAMではなく、パブリックな外部サービスがユーザマスタを持つ
- Facebookログインなどで認証する
AWS Shield
- DDoSプロテクションのサービス
- Advancedを利用すると24/7のサービスを受けられる
- コストは3,000USD/Yearで、ビジネスプランが必要
AWS Inspector
- EC2の脆弱性診断
- ec2以外のサービスは診断できない
- 診断結果をpdfでダウンロードできる
- エージェントをインストールする必要がある
AWS Guard Duty
- 機械学習を使って、VPC, DNS, CloudTrail Logsから不正な振る舞いを検出する