Upload
amazon-web-services-japan
View
10.305
Download
1
Embed Size (px)
DESCRIPTION
Citation preview
Amazon Virtual Private Cloud
Hands-on Training
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission
Amazon Data Services Japan K.K.
ハンズオンのシナリオ
システム構築を3つのフェーズに分けて実施頂きます。
最初はEC2インスタンスが1台という小規模なシステムで開始します。
従業員数の増加に伴って、システムリソース増強のため、システムを拡張していきます。
システム規模の拡大に伴い、システムの重要性も増してきますので、可用性も高めていきます。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission
VPC 10.0.0.0/16
Availability Zone - B
Availability Zone - A
Internet
ハンズオンで作成する構成
Anyone
Internet
Gateway
Public Subnet 10.0.0.0/24
Public Subnet 10.0.2.0/24
Private Subnet 10.0.1.0/24
Private Subnet 10.0.3.0/24
AMI
Amazon RDS
Amazon RDS
AZ-A-CRM1
10.0.0.7
EC2 Instance
EC2 Instance
AZ-B-CRM2
10.0.2.8
Phase 1
Availability Zone - A
Internet
ハンズオンで作成する構成 - Phase 1
Anyone
Internet
Gateway
Elastic IP
Public Subnet 10.0.0.0/24
Web Server
10.0.0.7
EC2 Instance
VPC 10.0.0.0/16
Availability Zone - B
VPCの作成
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission
VPCの作成
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission
“Get Started createing a VPC”を選択します。
VPCの作成
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission
“VPC with a Single Public Subnet Only”を選択します。
VPCの作成
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission
SubnetのAvailability Zoneの指定を行います。
VPCの作成
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission
“No Preference”を“ap-northeast-1a”に変更して”Create VPC”をクリックします。
VPCの作成
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission
VPCが作成されます。
VPCの作成
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission
左ペインの”Your VPCs”にてVPCが出来ているか確認できます。
VPCの作成
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission
SubnetメニューにてSubnetが1つ作成されていることを確認ください。
VPCの作成
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission
Subnetの“Route Table”をご確認ください。
Local IPのTargetが“local”、それ以外が”igw-e0348f89”になっています。
Internet Gatewayの名前はランダムに生成されます。
この例の場合、”igw-e0348f89“はInternet Gatewayです。
EC2の配置
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission
EC2の作成
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission
“Launch Instance”からEC2を起動します。
EC2の作成
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission
“Classic Wizard”を選択 します。
EC2の作成
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission
「Community AMIs」タブを選択し、Viewingは「All Images」を選択。
Bitnami-SugarCRMのAMI “ami-3cbf153d”を検索して選択。
EC2の作成
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission
EC2を配置するSubnetを選択します。
“VPC”タブを選択し、配置するSubnetを選択します。Instance Typeは”Small”を選択します。
EC2の作成
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission
ローカルのIPアドレスを指定します。
指定しない場合は自動的にIPアドレスが割り当てられます。
EC2の作成
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission
管理を分かりやすくする為、タグを付けます。
この例では”AZ-A-CRM1”とします。
EC2の作成
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission
Key Pairは既存のものを使用します。
もし無い場合は“Create a new Key Pair”を選択して作成してください。
EC2の作成
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission
VPC内で使用できるSecurity Groupを作成します。
22(SSH)と80(HTTP)のポートをアクセス可能に設定します。
EC2の作成
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission
設定内容を確認し、Launchします。
EC2の作成
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission
下記リンクからEC2 Instance情報を確認できます。
ELASTIC IPの割当て
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission
Elastic IPの割当て
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission
“Allocate New Address”からウィザードを開始します。
Elastic IPの割当て
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission
“VPC”を選択し、“Yes, Allocate”をクリックすると、Elastic IPが割当てられます。
Elastic IPの割当て
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission
割り当てるElastic IPを選択し、”Associate Address”を選択します。
Elastic IPの割当て
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission
プルダウンメニューからElastic IPを割り当てるEC2インスタンスを選択します。
Elastic IPの割当て
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission
Instance画面にてElastic IPが割当てられていることを確認できます。
Elastic IPでのアクセス
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission
Elastic IPを使って、SSHでログインが出来るか確認します。
ログイン名は”bitnami”です。
Elastic IPでのアクセス
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission
ブラウザからElastic IPでアクセスしてみます。
アクセスできたら”Access my application”をクリックします。
SugarCRMの設定
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission
ユーザ名「user」、パスワード「 bitnami」でログインします。
“Your Information”ページまで[Next]をクリックして進みます。
SugarCRMの設定
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission
First Name, Last Name, Email Addressを入力し次に進みます。
SugarCRMの設定
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission
タイムゾーンを”Asia/Tokyo(GMT+9)”に設定します。
SugarCRMの設定
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission
“Next >”で次に進みます。
SugarCRMの設定
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission
“Finish”で設定を完了します。
SugarCRMの設定
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission
設定したユーザ名を確認します。必要に応じてパスワードを変更ください。
Availability Zone - A
Internet
ハンズオンで作成する構成 - Phase 1
Anyone
Internet
Gateway
Elastic IP
Public Subnet 10.0.0.0/24
AZ-A-CRM1
10.0.0.7
EC2 Instance
VPC 10.0.0.0/16
Availability Zone - B
Amazon Web Services:セキュリティプロセスの概要
物理的セキュリティ AWS は大規模データセンターの設計、構築、運用において、長年の経験を有しています。この経験は、AWS プラットフォームとインフラストラクチャに活かされています。AWS のデータセンターは、外部からはそれとはわからないようになっています。ビデオ監視カメラ、最新鋭の侵入検出システム、その他エレクトロニクスを使った手段を用いて、専門のセキュリティスタッフが、建物の入口とその周辺両方において、物理的アクセスを厳密に管理しています。権限を付与されたスタッフが2要素認証を最低2回用いて、データセンターのフロアにアクセスします。すべての訪問者と契約業者は身分証明書を提示して署名後に入場を許可され、権限を有するスタッフが常に付き添いを行います。
AWS は、必要とする正規の手続きを有する従業員や業者に対してのみ特権を与え、データセンターへのアクセスや情報を提供しています。従業員がこれらの特権を必要とする作業を完了したら、たとえかれらが引き続き Amazon または Amazon Web Services の従業員であったとしても、そのアクセス権は速やかに取り消されます。AWS 従業員によるデータセンターへのすべての物理的アクセスは記録され、定期的に監査されます。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission
Amazon Web Services:セキュリティプロセスの概要
環境的セーフガード Amazon のデータセンターは最新式で、革新的な構造的かつ工学的アプローチを採用しています。
火災検出と鎮火
自動火災検出および鎮火装置が取り付けられ、リスクを軽減しています。この火災検出システムは、全データセンター環境、機械電気インフラ空間、冷却室および発電機設備室において、煙検出センサーを使用しています。これらのエリアは、充水型、二重連結予作動式、またはガス式スプリンクラーシステムによって守られています。
電力
データセンターの電力システムは、完全に冗長性をもち、運用に影響を与えることなく管理が可能となっています。1日24時間体制で、年中無休で稼動しています。施設内で重要かつ不可欠な負荷に対応するために、電力障害時には無停電電源装置(UPS)がパックアップ電力を供給しています。データセンターは、発電機を使用して施設全体のバックアップ電力を供給しています。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission
Amazon Web Services:セキュリティプロセスの概要
天候と温度
サーバーその他のハードウェアの運用温度を一定に保つために、天候コントロールが必要です。これによって過熱を防ぎ、サーバー停止の可能性を減らすことができます。データセンターは、大気の状態を最適なレベルに保つように設定されています。作業員とシステムが、温度と湿度を適切なレベルになるよう監視してコントロールしています。
管理
AWS は、電気、機械、生命サポートシステムおよび設備をモニタリングし、問題が速やかに特定されるようにしています。予防的メンテナンスが実行され、設備を継続的な運用性が保たれています。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission
Phase 2
Availability Zone - A
Internet
ハンズオンで作成する構成 - Phase 2
Anyone
Internet
Gateway
Elastic IP
Public Subnet 10.0.0.0/24
Availability Zone - B
Private Subnet 10.0.1.0/24
Private Subnet 10.0.3.0/24
Amazon RDS
AZ-A-CRM1
10.0.0.7 AMI
EC2 Instance
VPC 10.0.0.0/16
SUBNETの追加(DB用)
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission
VPCのページ、Subnetメニューから”Create Subnet”にてSubnetを追加作成します。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission
DB用に2つのSubnetを作成します。
それぞれAvailability ZoneがA / Bに属する様に作成する必要があります。
下記の様に設定して”Yes, Create”をクリックしてください。
for Availability Zone - A for Availability Zone - B
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission
合計3つのSubnetが出来ていることを確認ください。
DB Subnet Groupの作成
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission
RDSのページに移動して、データベース用のDB Subnet Groupを定義します。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission
まずはAvailability Zone-AのSubnetをリストに追加します。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission
さらにAvailability Zone-BのSubnetをリストに追加します。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission
これでDB Subnet Groupが定義されました。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission
次にRDSを作成します。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission
今回はMySQLを選択します。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission
下記の様に設定します。今回はMulti-AZは”No”とします。
Multi-AZは“No”とします
Passwordは8文字以上で設定
※ 後程使用するので、メモしておくこと
Master User Name: root
Master User Password: 任意の8文字以上
ユーザ名は”root“とします
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission
下記の様に設定します。
“bitnami_sugarcrm”とします。
VPCを選択。 先ほど作成したDB Subnet Groupを選択。
AZはAを選択。 今回は特に選択しない。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission
今回は下記の様に設定します。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission
最後の設定内容を確認して”Launch DB Instance”をクリックします。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission
DB作成に数分かかります。
下記のリンクから、RDSが作成されているか確認します。
データベースのEndpointを確認する
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission
RDSのステータスが”available”になったら、Endpointを確認します。
DB作成に数分かかります。
DB Security GroupにEC2を追加
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission
RDSに割当てられているDB Security GroupにAPサーバのSecurity Groupを追加します。
これによって、APサーバからRDSにアクセス可能になります。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission
DB Security GroupにEC2のSecurity Groupが追加されていることを確認できます。
MYSQLのデータ移行
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission
データダンプの取得
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission
まず、データベースのダンプを取得します。
現在EC2上で稼働しているMySQLからデータをダンプします。
コマンドは次のページに記載してあります。なお、OSユーザは”bitnami”です。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission
データのダンプを取得
$ cd
$ mkdir backups
$ mysqldump –u root –pbitnami bitnami_sugarcrm > backups/backup.sql
ダンプファイルの確認
$ cd backups
$ ls -al
データのダンプには下記コマンドを参考にしてください。
データのインポート
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission
先ほどダンプしたデータをRDSへインポートします。
SSHの端末から下記コマンドを実行します。[パスワード]は先ほどRDSに設定したものを指定します。
$ mysql –u root –p[パスワード] --database=bitnami_sugarcrm --host=[RDSのEndpoint]
< ./backups/backup.sql
例.
$ mysql –u root –ppasswordcrm --database=bitnami_sugarcrm
--host=awsworkshop1.cvsyptdwlwhh.ap-northeast-1.rds.amazonaws.com < ./backup/backup.sql
※パスワードは”passwordcrm”
APの接続先をRDSへ切替
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission
DBの接続先もRDSのEndpointへ変更します。
$ cd /opt/bitnami/apps/sugarcrm/htdocs
$ sudo vi config.php
array (
'db_host_name' => 'localhost',
'db_host_name' => 'awsworkshop1.cvsyptdwlwhh.ap-northeast-1.rds.amazonaws.com',
'db_user_name' => 'root',
'db_password' => 'bitnami',
'db_password' => 'passwordmatsu',
'db_name' => 'bitnami_sugarcrm',
'db_type' => 'mysql',
),
[ESC]キーを押し、“:wq”で書き込み完了。
変更
変更
アクセス可能か確認
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission
設定変更後、Webにログインできるか確認します。
EC2のAMI化
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission
ここでAPサーバのAMIを作成しておきます。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission
任意の名前を付けて作成します。No Rebootオプションはチェックしないでください。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission
AMI作成に数分かかります。
APサーバが再起動してAMIが作成されます。
Availability Zone - A
Internet
ハンズオンで作成する構成 - Phase 2
Anyone
Internet
Gateway
Elastic IP
Public Subnet 10.0.0.0/24
Availability Zone - B
Private Subnet 10.0.1.0/24
Private Subnet 10.0.3.0/24
Amazon RDS
AZ-A-CRM1
10.0.0.7 AMI
EC2 Instance
VPC 10.0.0.0/16
Amazon Web Services:セキュリティプロセスの概要
事業継続性管理 Amazon のインフラストラクチャは高いレベルの可用性を備え、回復機能を持つ IT アーキテクチャを配備する機能を顧客に提供します。AWS のシステムは、顧客への影響を最小限に抑えながらシステムまたはハードウェア障害に耐えられるように設計されています。また、AWS におけるデータセンターの事業の継続性は、Amazon Infrastructure Group の指示に従って管理されます。
可用性
データセンターは、世界各地にクラスターの状態で構築されています。すべてのデータセンターはオンラインで顧客にサービスを提供しており、「コールド」の状態のデータセンターは存在しません。障害時には、自動プロセスが、顧客データを影響を受けるエリアから移動します。重要なアプリケーションは N+1 設定で配備されます。そのためデータセンターの障害時でも、トラフィックが残りのサイトに負荷を分散させるのに十分な能力が存在することになります。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission
Amazon Web Services:セキュリティプロセスの概要
AWS は、各リージョン内の複数のアベイラビリティゾーンだけでなく、複数の地理的リージョン内で、インスタンスを配置してデータを保管する柔軟性を顧客に提供します。各アベイラビリティゾーンは、独立した障害ゾーンとして設計されています。つまり、アベイラビリティゾーンは、一般的な都市地域内で物理的に分離されており、洪水の影響が及ばないような場所にあります(洪水地域の分類はリージョンによって異なります)。個別の無停電電源装置(UPS)やオンサイトのバックアップ生成施設に加え、シングルポイントの障害の可能性を減らすために、別々の電力供給施設から異なる配管網を経由して、個別に電力供給を行っています。これらはすべて、冗長的に、複数の Tier-1 プロバイダに接続されています。
顧客は AWS の使用量を計画しながら、複数のリージョンやアベイラビリティゾーンを利用する必要があります。複数のアベイラビリティゾーンにアプリケーションを配信することによって、自然災害やシステム障害など、ほとんどの障害モードに対して、その可用性を保つことができます。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission
Amazon Web Services:セキュリティプロセスの概要
事故への対応
Amazon の事故管理チームは、業界標準の診断手順を採用しており、事業に影響を与えるイベント時に解決へと導きます。作業員スタッフが、24 時間 365 日体制で事故を検出し、影響と解決方法を管理します。
役員による全社的検査
Amazon の内部監査グループは、最近になって AWS サービスの復元プランを検査しました。このプランは、上級役員管理チームと取締役の監査委員会のメンバーによっても定期的に検査されています。
2011 年4月 21 日、米国東部で EC2 のサービス停止が発生し、顧客が影響を受けました。サービス停止の詳細については、「Summary of the Amazon EC2 and Amazon RDS Service Disruption in the US East Region」(http://aws.amazon.com/message/65648/)をご覧ください。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission
Amazon Web Services:セキュリティプロセスの概要
バックアップ Amazon S3、Amazon SimpleDB、または Amazon Elastic Block Store(EBS)に保存されるデータは、これらのサービスの通常操作の一部として、複数の物理的ロケーションで冗長的に保存されます。追加費用はかかりません。Amazon S3 および Amazon SimpleDB では、最初の書き込み時に複数のデータセンターで複数回オブジェクトを保存し、デバイスが利用不能になる際、またはビット崩壊時にさらにレプリケーションを行うことによって、オブジェクトの堅牢性を実現しています。Amazon EBS のレプリケーションは、同一のアベイラビリティゾーン内に保存され、複数のゾーンにまたがって保存されることはありません。そのため、長期的なデータ堅牢性のために、Amazon S3 の定期的なスナップショットを作成することが強く推奨されています。EBS を使用して複雑なトランザクションデータベースを構築した顧客は、配信されるトランザクションやログがチェックポイントでチェックされるように、Amazon S3 に対するバックアップがデータベース管理システム経由で実行されるようにすることが推奨されています。Amazon EC2 で実行中のインスタンスに添付された仮想ディスク上で管理されるデータのバックアップを、AWS が実行することはありません。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission
Phase 3
Availability Zone - A
Internet
ハンズオンで作成する構成 - Phase 3
Anyone
Internet
Gateway
Elastic IP
Public Subnet 10.0.0.0/24
Public Subnet 10.0.2.0/24
Availability Zone - B
Private Subnet 10.0.1.0/24
Private Subnet 10.0.3.0/24
Amazon RDS
AZ-A-CRM1
10.0.0.7 AMI
EC2 Instance
AZ-B-CRM2
10.0.1.8
EC2 Instance
VPC 10.0.0.0/16
EC2インスタンスの追加とELBの配置
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission
AP用Subnetの追加
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission
VPC-SubnetsページでSubnetを追加します。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission
下記の設定にてAP用のSubnetを追加します。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission
合計4つのSubnetが出来ていることを確認ください。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission
今作成したSubnetのRoute Tableを変更します。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission
TableにInternet Gatewayが含まれていることを確認し”Yes, Replace”をクリックします。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission
Route Tableが変更されていることを確認します。
AMIからのAPサーバ追加
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission
先ほど作成したAMIを使ってAPサーバを追加します。
AMIを選んで”Launch”を選択します。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission
VPC内の10.0.2.0/24のSubnetを選択します。Instance Typeは”Small”を選択します。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission
ローカルのIPアドレスを指定します。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission
管理を分かりやすくする為、タグを付けます。
この例では”AZ-B-CRM1”とします。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission
Key Pairは既存のものを使用します。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission
Security Groupも既存のものを指定します。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission
設定内容を確認し、Launchします。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission
EC2 Instanceが起動しているか確認します。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission
EC2 Instanceが2つ起動しています。
“Show/Hide”にて表示項目を変更できます。
Zoneの表示
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission
Availability Zoneを確認しやすくするため、Zone表示を追加します。
ELBの作成
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission
2台のAPサーバに処理を振り分ける為、ELBを追加します。
Availability Zoneを跨いだ振り分けが可能です。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission
VPC内にELBを作成します。内外ともにHTTP(80番)とします。
チェックしない。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission
設定は変更せず、”Continue”をクリックします。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission
ELBの属するSubnetを選択します。
APサーバのSubnetである”10.0.0.0/24”と”10.0.2.0/24”を選択します。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission
ELBのSecurity Groupを作成します。 HTTP(80番) を許可します。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission
ELB配下に置くサーバを選択します。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission
設定を確認し、”Create”をクリックします。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission
ELBが作成されました。下記のリンクから確認できます。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission
ELBの配下に2台のEC2が確認できます。しばらくするとStatusが変わります。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission
Statusが”In Service”になると、振り分けされるようになります。
ELBのEndpointの確認
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission
ELBのPropertyの”Description”タブにてELBのEndpointが確認できます。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission
ELBのEndpointにアクセスできることを確認します。
SECURITY GROUPの設定変更
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission
Security Groupの設定変更
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission
よりセキュリティを高める為に、Security Groupの設定を変更します。
VPCの設定タブにて行います。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission
APサーバの80(HTTP)のアクセス許可をDeleteします。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission
APサーバの80(HTTP)のアクセス許可が無くなりました。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission
次にAPサーバのSecurity GroupにELBのSecurity GroupをSourceとして追加設定します。
ELBのSecurity Group IDをコピーします。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission
Portを80(HTTP)、
Sourceに”ELB Security Group ID”
を設定します。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission
ブラウザからELB経由でアクセスできるか確認します。
Availability Zone - A
Internet
ハンズオンで作成する構成 - Phase 3
Anyone
Internet
Gateway
Elastic IP
Public Subnet 10.0.0.0/24
Public Subnet 10.0.2.0/24
Availability Zone - B
Private Subnet 10.0.1.0/24
Private Subnet 10.0.3.0/24
Amazon RDS
AZ-A-CRM1
10.0.0.7 AMI
EC2 Instance
AZ-B-CRM2
10.0.1.8
EC2 Instance
VPC 10.0.0.0/16
Amazon Web Services:セキュリティプロセスの概要
ストレージデバイスの廃棄 AWS の処理手順には、ストレージデバイスが製品寿命に達した場合に、顧客データが権限のない人々に流出しないようにする廃棄プロセスが含まれています。AWS は、DoD 5220.22-M(「National Industrial Security Program Operating Manual(国立産業セキュリティプログラム作業マニュアル)」)または NIST 800-88(「Guidelines for Media Sanitization(メディア衛生のためのガイドライン)」)に詳細が記載されている技術を用いて、廃棄プロセスの一環としてデータを破棄します。これらの手順を用いているハードウェアデバイスが廃棄できない場合、デバイスは業界標準の慣行に従って、消磁するか、物理的に破壊されます。
Amazon アカウントセキュリティ機能 AWS は、顧客が自身の ID を確認し、AWS アカウントに安全にアクセスできるよう様々な方法を提供しています。AWS によってサポートされる証明書の完全なリストは、[Your Account] の下にある [Security Credentials] ページにあります。さらに、AWS には、AWS Identity and Access Management(AWS IAM)、Multi-Factor Authentication(MFA)、キーローテーションなど、追加のセキュリティオプションが用意されており、AWS アカウントの保護を強化し、さらに細かくアクセスをコントロールできます。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission
Amazon Web Services:セキュリティプロセスの概要
Amazon Elastic Compute Cloud(Amazon EC2)のセキュリティ Amazon EC2 のセキュリティは、ホストシステムのオペレーティングシステム(OS)、仮想インスタンス オペレーティング システム、ゲスト OS、ファイヤウォール、署名された API 呼び出しなど、複数のレベルで提供されます。これら各アイテムは、他の機能に追加される形で構築されます。この目的は、Amazon EC2 内に含まれるデータが、未許可のシステムまたはユーザーによって傍受されないようにすると同時に、顧客によるシステム設定の柔軟性を犠牲にすることなく、Amazon EC2 インスタンスそのものが、できるだけ安全であるようにすることです。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission
Amazon Web Services:セキュリティプロセスの概要
Amazon Simple Storage Service(Amazon S3)のセキュリティ 共有されたストレージシステムにおいて、よく見られるセキュリティに関する質問は、未許可のユーザーが意図的に、または誤って情報にアクセスすることができるかということです。AWS 内に格納されている情報をどのように、いつ、誰に対して開示するかを決定する柔軟性を顧客が有することができるようにするために、Amazon S3 API は、バケットおよびオブジェクトの両方のレベルのアクセスコントロールを提供します。これらは、デフォルトでは、バケットおよび/またはオブジェクトの作成者によって権限を付与されたアクセスのみを許可するよう設定されています。顧客が自身のデータに対して匿名のアクセス権を付与しない限り、ユーザー(AWS アカウント、または AWS IAM で作成されたユーザーのいずれか)がデータにアクセスできるようになるための最初のステップは、ユーザーの秘密鍵を使用して、リクエストの HMAC-SHA1 署名を利用する認証を行うことです。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission
Amazon Web Services:セキュリティプロセスの概要
認証されたユーザーは、アクセス コントロール リスト(ACL)でオブジェクトレベルの読み取り権限を付与された場合に限り、オブジェクトの読み取りを行うことができます。認証されたユーザーは、バケットレベルで、または AWS IAM でユーザーに付与された権限を通じて、ACL で読み取りと書き込み権限が付与された場合に限り、キーをリストアップし、バケットのオブジェクトを作成または上書きすることができます。バケットおよびオブジェクトレベル ACL は独立しています。オブジェクトはそのバケットから ACL を継承しません。バケットまたはオブジェクト ACL の読み取りまたは変更に対する許可は、デフォルトで作成者のみのアクセス権が設定されている ACL によってコントロールされます。そのため、顧客は自身のデータに誰がアクセスするのかについて完全なコントロールを維持します。AWS アカウント ID または E メールまたは DevPay 商品 ID を使用して、顧客は自身の Amazon S3 データに対するアクセス権を、他の AWS アカウントに付与できます。また、自身の Amazon S3 データに対するアクセス権を、全 AWS アカウントまたは(匿名アクセスを有効にしている)すべての人に付与することもできます。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission
Amazon Web Services:セキュリティプロセスの概要
Amazon Relational Database Service(Amazon RDS)のセキュリティ
Amazon RDS を使用すれば、リレーショナルデータベースのインスタンスを素早く作成し、関連するコンピュータリソースやストレージ能力を柔軟に拡張して、アプリケーションの需要に適合させることができます。Amazon RDS は、バックアップおよびフェールオーバー処理を実行し、データベースソフトウェアを維持管理することにより、ユーザーに代わってデータベースインスタンスを管理します。
Amazon RDS DB インスタンスへのアクセスは、Amazon EC2 セキュリティグループと同種のデータベース セキュリティ グループ経由で、顧客により管理されます。データ セキュリティ グループはデフォルトで「すべて拒否」アクセスモードに設定されており、顧客はネットワークへのアクセスを個々に承認する必要があります。これを行う方法は2つあり、ネットワーク IP 幅を許可するか、既存の Amazon EC2 セキュリティグループを許可します。データベースセキュリティグループは、データベース サーバー ポートへのアクセスのみを許可します(他はすべてブロックされます)。また Amazon RDS DB インスタンスを再起動せずに更新できるので、顧客は自身のデータベースへのアクセスを、シームレスに制御できます。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission
Amazon Web Services:セキュリティプロセスの概要
AWS IAM を使用すると、顧客が自身の RDS DB インスタンスへのアクセスをさらに細かくコントロールできます。例えば、AWS IAM により、どの RDS 操作に対して、各 AWS IAM ユーザーが呼び出し権限を持つようにするかをコントロールできます。
Amazon RDS は、各 DB インスタンスに対して SSL 証明書を生成します。これにより、顧客は自身の DB インスタンス接続を暗号化し、セキュリティを強化できます。
Amazon RDS DB インスタンスの削除 API(DeleteDBInstance)が実行されると、DB インスタンスには削除のマークがつきます。「削除中」ステータスが消えると、そのインスタンスは削除されたことを意味します。この時点でインスタンスにアクセスできなくなります。また、最終スナップショットのコピーを作成しなかった場合は、復元できません。また、ツールや API でリストアップされることもなくなります。
Amazon Web Services:セキュリティプロセスの概要 (ホワイトペーパー)
<http://d36cz9buwru1tt.cloudfront.net/jp/AWS%20Security%20Whitepaper%20-%20May%202011.pdf>
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission
Appendix
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission
Availability Zone - A
Internet
ハンズオンで作成する構成 – Multi AZ
Anyone
Internet
Gateway
Elastic IP
Public Subnet 10.0.0.0/24
Public Subnet 10.0.2.0/24
Availability Zone - B
Private Subnet 10.0.1.0/24
Private Subnet 10.0.3.0/24
Amazon RDS
AZ-A-CRM1
10.0.0.7
Amazon RDS
AMI
EC2 Instance
AZ-B-CRM2
10.0.2.8
EC2 Instance
VPC 10.0.0.0/16
RDSのMULTI-AZ化
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission
RDSのMulti-AZ化
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission
RDSのタブから変更対象のRDSを選択し”Modity”をクリックします。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission
“Multi-AZ Deployment”をYesに変更し、一番下の”Apply Immediately”にチェックをします。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission
時間かかる
RDSのStatusがmodifyingとなりますので、しばらく待ちます。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission
“Multi-AZ Deployment”がYesになっていることが確認できます。
Primary AZの変更(強制フェイルオーバー)
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission
現在のZoneが”ap-northeast-1a”となっていることを確認します。
次に”Reboot”をクリックします。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission
“Reboot with failover?”にチェックを入れ、”Yes, Reboot”をクリックします。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission
Statusが”rebooting”となるのでしばらく待ちます。
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission
Zone切替表示の反映まで時間かかる
設定の表示に少し時間がかかりますが、Zoneが変わっているのが確認できます。
VPC 10.0.0.0/16
Availability Zone - B
Availability Zone - A
Internet
ハンズオンで作成する構成
Anyone
Internet
Gateway
Public Subnet 10.0.0.0/24
Public Subnet 10.0.2.0/24
Private Subnet 10.0.1.0/24
Private Subnet 10.0.3.0/24
AMI
Amazon RDS
Amazon RDS
AZ-A-CRM1
10.0.0.7
EC2 Instance
EC2 Instance
AZ-B-CRM2
10.0.2.8
環境を削除ください!!
ELBの削除
EC2(Elastic IP)の削除
RDSの削除
RDS DB Subnet Groupの削除
Subnetの削除
VPCの削除
AMIの削除
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission
ご受講、ありがとうございました
©2011-2012 Amazon Web Services May not be
reused or redistributed without written permission