SOA-C02メモ | akamist blog

ELB:ロードバランサー

ホスト名に基づいてEC2へのルーティングを決定したい場合は、ALBを使用する
ELBで固定IPを使用したい場合は、NLBを使用する
スティッキーセッションを無効にしていると、これが理由で配下のEC2の負荷が均等にならない場合がある
古いクライアントをサポートするためにあえて弱いTLSアルゴリズムを使用する場合は、ALBのセキュリティポリシーを変更する
SpilloverCountメトリクスで、ELBが捌けなかったアクセスの量を確認できる
- 処理待ちキューの長さはSurgeQueueLengthで知ることができる
- SurgeQueueLengthの値をトリガにオートスケールさせることで、取りこぼしを緩和できる

　## オートスケール

オートスケールには、Amazon EC2 Auto Scaling プロセスというものがある
オートスケールの設定で一部のプロセス実行をサスペンドできる
AZRebalanceの機能をサスペンドすると以下のことが起きる
- Auto Scaling グループが最大サイズより 10% まで大きくなることがある。
  - 再分散アクティビティ中にこの状態が一時的に許可されるためです。
ASGは、問題があるインスタンスをターミネートしたあとで、新しいインスタンスを起動する
ASGは、問題があるリブートはしてくれない(ターミネート&再生成のみ)
CLIのset-instance-healthコマンドを使うと、インスタンスの状態を手動で変更できる
ASGがインスタンスを生成できない理由(トラブルシューティング)
- 設定されていたSecurity Groupが削除されており存在しない
- 設定されていたKey pairが削除されており存在しない
- インスタンス生成できない状態が24時間続くとオートスケールの処理自体がサスペンドされる
ASGのメトリクスは1分周期で取得される
　　　　　　　- ASGの管理配下のEC2は、デフォルトでは5分周期でメトリクスが取られていることに注意(時間が異なる)

S3のデータをCloudFront経由で公開できる
- このとき、CloudFrontへのアクセスログを収集して、S3のバケットに格納できる
- 格納したアクセスログはAthenaでSQLを使って分析できる。
S3インベントリ機能を使うことで、S3に入っているオブジェクトの分析ができる
- オブジェクトの数を知ることができる
- レプリケーションと、暗号化のステータスをレポートできる
Amazon S3 分析(ストレージクラス分析)で、S3のバケットの利用状況を分析できる
- ファイル保持期間ごとの使用量がわかる
- ライフサイクルポリシーを決めるときのヒントになる
  - アクセス頻度の低い STANDARD ストレージをいつ STANDARD_IAに移行すべきかを判断するヒントになる

MySQLやPostgreSQLの接続に対してSSL接続を強制(enforce)できる
- MysQL: GRANT USAGE ... REQUIRE SSLの権限を付与する
- PostreSQL: rds.force_ssl=1のパラメータを設定する
RDSの接続に対してSSL接続を許可(not enforce, allow)できる
- 接続時にSSLオプションを使う

SAML Federation For Enterprises
- AWSのIAMではなく、ディレクトリサーバがユーザマスタを持つ
- MS Active Directoryのようなディレクトリサーバとの連携
- 自分でコードは書かなくて良い
Itentity Broker Application For Enterprises
- AWSのIAMではなく、自分でユーザマスタを持つ
- 認証にまつわる処理を自分で実装する必要がある
AWS Cognito Federated Identify Pools For public applications
- AWSのIAMではなく、パブリックな外部サービスがユーザマスタを持つ
- Facebookログインなどで認証する