#ISAOcorp

AWS運用アレコレ

(株 )ISAO赤川　蘭丸

#ISAOcorp

自己紹介

赤川　蘭丸 (35)

・ ISAO歴 1年・入社後から主に AWSインフラ運用・特技は小麦アレルギー・ 4月に第一子誕生しました

#ISAOcorp

本日のメニュー

・ AWSメンテナンスさんとの　幸せな付き合い方

・ Certificate Manager

#ISAOcorp

AWSメンテナンスさんとの幸せな付き合い方

#ISAOcorp

なぜメンテナンスが発生するのか？

・仮想ホスト側のアップデート、リプレイス、障害

・ライブマイグレーション機能なし

#ISAOcorp

メンテナンスタイプは 2種類

・突発型　事前告知なしに実施される

・スケジュール型　メールやイベント等の通知あり

#ISAOcorp

突発型メンテナンス

#ISAOcorp

突発型メンテナンス

・文字通り突然発生するメンテナンス　（ん、障害か。。）

・仮想ホスト側やネットワークの問題だったり

・ CloudWatchの通知や死活監視などで　気がつくことが多い

#ISAOcorp

おや？故障かな？と思ったら

・（サーバであれば） syslog等を確認

・ AWS全体で障害情報が出ていないか→コンソールから確認可能

#ISAOcorp

特に異常がなければ

サポートに聞いてみましょう

#ISAOcorp

ただし。。。

・技術サポートは「ビジネス」プラン以上で　受けられます。

・けちらずに入ることをお勧めします。

#ISAOcorp

サポートへ問い合わせると

・障害の発生原因など、教えてくれます。

#ISAOcorp

障害後対応

・ RDSの ReadReplica再作成等、作業が必要な　場合もあります。

#ISAOcorp

障害をいち早く気づく方法ってないの？

#ISAOcorp

障害通知機能

AWSが提供する RDSや ElastiCacheなどのPaaSには、これらで発生した重大なイベントを、Amazon Simple Notification Service(SNS)との連携により迅速に通知することが可能。

AmazonSNS

Amazon ElastiCach

eAmazon

RDS

Elastic Load

Balancerイベント発生 イベント通知

#ISAOcorp

しかし・・・

#ISAOcorp

SNS通知されないイベントが存在

◯ Finished recovery for ...✕ Recovering cache ...

EVENTS 2016-XX-XXT18:13:07.203Z Finished recovery for cache nodes 0001 xx-cache-clusterEVENTS 2016-XX-XXT18:05:21.118Z Recovering cache nodes 0001 xx-cache-cluster

SNSだけに頼らず、イベント監視も実施しましょう

#ISAOcorp

スケジュール型メンテナンス

#ISAOcorp

スケジュール型メンテナンス

・仮想ホスト側への

　 パッチやアップデートの透過的適用−　 ハードウェア入れ替え−が主な理由

#ISAOcorp

どのように通知されるの？

#ISAOcorp

通知は？

・予定されたイベント日前に AWSアカウントに　関連付けられた Eメールで通知されます

#ISAOcorp

通知は？

・予定されたイベント日前にイベントでも確認可能

#ISAOcorp

サービス別対策例

#ISAOcorp

EC2イベントタイプ毎に対応

・ Reboot

指定された日時に再起動されてしまうが、自己都合が悪い場合には指定日時までにメンテナンスウインドウなどを設けて再起動を実施する。

#ISAOcorp

EC2・ Instance stop・ Instance retirement・ System maintenance

EC2インスタンスが起動している仮想ホストを変更することで、自己都合の良い時間に対応することが可能。

⇒インスタンスの Stop/Startで変更される。

#ISAOcorp

RDS/ElastiCache・ RDS/ElastiCacheで指定された　「メンテナンスウインドウ」で実行される

#ISAOcorp

RDS/ElastiCache・対策　 RDS　　作り直しのコスト等を考えるとメンテを　　入れるのが得策

　 ElastiCache　　ノードの置き換え（削除 /追加）で回避可能

#ISAOcorp

RDS/ElastiCache・注意点　 -メール通知がない場合がある　⇒イベント監視必須

-RDS Multi-AZの場合、プライマリ／セカンダリ　の区別なく通知される場合がある　⇒プライマリメンテの場合は Failover発生、　　セカンダリメンテの場合はWrite Latency上昇

#ISAOcorp

AWSメンテナンスさんと幸せな生活を送るためには

#ISAOcorp

・メンテナンスは避けて通れないもの

・対応方法は多種多様

・イベント監視は幸せになる近道

・ SPOFを作らない設計を

まとめ

#ISAOcorp

Certificate Manager

#ISAOcorp

Certificate Managerって？

・ SSL 証明書のプロビジョニング / 管理 /デプロイ→AWS上で SSL 証明書の発行ができて、　証明書の設置までできちゃう

#ISAOcorp

Certificate Managerって？

・発行される証明書は 99%のブラウザと OSで　信頼される・ワイルドカードドメインも OK・有効期限は 13 ヶ月・自動更新、デプロイも自動

そしてなによりも　　無料！！

#ISAOcorp

これまでの SSL 証明書発行の流れ

①発行対象ドメインの CSR作る②SSL 証明書サービス機関に発行依頼 --- （場合によっては審査） ---③ 承認作業④ 証明書発行⑤設置

取得代行などに依頼すると数日かかる場合も。。（弊社でもやってますが・・・）

#ISAOcorp

Certificate Managerの流れ

①Certificate Managerでドメイン名などを　入力しボタンポチ② 承認メールのリンクをクリックしてポチ③LoadBalancer等に設定

コーヒー飲む暇もなく完了。。お手軽すぎる・・・

#ISAOcorp

なによりも

ドメインを取得して入ればあの煩わしい

「オレオレ証明書」

の作成作業からも解放される！！

#ISAOcorp

注意点はもちろんあります。

・ ELB、 CloudFrontにしか利用できません

・ CloudFrontで使う場合、バージニアリージョン　の Certificate Managerで作成する必要が　あります

・ドメイン認証のみ、実在証明はできない

#ISAOcorp

まとめ

AWSを利用するなら、これまでの SSL 証明書のコスト、発行の手間から開放されるCertificate Managerをお勧めします！

#ISAOcorp

と言うことで。。

ISAO、MSPやってます。

#ISAOcorp

ご興味のある方は、ご相談くださいhttps://www.isao.co.jp/mspaws01/

#ISAOcorp

#ISAOcorp

ISAO Meetup　次回予告

9月 29日（木）予定使った気になる Firebase(仮 )

connpassグループ『 ISAO Meetup』にご登録ください。詳細は近日公開！http://isao.connpass.com/