Embed Size (px)
Citation preview
AWS 上の MongoDBクイックスタートリファ
レンスデプロイガイド
AWS 上の MongoDB クイックスタートリファレンスデプロイガイド
AWS 上の MongoDB: クイックスタートリファレンスデプロイガイドCopyright © 2018 Amazon Web Services, Inc. and/or its affiliates. All rights reserved.
Amazon's trademarks and trade dress may not be used in connection with any product or service that is not Amazon's, in any mannerthat is likely to cause confusion among customers, or in any manner that disparages or discredits Amazon. All other trademarks notowned by Amazon are the property of their respective owners, who may or may not be affiliated with, connected to, or sponsored byAmazon.
AWS 上の MongoDB クイックスタートリファレンスデプロイガイド
Table of Contentsホーム ............................................................................................................................................... 1
クイックスタートについて ........................................................................................................... 1概要 .................................................................................................................................................. 3
AWS 上の MongoDB ................................................................................................................... 3コストとライセンス .................................................................................................................... 3AWS のサービス ........................................................................................................................ 3
アーキテクチャ .................................................................................................................................. 5MongoDB の構造 ........................................................................................................................ 6パフォーマンス .......................................................................................................................... 7
デプロイオプション ............................................................................................................................ 9デプロイ手順 .................................................................................................................................... 10
ステップ 1. アカウントを準備する .............................................................................................. 10ステップ 2. クイックスタートを起動する ..................................................................................... 14ステップ 3. MongoDB ノードに接続する ...................................................................................... 23
MongoDB をテストする ..................................................................................................................... 26データのバックアップ ....................................................................................................................... 27セキュリティ .................................................................................................................................... 28
IAM ......................................................................................................................................... 28OS セキュリティ ...................................................................................................................... 28ネットワークセキュリティ ......................................................................................................... 28セキュリティグループ ............................................................................................................... 29データベースセキュリティ ......................................................................................................... 29
リソース .......................................................................................................................................... 30フィードバック ................................................................................................................................. 31ドキュメントの改訂 .......................................................................................................................... 32
.............................................................................................................................................. 32
iii
AWS 上の MongoDB クイックスタートリファレンスデプロイガイド
クイックスタートについて
AWS クラウドでの MongoDB: クイックスタートリファレンスデプロイ
デプロイガイド
Vinod Shukla - AWS クイックスタートチーム、ソリューションアーキテクト
2015 年 4 月 (最終更新日 (p. 32): 2017 年 5 月)
このクイックスタートリファレンスデプロイガイドは、MongoDB クラスターをアマゾン ウェブ サービス (AWS) クラウドにデプロイするためのアーキテクチャ上の考慮事項と設定手順を含み、Amazon ElasticCompute Cloud (Amazon EC2) や Amazon Virtual Private Cloud (Amazon VPC) などのサービスを使用してAWS に MongoDB をデプロイするためのベストプラクティスを説明します。また、AWS アカウントへの直接的なデプロイや起動に利用できる自動 AWS CloudFormation テンプレートへのリンクを示します。
このガイドは、AWS クラウドでの MongoDB ワークロードの実装や拡張を検討している IT インフラストラクチャアーキテクト、管理者、DevOps プロフェッショナルを対象としています。
以下のリンクは参考情報です。クイックスタートを起動する前に、アーキテクチャ、設定、ネットワークセキュリティなどの、このガイドで説明されている考慮事項を確認してください。
• AWS アカウントがあり、AWS サービスと MongoDB にすでに精通している場合は、クイックスタートを起動して、MongoDB を AWS アカウントの新しいまたは既存の Virtual Private Cloud (VPC) にデプロイできます。デプロイには約 15 分かかります。AWS または MongoDB を初めて使用する場合は、実装の詳細を確認し、このガイドの後半にある「手順 (p. 10)」に従ってください。
• デプロイを自動化する AWS CloudFormation テンプレートの内容を見る場合は、テンプレートを表示で
きます。各テンプレートは、起動中にカスタマイズしたり、他のプロジェクト用にダウンロードして拡張したりできます。
クイックスタートについてクイックスタートは、AWS クラウドでの主要なワークロード用の自動化リファレンスデプロイです。各クイックスタートでは、セキュリティと可用性に関する AWS ベストプラクティスに沿って、AWS で特定の
1
AWS 上の MongoDB クイックスタートリファレンスデプロイガイド
クイックスタートについて
ワークロードをデプロイするために必要な AWS のコンピューティング、ネットワーク、ストレージ、その他のサービスを起動、設定、実行します。
2
AWS 上の MongoDB クイックスタートリファレンスデプロイガイド
AWS 上の MongoDB
概要AWS 上の MongoDB
MongoDB はオープンソースの NoSQL データベースであり、JSON スタイルのドキュメント指向のストレージシステムをサポートします。MongoDB では、どのような構造のデータでも保存できる柔軟なデータモデルがサポートされており、完全なインデックスのサポート、シャーディング、レプリケーションを含む一連の豊富な機能をご利用いただけます。
AWS により、柔軟かつスケーラブルで費用対効果の高い方法で AWS クラウドに MongoDB をデプロイするためのインフラストラクチャをセットアップできます。このリファレンスデプロイにより、設定タスクやデプロイタスクを自動化し、MongoDB クラスターを容易に構築できます。
このクイックスタートは、AWS への MongoDB レプリカセットクラスター (バージョン 3.2 または 3.4) のセルフサービス型デプロイをサポートしています。
コストとライセンスこのデプロイでは、お客様の選択した設定で MongoDB が自動的に起動されます。このクイックスタートリファレンスデプロイの実行中に使用した AWS サービスのコストは、お客様が負担します。クイックスタートを使用しても追加コストは発生しません。コストは、デプロイする設定のストレージやコンピューティングによって異なります。
このクイックスタートは MongoDB Community Edition バージョン 3.2 または 3.4 をデプロイします。これは、GNU Affero General Public License バージョン 3 の下で配布されているオープンソースソフトウェアです。
AWS のサービスこのクイックスタートで使用される AWS の主要コンポーネントには、次の AWS サービスが含まれます(AWS を初めて利用する場合は、AWS ドキュメントの「はじめに」セクションを参照してください)。
• Amazon EC2 – Amazon Elastic Compute Cloud (Amazon EC2) サービスは、様々なオペレーティングシステムで仮想マシンインスタンスを起動できるようにします。既存の Amazon マシンイメージ (AMI) から選択することも、独自の仮想マシンイメージをインポートすることもできます。
• Amazon VPC – Amazon Virtual Private Cloud (Amazon VPC) サービスは、AWS クラウドの隔離されたプライベートなセクションをプロビジョニングし、定義した仮想ネットワークで AWS サービスや他のリソースを起動できるようにします。独自の IP アドレス範囲の選択、サブネットの作成、ルートテーブル、ネットワークゲートウェイの設定など、仮想ネットワーク環境全体をお客様がコントロールできます。
• Amazon EBS - Amazon Elastic Block Store (Amazon EBS) は、AWS クラウドの EC2 インスタンスで使用するための永続的なブロックレベルのストレージボリュームを提供します。コンポーネントに障害が発生した場合でも高い可用性と耐久性を提供できるように、各 EBS ボリュームはアベイラビリティーゾーン内で自動的にレプリケートされます。EBS ボリュームは、ワークロードの実行に必要な一貫した低レイテンシーのパフォーマンスを実現します。
• AWS CloudFormation – AWS CloudFormation は、関連する AWS リソースのコレクションを容易に作成および管理し、整った予測可能な方法でプロビジョニングおよび更新できるようにします。テンプレートを使用して、必要なすべての AWS リソース (EC2 インスタンスなど) を定義します。リソースを個別
3
AWS 上の MongoDB クイックスタートリファレンスデプロイガイド
AWS のサービス
に作成、設計して、それぞれの依存関係を考える必要はありません。AWS CloudFormation がすべてを処理します。
• IAM – AWS Identity and Access Management (IAM) を使用すると、AWS のサービスおよびリソースに対するお客様のユーザーのアクセスを安全にコントロールすることができます。IAM を使用することにより、ユーザー、アクセスキーなどの認証情報、およびユーザーがアクセスできる AWS リソースを制御するアクセス権限を集中管理できます。
4
AWS 上の MongoDB クイックスタートリファレンスデプロイガイド
アーキテクチャAWS CloudFormation は、関連する AWS リソースのコレクションを容易に作成および管理し、整った予測可能な方法でプロビジョニングおよび更新できるようにします。
デフォルトパラメータを使用して新しい VPC にこのクイックスタートをデプロイすると、AWS クラウドで以下の MongoDB 環境が構築されます。
5
AWS 上の MongoDB クイックスタートリファレンスデプロイガイド
MongoDB の構造
図 1: AWS での MongoDB のためのクイックスタートアーキテクチャ
以下の AWS コンポーネントは、このリファレンスデプロイの一部としてデプロイおよび設定されます。
• 3 つのアベイラビリティーゾーンにまたがるパブリックサブネットとプライベートサブネットで設定された VPC。*
• パブリックサブネットで、プライベートサブネット内のリソース (MongoDB インスタンス) へのアウトバウンドインターネット接続を許可する NAT ゲートウェイ (詳細については「Amazon VPC クイックスタート」を参照)。*
• パブリックサブネットで、Elastic IP アドレスが割り当てられ、インバウンドセキュアシェル (SSH) アクセスを許可する、Auto Scaling グループの踏み台ホスト。1 つの踏み台ホストがデフォルトでデプロイされますが、この数は設定可能です (詳細については「Linux 踏み台ホストクイックスタート」を参照)。*
• デプロイプロセスには、AWS サービスへの詳細に調整されたアクセス許可を持つ AWS Identity andAccess Management (IAM) インスタンスロールが必要です。
• VPC 内での通信を可能にし、必要なプロトコルとポートのみにアクセスを制限するセキュリティグループ。
• プライベートサブネットで、カスタマイズ可能な MongoDB クラスター (スタンドアロンで実行するかレプリカセットで実行するかは選択可能)、およびカスタマイズ可能な Amazon EBS ストレージ。クイックスタートは、レプリカセットの各メンバーをそれぞれ異なるアベイラビリティーゾーンに起動します。ただし、3 つ以上のアベイラビリティーゾーンを提供しない AWS リージョンを選択した場合、クイックスタートはいずれかのゾーンを再利用して 3 番目のサブネットを作成します。
* 新しい VPC に対してクイックスタートを起動するか、既存の VPC を使用するかを選択できます。クイックスタートを既存の VPC にデプロイするテンプレートは、アスタリスクでマークされたコンポーネントの作成をスキップし、既存の設定を求めます。
クイックスタートは、すべての MongoDB 関連ノードをプライベートサブネットで起動します。そのため、ノードは SSH を使用してアクセスされ、踏み台ホストに接続します。MongoDB インスタンスごとにリモートアクセス CIDR を使用する代わりに、リモートアクセスを一元的に制御できるように、デプロイには踏み台ホストのセキュリティグループ ID が必要です。新しい VPC に対してクイックスタートを起動すると、踏み台セキュリティグループが作成されます。既存の VPC でクイックスタートを起動する場合は、踏み台ホストのセキュリティグループを作成するか、既存のものを使用する必要があります。
MongoDB の構造リファレンスデプロイで使用される構成要素の例を示します。
レプリカセット。同じデータを保持するmongod インスタンスのグループを指します。レプリケーションの目的は、1 つのサーバーがダウンした際に高可用性を確保することです。このリファレンスデプロイでは 1 つまたは 3 つのレプリカセットをサポートしています。レプリカセットが 3 つの場合、リファレンスデプロイは 3 つのサーバーを 3 つの異なるアベイラビリティーゾーンで起動します (リージョンがサポートしている場合)。実稼働用クラスターでは、3 つのレプリカセット (Primary、Secondary0、Secondary1)を使用することが推奨されます。
すべてのクライアントは、通常プライマリノードを操作して読み取りや書き込みのオペレーションを実行します。読み取りオペレーションでは、プリファレンスとしてセカンダリノードを設定できますが、書き込みオペレーションは必ずプライマリノードで行われ、セカンダリノードで非同期にレプリケートされます。読み取りオペレーションでセカンダリノードを選択する場合は、古いデータに注意する必要があります。これは、セカンダリノードがプライマリノードと同期されていない場合があるためです。読み取りオペレーションがどのようにレプリカセットにルーティングされるかについては、MongoDB ドキュメントを参照してください。
6
AWS 上の MongoDB クイックスタートリファレンスデプロイガイド
パフォーマンス
開発環境では、1 つのレプリカセットから始めて、本稼働中に 3 つのレプリカセットに移行できます。図2 にレプリケーション係数 3 の MongoDB リファレンスデプロイを示します。
図 2: 3 つのレプリカセットを使用する AWS での MongoDB クラスター
プライマリインスタンスに障害が発生した場合、別のアベイラビリティーゾーンのセカンダリインスタンスの 1 つが新しいプライマリノードとなり、自動フェイルオーバーが確実に実行されます。
シャーディング。複数のノードに渡るデータのディストリビューションを指します。複数のノードに渡って異なるデータを保存することで、読み取りや書き込みのパフォーマンスのための水平方向のスケーラビリティが実現します。データセットが大きい場合、単一ノードでは CPU または I/O パフォーマンスによってボトルネックが発生することがあります。シャーディングは、シャードノードが処理するオペレーションの数を減らし、クラスター全体のパフォーマンスを向上させることで、このボトルネックを解決します。このクイックスタートでは、シャーディングは直接サポートされていません。代わりに、起動されたレプリカセットをシャードされたクラスターに参加させるためのパラメータ (ReplicaShardIndex) が用意されています。詳細については、MongoDB のドキュメントを参照してください。
パフォーマンスに関する考慮事項リファレンス実装ではコンピューティングとストレージの様々な選択肢が示されます。次の表に、コンピューティングの選択肢の例を示します。
7
AWS 上の MongoDB クイックスタートリファレンスデプロイガイド
パフォーマンス
インスタンスタイプ vCPU メモリ (GiB) ワークロードタイプ
c3.4xlarge 16 55 コンピューティング最適化
c3.8xlarge 32 60 コンピューティング最適化
c4.8xlarge 36 60 コンピューティング最適化
r3.4xlarge 16 122 メモリ最適化
r3.2xlarge 8 61 メモリ最適化
r3.8xlarge 32 244 メモリ最適化
一般的なガイドラインとして、垂直方向ではなく水平方向にインスタンスを増加させることを検討します。水平方向のスケーリングにより、シングルノードの制限を克服し、単一障害点を回避し、さらにクラスター全体のスループットを潜在的に向上させることができます。
ストレージについては、データベースの要件によって、各ノードにアタッチされるストレージボリュームを変更することができます。Amazon EBS のボリュームタイプは、「汎用 (SSD)」、「プロビジョンド IOPS (SSD)」、「マグネティック」の 3 つがあります。これらはパフォーマンス特性とコストが異なるため、アプリケーションのニーズに応じて適切なストレージパフォーマンスと料金を選択できます。Amazon EBS のボリュームタイプはすべて、耐久性に優れた同じスナップショット機能を備え、99.999% の可用性を保証します。このリファレンスデプロイは、汎用ストレージボリュームとプロビジョンド IOPS ストレージボリュームをサポートします。
次の表に、各ストレージのタイプのパフォーマンス特性の一部を示します。パフォーマンス要件によっては、ストレージタイプや Amazon EBS プロビジョンド IOPS 容量 (選択している場合) を決定する前にアプリケーションをベンチマークすることが必要な場合があります。
ボリュームタイプ 汎用 (SSD) プロビジョンド IOPS (SSD)
ストレージメディア SSD タイプ SSD タイプ
最大ボリュームサイズ 16 TiB 16 TiB
最大 IOPS/ボリューム 10,000 20,000
8
AWS 上の MongoDB クイックスタートリファレンスデプロイガイド
デプロイメントオプションこのクイックスタートには、2 つのデプロイオプションがあります。
• MongoDB を新しい VPC にデプロイする (エンドツーエンドのデプロイ)。このオプションでは、VPC、サブネット、NAT ゲートウェイ、セキュリティグループ、踏み台ホストなどのインフラストラクチャコンポーネントで構成される新しい AWS 環境を構築し、MongoDB データベースをこの新しい VPC にデプロイします。
• MongoDB を既存の VPC にデプロイする。このオプションでは、既存の AWS インフラストラクチャにMongoDB をプロビジョンします。
クイックスタートには、これらのオプション用に個別のテンプレートが用意されています。このガイドの後半で説明しているように、CIDR ブロック、インスタンスタイプ、MongoDB 設定などの追加の設定を定義することもできます。
9
AWS 上の MongoDB クイックスタートリファレンスデプロイガイドステップ 1. アカウントを準備する
デプロイ手順柔軟な AWS プラットフォームに MongoDB を簡単にデプロイできます。このガイドは、完全にカスタマイズ可能な MongoDB クラスターをオンデマンドでセットアップする顧客の参考資料となります。AWS でスケーラブルなオンデマンドのインフラストラクチャを構築することで、大規模なコンピューティングとストレージ要件に対応するにコスト効率に優れたソリューションが実現します。AWS の柔軟なアーキテクチャにより、環境に最も適したネットワーク、コンピューティング、ストレージインフラストラクチャを選択できます。
AWS に MongoDB をデプロイする手順は、次のステップで構成されています。詳細な手順については、各ステップのリンクをクリックしてください。
• ステップ 1. AWS アカウントを準備する (p. 10)
AWS アカウントにサインアップし、リージョンを選択し、キーペアを作成したら、必要に応じてアカウント制限の引き上げをリクエストします。
• ステップ 2. クイックスタートを起動する (p. 14)
AWS アカウントに AWS CloudFormation テンプレートを起動し、パラメータ値を指定して、スタックを作成します。クイックスタートには、エンドツーエンドのデプロイと既存の VPC へのデプロイ用に個別のテンプレートが用意されています。
• ステップ 3. MongoDB ノードに接続する (p. 23)
ノードはプライベートサブネットにあるため、SSH を使用し、NAT インスタンスを介して MongoDBノードに接続します。
ステップ 1. AWS アカウントを準備する1. AWS アカウントがまだない場合は、https://aws.amazon.com で画面上の指示に従って作成します。
サインアップ手順の一環として、通話呼び出しを受け取り、電話のキーパッドを用いて PIN を入力することが求められます。
2. ナビゲーションバーのリージョンセレクターを使用して、AWS に Magento クラスターをデプロイする AWS リージョンを選択します。詳細については、「リージョンとアベイラビリティーゾーン」を参照してください。リージョンは、独立した地理的領域に分散して存在します。各リージョンには、互いに隔離されているが低レイテンシーのリンクで接続された少なくとも 2 つのアベイラビリティーゾーンが含まれます。
10
AWS 上の MongoDB クイックスタートリファレンスデプロイガイドステップ 1. アカウントを準備する
図 3: AWS リージョンの選択
ヒント
データセンターや社内ネットワークに最も近いリージョンを選択して、AWS で実行されているシステム間、および企業ネットワーク上のシステムとユーザー間のネットワークレイテンシーを削減するためにリージョンを選択することを検討します。
3. 任意のリージョンでキーペアを作成します。これを行うには、Amazon EC2 コンソールのナビゲーションペインで [Key Pairs]、[Create Key Pair] を選択し、名前を入力して [Create] を選択します。
11
AWS 上の MongoDB クイックスタートリファレンスデプロイガイドステップ 1. アカウントを準備する
図 4: キーペアの作成
Amazon EC2 はパブリックキー暗号を使用して、ログイン情報の暗号化と復号を行います。インスタンスにログイン可能にするには、キーペアを作成する必要があります。Linux では、キーペアを使用して SSH ログインを認証します。
4. 必要に応じて、デプロイする Amazon EC2 インスタンスタイプのサービス上限緩和を申請します。これを行うには、AWS サポートセンターで、[Create Case]、[Service Limit Increase]、[EC2 instances]の順に選択し、上限緩和フォームのフィールドに入力します。
インスタンス数のデフォルト制限は選択するインスタンスタイプによって異なり、現在は 2 ~ 20 です (Amazon EC2 FAQ ページを参照)。他にもこのインスタンスタイプを使用するデプロイが既に存在している場合、またはこのリファレンスデプロイでデフォルト制限を超過することが見込まれる場合は、上限緩和を申請する必要があります。新しいサービスの上限が有効になるには、数日かかる場合があります。詳細については、『AWS ドキュメント』の「Amazon EC2 サービスの制限」を参照してください。
12
AWS 上の MongoDB クイックスタートリファレンスデプロイガイドステップ 1. アカウントを準備する
図 5: サービス制限の引き上げリクエスト5. 必要に応じて、VPC での Elastic IP アドレスの制限引き上げをリクエストします。制限タイプとして
[VPC] を選択し、制限リクエストフォームのフィールドに入力します。6. 必要に応じて、使用可能な EBS ボリュームの制限引き上げをリクエストします。制限タイプとして
[EBS] を選択し、制限リクエストフォームのフィールドに入力します。
13
AWS 上の MongoDB クイックスタートリファレンスデプロイガイド
ステップ 2. クイックスタートを起動する
ステップ 2. クイックスタートを起動するNote
このクイックスタートリファレンスデプロイの実行中に使用した AWS サービスのコストは、お客様が負担します。このクイックスタートを使用しても追加コストは発生しません。詳細については、このクイックスタートで使用する各 AWS サービスの料金表ページを参照してください。
1. 以下のいずれかのオプションを選択して、AWS アカウントに AWS CloudFormation テンプレートを起動します。オプションの選択については、このガイドの「デプロイオプション (p. 9)」を参照してください。
オプション 1
MongoDB を AWS 上の新しい VPC にデプロイする
オプション 2
MongoDB を AWS 上の既存の VPC にデプロイする
Important
MongoDB を既存の VPC にデプロイする場合は、異なるアベイラビリティーゾーンで 2 つのパブリックサブネットと 3 つのプライベートサブネットを使用するように、VPC が設定されていることを確認します。また、Amazon VPC ドキュメントで説明しているように、DHCPオプションでドメイン名オプションを設定する必要があります。クイックスタートを起動すると、VPC 設定を求められます。プライベートサブネットでは、アウトバウンドインターネット接続用にルートテーブルにNAT ゲートウェイまたは NAT インスタンスが必要です。また、インバウンド SSH アクセス用に踏み台ホストおよび関連するセキュリティグループを作成する必要があります (VPC を設定するには、Amazon VPC クイックスタートを使用できます。踏み台ホストを設定するには、「Linux 踏み台ホストクイックスタート」を参照してください。新しい VPC にデプロイする場合、これらの設定はクイックスタートによって自動的に行われます)。
各デプロイの完了には約 15 分かかります。2. ナビゲーションバーの右上隅に表示されているリージョンを確認し、必要に応じて変更します。テン
プレートは、デフォルトで 米国東部(バージニア北部) リージョンで起動されます。3. [Select Template] ページで、テンプレート URL のデフォルト設定をそのままにし、[Next] を選択しま
す。4. [Specify Details] ページで、必要に応じてスタック名を変更します。テンプレートのパラメータを確認
します。入力が必須のパラメータの値を指定します。他のすべてのパラメータのデフォルト設定を確認し、必要に応じてカスタマイズします。パラメータの確認とカスタマイズが終了したら、[Next] を選択します。
以下の表では、パラメータをカテゴリ別に示し、2 つのデプロイオプションについて個別に説明しています。
• MongoDB を新しい VPC にデプロイする場合のパラメータ (p. 14)• MongoDB を既存の VPC にデプロイする場合のパラメータ (p. 19)
14
AWS 上の MongoDB クイックスタートリファレンスデプロイガイド
ステップ 2. クイックスタートを起動する
オプション 1: MongoDB を新しい VPC にデプロイする場合のパラメータ
テンプレートを表示
ネットワーク構成:
パラメータラベル パラメータ名 デフォルト値 説明
アベイラビリティーゾーン
利用可能ゾーン 入入入入 VPC でサブネットに使用するアベイラビリティーゾーンのリスト。クイックスタートでは、指定した論理的順序が保持されます。このデプロイでは、2つまたは 3 つのアベイラビリティーゾーンが使用されます。アベイラビリティーの選択後、[Number ofAvailability Zones] パラメータが選択内容と一致することを確認します。
Number of AvailabilityZones
NumberOfAZs 入入入入 VPC で使用するアベイラビリティーゾーンの数 (2 または 3)。これは、[Availability Zones]パラメータでの選択内容と一致する必要があります。一致しないと、デプロイは AWSCloudFormation テンプレート検証エラーで失敗します (一部のリージョンでは、使用できるアベイラビリティーゾーンは 1 つまたは 2つのみです)。
VPC CIDR VPCCIDR 10.0.0.0/16 作成する VPC の CIDRブロック。
Private Subnet 1 CIDR PrivateSubnet1CIDR 10.0.0.0/19 アベイラビリティーゾーン 1 にあるプライベートサブネットのCIDR ブロック.
Private Subnet 2 CIDR PrivateSubnet2CIDR 10.0.32.0/19 アベイラビリティーゾーン 2 にあるプライベートサブネットのCIDR ブロック.
15
AWS 上の MongoDB クイックスタートリファレンスデプロイガイド
ステップ 2. クイックスタートを起動する
パラメータラベル パラメータ名 デフォルト値 説明
Private Subnet 3 CIDR PrivateSubnet3CIDR 10.0.64.0/19 アベイラビリティーゾーン 3 にあるプライベートサブネットのCIDR ブロック.
Public Subnet 1 CIDR PublicSubnet1CIDR 10.0.128.0/20 アベイラビリティーゾーン 1 にあるパブリック サブネットのCIDR ブロック.
Public Subnet 2 CIDR PublicSubnet2CIDR 10.0.144.0/20 アベイラビリティーゾーン 2 にあるパブリック サブネットのCIDR ブロック.
Public Subnet 3 CIDR PublicSubnet3CIDR 10.0.160.0/20 アベイラビリティーゾーン 3 にあるパブリック サブネットのCIDR ブロック.
Allowed BastionExternal Access CIDR
RemoteAccessCIDR 入入入入 踏み台ホストへの外部SSH アクセスが許可されている CIDR IP 範囲。この値を信頼された IP 範囲に設定することをお勧めします。たとえば、自社のネットワークにのみソフトウェアへのアクセスを許可できます。
セキュリティ設定:
パラメータラベル パラメータ名 デフォルト値 説明
Key Name KeyPairName 入入入入 パブリック/プライベートキーペアを指定することで、起動後にインスタンスに安全に接続できます。AWS アカウントを作成した際に、指定したリージョンで作成したキーペアです
Linux 踏み台設定:
16
AWS 上の MongoDB クイックスタートリファレンスデプロイガイド
ステップ 2. クイックスタートを起動する
パラメータラベル パラメータ名 デフォルト値 説明
Bastion AMI OperatingSystem
BastionAMIOS Amazon-Linux-HVM 踏み台ホストインスタンスに使用される AMI 用の Linuxディストリビューション。AmazonLinux、CentOS、または Ubuntu Server を選択できます。CentOSを選択した場合は、AWS Marketplaceで CentOS AMI にサブスクライブしたことを確認してください。
Bastion Instance Type BastionInstanceType t2.micro 踏み台ホストインスタンスの EC2 インスタンスタイプ。
Number of BastionHosts
NumBastionHosts 1 作成する踏み台ホストの数 (1 ~ 4)。AutoScaling により、この数の踏み台ホストが常に実行中になります。
MongoDB データベースの設定:
パラメータラベル パラメータ名 デフォルト値 説明
Cluster Replica SetCount
ClusterReplicaSetCount 1 レプリカセットメンバーの数。1 または 3を選択します。
IOPS Iops 100 io1 ボリュームタイプを選択した場合の EBSボリュームの IOPS。それ以外の場合、この設定は無視されます。
MongoDB Version MongoDBVersion 3.4 デプロイされるMongoDB のバージョン。バージョン 3.2 または 3.4 を選択できます。
MongoDB AdminUsername
MongoDBAdminUsernameadmin MongoDB 管理者アカウントのユーザー名。
MongoDB AdminPassword
MongoDBAdminPassword入入入入 MongoDB データベースのパスワード。[A-Za-z0-9 _ @ -] で構成される 8 ~ 32 文字の文字列を入力できます。
17
AWS 上の MongoDB クイックスタートリファレンスデプロイガイド
ステップ 2. クイックスタートを起動する
パラメータラベル パラメータ名 デフォルト値 説明
Node Instance Type NodeInstanceType m4.large MongoDB ノードのEC2 インスタンスタイプ。
Replica Shard Index ReplicaShardIndex 0 このレプリカセットのシャードインデックス。シャードインデックスの詳細については、MongoDB のドキュメントを参照してください。
ボリュームサイズ VolumeSize 400 MongoDB ノードに接続する Amazon EBS(データ) ボリュームのサイズ (GiB 単位)。
ボリュームタイプ VolumeType gp2 MongoDB ノードに接続する Amazon EBS(データ) ボリュームのタイプ (gp2 またはio1)。
AWS クイックスタート設定:
パラメータラベル パラメータ名 デフォルト値 説明
Quick Start S3 BucketName
QSS3BucketName quickstart-reference クイックスタートのテンプレートとスクリプトがインストールされる S3 バケット。クイックスタートをカスタマイズまたは拡張して独自に使用する場合は、クイックスタートアセットのコピー用に作成した S3 バケットの名前をこのパラメータで指定します。バケット名には、数字、小文字、大文字、ハイフンを含めることができますが、先頭または末尾にハイフンは使用しないでください。
18
AWS 上の MongoDB クイックスタートリファレンスデプロイガイド
ステップ 2. クイックスタートを起動する
パラメータラベル パラメータ名 デフォルト値 説明
Quick Start S3 KeyPrefix
QSS3KeyPrefix mongodb/latest/ クイックスタートアセットのコピーのフォルダをシミュレートするために使用するS3 キー名プレフィックス。クイックスタートを独自にカスタマイズまたは拡張する場合は、このプレフィックスを使用します。このプレフィックスには、数字、小文字、大文字、ハイフン、スラッシュを含めることができます。先頭または末尾にハイフン (-) を使用しないでください。
オプション 2: MongoDB を既存の VPC にデプロイする場合のパラメータ
テンプレートを表示
ネットワーク構成:
パラメータラベル パラメータ名 デフォルト値 説明
VPC VPC 入入入入 MongoDB クラスターをデプロイする既存の VPC の ID(vpc-0343606e など)。
Primary Node Subnet PrimaryNodeSubnet 入入入入 プライマリ MongoDBノードをデプロイするVPC 内の既存のサブネットの ID (subnet-a0246dcd など)。
Secondary0 NodeSubnet
Secondary0NodeSubnet 入入入入 レプリカセットの最初のセカンダリMongoDB ノードをデプロイする VPC内の既存のサブネットの ID。想定される配置の詳細については、「アーキテクチャ (p. 5)」を参照してください。
19
AWS 上の MongoDB クイックスタートリファレンスデプロイガイド
ステップ 2. クイックスタートを起動する
パラメータラベル パラメータ名 デフォルト値 説明
Secondary1 NodeSubnet
Secondary1NodeSubnet 入入入入 レプリカセットの2 番目のセカンダリMongoDB ノードをデプロイする VPC内の既存のサブネットの ID。想定される配置の詳細については、「アーキテクチャ (p. 5)」を参照してください。
Bastion Security GroupID
BastionSecurityGroupID 入入入入 既存の VPC 内の踏み台セキュリティグループの ID (sg-7f16e910など)。
セキュリティ設定:
パラメータラベル パラメータ名 デフォルト値 説明
Key Name KeyPairName 入入入入 パブリック/プライベートキーペアを指定することで、起動後にインスタンスに安全に接続できます。AWS アカウントを作成した際に、指定したリージョンで作成したキーペアです
MongoDB データベースの設定:
パラメータラベル パラメータ名 デフォルト値 説明
Cluster Replica SetCount
ClusterReplicaSetCount 1 レプリカセットメンバーの数。1 または 3を選択します。
Iops Iops 100 io1 ボリュームタイプを選択した場合の EBSボリュームの IOPS。それ以外の場合、この設定は無視されます。
MongoDB Version MongoDBVersion 3.4 デプロイされるMongoDB のバージョン。バージョン 3.2 または 3.4 を選択できます。
MongoDB AdminUsername
MongoDBAdminUsernameadmin MongoDB 管理者アカウントのユーザー名。
20
AWS 上の MongoDB クイックスタートリファレンスデプロイガイド
ステップ 2. クイックスタートを起動する
パラメータラベル パラメータ名 デフォルト値 説明
MongoDB AdminPassword
MongoDBAdminPassword入入入入 MongoDB データベースのパスワード。[A-Za-z0-9 _ @ -] で構成される 8 ~ 32 文字の文字列を入力できます。
Node Instance Type NodeInstanceType m4.large MongoDB ノードのEC2 インスタンスタイプ。
Replica Shard Index ReplicaShardIndex 0 このレプリカセットのシャードインデックス。シャードインデックスの詳細については、MongoDB のドキュメントを参照してください。
ボリュームサイズ VolumeSize 400 MongoDB ノードに接続する Amazon EBS(データ) ボリュームのサイズ (GiB 単位)。
ボリュームタイプ VolumeType gp2 MongoDB ノードに接続する Amazon EBS(データ) ボリュームのタイプ (gp2 またはio1)。
AWS クイックスタート設定:
パラメータラベル パラメータ名 デフォルト値 説明
Quick Start S3 BucketName
QSS3BucketName quickstart-reference クイックスタートのテンプレートとスクリプトがインストールされる S3 バケット。クイックスタートをカスタマイズまたは拡張して独自に使用する場合は、クイックスタートアセットのコピー用に作成した S3 バケットの名前をこのパラメータで指定します。バケット名には、数字、小文字、大文字、ハイフンを含めることができますが、先頭または末尾にハイフンは使用しないでください。
21
AWS 上の MongoDB クイックスタートリファレンスデプロイガイド
ステップ 2. クイックスタートを起動する
パラメータラベル パラメータ名 デフォルト値 説明
Quick Start S3 KeyPrefix
QSS3KeyPrefix mongodb/latest/ クイックスタートアセットのコピーのフォルダをシミュレートするために使用するS3 キー名プレフィックス。クイックスタートを独自にカスタマイズまたは拡張する場合は、このプレフィックスを使用します。このプレフィックスには、数字、小文字、大文字、ハイフン、スラッシュを含めることができます。先頭または末尾にハイフン (-) を使用しないでください。
5. [Options] ページでは、スタック内のリソースのタグ (キー値のペア) を指定し、詳細オプションを設定できます。終了したら、[Next] を選択します。
6. [Review] ページで、テンプレート設定を確認して確定します。[Capabilities] で、テンプレートによって IAM リソースが作成されることを確認するチェックボックスをオンにします。
7. [Create] を選択してスタックをデプロイします。8. スタックの状態をモニタリングします。図 6 に示しているように、ステータスが
[CREATE_COMPLETE] になると、MongoDB クラスターは準備完了です。
22
AWS 上の MongoDB クイックスタートリファレンスデプロイガイド
ステップ 3. MongoDB ノードに接続する
図 6: MongoDB クラスターの作成成功
ステップ 3. MongoDB ノードに接続します。AWS CloudFormation テンプレートが正常にスタックを作成している場合、すべての MongoDB ノードは、AWS アカウントにインストールされたソフトウェアを実行します。MongoDB ノードのいずれかに接続するには、SSH を使用して踏み台ホストインスタンスに接続します。Amazon EC2 コンソールで、インスタンスを選択してから [Connect] を選択します。
23
AWS 上の MongoDB クイックスタートリファレンスデプロイガイド
ステップ 3. MongoDB ノードに接続する
図 7: MongoDB ノードへの接続
SSH を使用して踏み台ホストインスタンスに接続すると、同様の方法で任意の MongoDB ノードに接続できます (ノードを選択し、[Connect] を選択すると、この SSH コマンドがあります)。
重要
MongoDB ノードに接続するには、プライベートキー (.pem) ファイルが必要です。プライベートキー (.pem) ファイルを踏み台ホストインスタンスにコピーします。たとえば、以下のようにします。
scp –i mykey.pem mykey.pem ec2-user@Bastion-public-ip:/home/ec2-user/mykey.pem
すべての MongoDB ノードが、IAM ロールで起動される点に注意してください。このロールによりAmazon DynamoDB テーブルの作成と消去、Amazon Simple Storage Service (Amazon S3) へのアクセスし、Amazon EC2 インスタンスの作成と消去などの様々なタスクの権限が付与されます。IAM コンソールを使用してポリシーを変更できます。IAM ロールの利点の詳細については、AWS ドキュメントの
24
AWS 上の MongoDB クイックスタートリファレンスデプロイガイド
ステップ 3. MongoDB ノードに接続する
「Amazon EC2 で実行されるアプリケーションにアクセス許可を委任する IAM ロールの使用」を参照してください。
25
AWS 上の MongoDB クイックスタートリファレンスデプロイガイド
MongoDB をテストするAWS CloudFormation テンプレートが正常に完了すると、システムによってプライマリレプリカセットの各ノードで mongod インスタンスが実行されます。システムを検証して設定を確認するには、次の手順を実行します。
1. SSH を使用し、クイックスタートテンプレートで作成されたプライマリインスタンスの 1 つにログインします。
2. 端末から次のコマンドを実行します。
mongouse admindb.auth("admin", "YourAdminPassword")rs.printReplicationInfo()rs.status()
3. mongo シェルがデフォルトの TCP ポート (27017) でローカルホストに接続されていること、さらにクイックスタートテンプレート用に指定した設定が出力に反映されていることを確認します。
MongoDB サーバーのテストの詳細については、MongoDB ドキュメントを参照してください。
26
AWS 上の MongoDB クイックスタートリファレンスデプロイガイド
データのバックアップバックアップのため、Amazon S3 を使用して MongoDB データのコピーを保持することが推奨されます。Amazon S3 では、複数の施設にまたがる複数のデバイスにデータオブジェクトが冗長的に格納されるので、多数のさまざまなクライアントやアプリケーションスレッドからデータオブジェクトに対する読み込み/書き込みの同時アクセスが可能になります。Amazon S3 に格納された冗長データを使用すれば、インスタンスまたはアプリケーションの障害から迅速かつ確実に復旧できます。
その他のバックアップ戦略については、MongoDB ドキュメントを参照してください。
27
AWS 上の MongoDB クイックスタートリファレンスデプロイガイド
IAM
セキュリティAWS クラウドにより実現されるスケーラブルで信頼性の高いプラットフォームは、お客様がアプリケーションやデータをすばやく安全にデプロイするのに役立ちます。
AWS インフラストラクチャでシステムを構築すると、お客様と AWS の間でセキュリティ上の責任が分担されます。この共有モデルにより、ホストオペレーティングシステムや仮想化レイヤーから、サービスが実行されている施設の物理的なセキュリティまで、コンポーネントが AWS によって運用、管理、制御されるため、運用上の負担を軽減させることができます。一方で、ゲストオペレーティングシステム (アップデートやセキュリティパッチを含む)、その他の関連するアプリケーション、ならびに AWS より提供されるセキュリティグループのファイアウォールの設定に関する責任と管理はお客様に任されます。AWS のセキュリティの詳細については、AWS セキュリティセンターを参照してください。
AWS Identity and Access Management (IAM)このソリューションは、最小限の特権アクセスを持つ IAM ロールを利用しています。プロビジョニングされたインスタンスで SSH キー、シークレットキー、またはアクセスキーを保存することは必要なく、また推奨されません。
OS セキュリティクラスターノードのルートユーザーには、デプロイプロセス中に指定された SSH キーでのみアクセスできます。AWS はこれらの SSH キーを保存しないため、SSH キーを紛失するとこれらのインスタンスにアクセスできなくなる場合があります。
オペレーティングシステムパッチは、お客様の責任において定期的に実行する必要があります。
ネットワークセキュリティこのソリューションのデフォルトのネットワークセキュリティ設定は、AWS のセキュリティベストプラクティスに従います。プロビジョンド MongoDB インスタンスは、プライベートサブネットにデプロイされ、以下の 3 つの方法でアクセスできます。
• SSH 端末を使用して踏み台ホストインスタンスに接続することで。• MongoDBServerAccessSecurityGroup セキュリティグループに含めることができる (セキュリティ
グループを使用して起動できる) AWS リソース (Amazon EC2 など) から。このセキュリティグループには、アプリケーションインスタンスを含めることもできます。
• 既知の IP ブロック CIDR からデータベースへのアクセスを許可する新しいルールをMongoDBServerSecurityGroup に含めることで。たとえば、データセンター内の VLAN10.50.10.0/24 からの VPN または AWS Direct Connect 経由の接続を許可するインバウンドルールを追加できます。
28
AWS 上の MongoDB クイックスタートリファレンスデプロイガイド
セキュリティグループ
図 8: セキュリティグループへのインバウンドルールの追加
セキュリティグループセキュリティグループは、1 つ以上のインスタンスのトラフィックを制御するファイアウォールとして機能します。インスタンスを起動するときに、1 つ以上のセキュリティグループとインスタンスを関連付けます。各セキュリティグループに対してルールを追加し、関連付けられたインスタンスに対するトラフィックを許可します。セキュリティグループのルールはいつでも変更できます。新しいルールは、セキュリティグループに関連付けられているインスタンスすべてに自動的に適用されます。
このクイックスタートは 3 つのセキュリティグループを作成します。
• MongoDBServerSecurityGroup は、踏み台ホストに、MongoDB インスタンスのポート 22 へのアクセスを許可するために使用します。
• MongoDBServersSecurityGroup は、データベースポートと SSH ポート上の mongodb インスタンス (プライマリインスタンスとレプリカインスタンス) 間の通信に使用します。
• MongoDBServerAccessSecurityGroup は、EC2 インスタンスに、データベースリスナー用に設定したポート上のデータベースへのアクセスを許可するために使用します。
クイックスタートのデプロイ後、これらのセキュリティグループの管理とルールの追加や削除は、お客様が行います。
データベースセキュリティこのソリューションは、指定した管理者ユーザー名 (デフォルトでは "admin") と管理者パスワードを使用して新しい root ユーザーを設定します。権限のないデータベースへのアクセスは許可されません。さらに、レプリカセットノード間には内部キーファイル認証が設定されます。
29
AWS 上の MongoDB クイックスタートリファレンスデプロイガイド
その他のリソースAWS サービス
• はじめに• AWS CloudFormation• Amazon EC2:
• ユーザーガイド• リージョンとアベイラビリティーゾーン• キーペア• インスタンスストア• よくある質問
• Amazon EBS:• 概要• ボリュームの種類
• AWS Identity and Access Management:• ユーザーガイド• IAM の利点
• VPC• AWS セキュリティセンター
MongoDB
• MongoDB on AWS: ガイドラインとベストプラクティス• MongoDB のドキュメント• MongoDB プロダクションノート• MongoDB のセキュリティチェックリスト• MongoDB Atlas のドキュメント• MongoDB アーキテクチャガイド• MongoDB のパフォーマンスベストプラクティス• MongoDB のマルチデータセンターデプロイ• MongoDB サーバーのテスト• MongoDB のバックアップ方法• mongodump のリファレンス
追加のクイックスタートリファレンスデプロイ
• AWS クイックスタートのホームページ• Amazon VPC クイックスタート• Linux 踏み台ホストクイックスタート
30
AWS 上の MongoDB クイックスタートリファレンスデプロイガイド
フィードバックの送信GitHub リポジトリでは、このクイックスタートのテンプレートとスクリプトのダウンロード、コメントの投稿、および他のユーザーとのカスタマイズ内容の共有ができます。
31
AWS 上の MongoDB クイックスタートリファレンスデプロイガイド
ドキュメントの改訂日付 変更 場所
2017 年 5 月 日 MongoDB をバージョン 3.4 にアップグレード。シャーディングの設定を削除。セキュリティグループを更新してデータベースセキュリティを追加。パラメータを更新。
テンプレート、「アーキテクチャ (p. 5)」、ガイド全体での変更
2016 年 8 月 テンプレートを更新して、デフォルトのインスタンスタイプを変更、アベイラビリティーゾーンのパラメータを追加。
テンプレートの更新、パラメータ一覧 (p. 14)の変更
2015 年 4 月 日 初版発行 –
注意このデプロイガイドは、情報提供のみを目的としています。本書は、発行時点における AWS の現行製品と慣行を表したものであり、それらは予告なく変更されることがあります。お客様は本文書の情報および AWS 製品の使用について独自に評価する責任を負うものとします。これらの情報は、明示または黙示を問わずいかなる保証も伴うことなく、「現状のまま」提供されるものです。本文書内のいかなるものも、AWS、その関係者、サプライヤ、またはライセンサーからの保証、表明、契約的なコミットメント、条件や確約を意味するものではありません。お客様に対する AWS の責任は AWS 契約によって規定されています。また、本文書は、AWS とお客様との間の契約に属するものではなく、また、当該契約が本文書によって修正されることもありません。
このガイドに付属のソフトウェアは Apache License バージョン 2.0 (以下 "License") の下で使用許諾されます。License に準拠する場合にのみ、このファイルを使用できます。License のコピーは、http://aws.amazon.com/apache2.0/ か、このファイルに添付されている "license" ファイルにあります。このコードは、明示的にも黙示的にも、いかなる種類の保証や条件もなく、"現状有姿" で配布されます。License の下での言語に基づくアクセス権限と制限については、License を参照してください。
32
