AWS WAF を使いこなそう Security JAWS #13
Le téléchargement de votre SlideShare est en cours.
×
Consultez-les par la suite
Suggestions
Plus De Contenu Connexe
Diaporamas pour vous (20)
Similaire à Jaws ug-chiba-vol7 forgevision-kitahara (20)
Plus par Masato Kitahara (8)
Plus récents (20)
Jaws ug-chiba-vol7 forgevision-kitahara
- 1. AWSにおけるストレージサービスの おさらいとFSx for Windowsについて フォージビジョン株式会社 https://www.forgevision.com/ JAWS-UG 千葉支部 Vol.7~千葉からAWSをはじめよう~ 2019.11.23.Sat
- 2. 自己紹介 氏名:北原 雅人(きたはら まさと) 保有資格: - AWS認定ソリューションアーキテクト Pro - ITIL、セールススキル、等々 住んでいるところ: - 東京都葛飾区金町(千葉も埼玉もとなり!) 好きなAWSサービス: - Amazon FSx for Windowsファイルサーバ AWS歴:2年弱
- 3. ~アジェンダ~ #jawsug 1.AWSのストレージについておさらい 2.AWSにおけるWindowsの歴史 3.Amazon FSx for Windows について 4.動作検証 5.アップデート情報と最後に
- 4. 1.AWSのストレージについておさらい #jawsug
- 5. AWSにおける各種ストレージサービス #jawsug AWSにおけるクラウドストレージサービスは 様々なワークロードに対応しており、以下の 種類に分かれております。 ・Amazon EBS ・Amazon S3 ・Amazon Glacier及びGlacier Deep Archive ・AWS Storage Gateway ・Amazon EFS ・Amazon FSx for Windowsファイルサーバ Amazon FSx for Lustre
- 6. ◆Amazon EBS #jawsug 特徴: ・AWSにおけるブロックストレージサービス ・AmazonEC2インスタンスにアタッチして使用 ・マネジメントコンソール、CLI、SDKから操作 ・SSDとHDDのボリュームタイプが選択可能 ・スナップショットの作成、増分はS3に保存が出来る ・保存データ、インスタンス間で移動するデータは暗号化 ・1つのEC2インスタンスに複数のボリュームがアタッチ可能 ※ただし、複数のEC2インスタンスにはアタッチ出来ない
- 7. ◆Amazon S3 #jawsug 特徴: ・AWSの最初のサービスとしてリリース! ・AWSにおけるオブジェクトストレージ ・インターネットからアクセス可能 ・サイズ無制限に格納可能 ・3つ以上のデータセンターにレプリケートされており99.999999999% (イレブンナイン)の耐久性を誇る ・幅広いストレージクラスとライフサイクル管理 ・静的コンテンツを置く事でWebサーバとしても利用可能
- 8. ◆Amazon Glacier #jawsug 特徴: ・データのアーカイブ用途で使うS3の親戚(ストレージクラス) ・こちらも99.999999999%の耐久性となるよう設計 ・S3同様に保存データ容量は無制限 ・セキュリティ標準やコンプライアンス認証をサポート ・S3側で指定期間を過ぎたデータを自動的にGlacierへ移動させる 連携(ライフサイクル機能)が提供されている ・S3(標準)と比較しておよそ1/5の料金 ※ただしリアルタイムなデータアクセスは行えない、データの取り出し には数時間規模の時間を要する
- 9. ◆Amazon Glacier Deep Archive #jawsug 特徴: ・re:Invent2018で発表! ・データのアーカイブ用途で使うS3の親戚Glacierの更に安価版 ・こちらも99.999999999%の耐久性となるよう設計 ・保存データ容量は無制限 ・Amazon S3と比較しておよそ1/10の料金 ※最小保持期間が180日とあり、それ以下でオブジェクトを削除しても 180日分の課金がされる ※データの取り出しは更に遅く、標準取り出しで12時間、一括取り出 しでは48時間掛かる
- 10. ◆AWS Storage Gateway #jawsug 特徴: ・オンプレからAWSクラウドストレージを利用可能にするハイブリッ ドストレージサービス ・NFSやiSCSIなどの標準ストレージプロトコルに対応し、以下3つの ゲートウェイの種類で動作する ①ファイルゲートウェイ ⇒ファイルストレージとしての接続 ②テープゲートウェイ ⇒仮想テープライブラリとしての接続 ③ボリュームゲートウェイ ⇒ブロックストレージとしての接続
- 11. ◆Amazon EFS #jawsug 特徴: ・フルマネージド型サービスのLinuxベースのファイルシステム ・EBSで悩みであった一つのボリュームを別々のEC2で共有可能 ・ファイルの追加削除に合わせて自動的にストレージを拡張縮小 ・マウントターゲット、ストレージの構成はAWSが設計しているので 単一障害点がない ・格納したファイルは自動的にレプリケート ・ライフサイクル管理機能 ※価格が1GBベースでS3:2円、EBS:10円、EFS:30円と割高
- 12. ◆Amazon FSx for Windowsファイルサーバ #jawsug 特徴: ・re:Invent2018で発表! ・LinuxユーザはEFSを使えば良かったが、Windowsユーザは利用出来 ず、待望のSMBプロトコルに対応したWindowsユーザ向けのフルマ ネージド型ファイルサーバとして爆誕! ・今回のメインテーマのサービスです。細かい話はあとでします!
- 13. ◆Amazon FSx for Lustre #jawsug 特徴: ・re:Invent2018で発表(日本ではあまり。。。) ・こちらも完全マネージド型のファイルシステムで、1 秒間に最大数百 ギガバイトのスループット、百万単位の IOPS、ミリ秒未満のレイテン シーで大量のデータセットを処理できる Lustre ファイルシステム ・Amazon S3 とシームレスに統合
- 14. 2.AWSにおけるWindowsの歴史 #jawsug
- 15. クラウドジャーニーとWindowsのニーズ #jawsug
- 16. クラウドジャーニーとWindowsのニーズ #jawsug
- 17. 3.Amazon FSx for Windows ファイルサーバについて #jawsug
- 18. re:Invent2018にて、Andy Jassyのキーノートで発表されました #jawsug
- 19. Amazon FSx for Windows File Server 誕生背景 #jawsug 既存のストレージシステムとして、オブジェクトストレージには「Amazon S3」、「Amazon Glacier」があり、 ブロックストレージには「Amazon EBS」があり、ファイルストレージには「Amazon EFS」と大きく分けて4つ のストレージがあった。そして、新しく「Amazon FSx for Windows File Server」と「Amazon FSx for Lustre」の2つが発表された。 Andy Jassyがキーノートで誕生背景について語っており、『クラウドにおけるワークロードの多くは「Linux」 ベースだが、それでも「Windows」が重要である事は十分に認識している。 既存のファイルストレージであるEFSはWindowsインスタンスをサポートしておらず、 各所で不満の声が多く出ていた事に対して、対策を講じようと検討していた。 元々はEFSの一部の機能として動作させるよう検討していたが、ユーザは フルマネージドで完全に互換性がある全く別のWindowsファイルシステムを求めており、 その声に応えるべく、今回の「Amazon FSx for Windows File Server」を発表する事と なった』
- 20. Amazon FSx for Windows File Server 概要#jawsug 完全マネージド型のWindowsファイルサーバー Windowsベースのアプリケーションが依存する互換性と機能を備えた共有ファイルストレージ ・SMB 2.0 - 3.1.1までサポートしているため、Windows 7、Windows Server 2008以降のWindowsに対応(Linuxも可) ・ストレージ最大64TB(Microsoft DFS Namespaceを使う事で最大300PBまで拡張可)、スループット最大2,048 MB/秒 ・Active Directoryによるフォルダ、ファイルのアクセス制御が可能 ・すべてのデータは保存時および転送中に自動的に暗号化 ・すべてのデータはアベイラリティゾーン内で冗長化されている ・データのバックアップは増分バックアップにて日次での取得が可能 ・現在対応しているリージョンは5つ(バージニア、オハイオ、オレゴン、アイルランド、東京) ・サービスを構築する前提として、AWS Managed Microsoft ADが必要 ・世界的なセキュリティ標準であるPCI-DSS※1およびISO※2、HIPAA※3に準拠 ※1:PCI-DSS:クレジットカード業界の情報セキュリティ基準 ※2:ISO:国際標準化機構 ※3:HIPAA:米国における医療保険の相互運用性と説明責任に関する法令
- 21. Amazon FSx for Windows File Server 料金体系① #jawsug Amazon FSx for Windows File Serverを利用する場合、以下の3点で従量課金される。 ①ストレージ容量:ファイルシステムにプロビジョニングされた1ヵ月のストレージの平均容量の支払い ②スループットキャパシティ:ファイルシステムにプロビジョニングされた1ヵ月の平均スループットキャパシティの支払い ③バックアップ容量:バックアップは増分バックアップとなり、変更分のみが追加で保存される。1ヵ月あたりの平均バック アップ保存容量の支払い リージョン ストレージ容量 (GB/月) スループットキャパシティ (MBps/月) バックアップ容量 (GB/月) 米国東部(バージニア北部) $0.130 $2.200 $0.050 米国東部(オハイオ) $0.130 $2.200 $0.050 米国西部(オレゴン) $0.130 $2.200 $0.050 EU(アイルランド) $0.143 $2.420 $0.050 アジア太平洋(東京) $0.156 $2.530 $0.050
- 22. Amazon FSx for Windows File Server 料金体系② #jawsug 例:Amazon FSx for Windows File Serverを最低利用料金想定で利用した場合 前提:東京リージョン、ストレージ300GB、スループット8MBps、増分バックアップ100GB想定 ①ストレージ:300GB×$0.156=$46.80 ②スループット:8MBps×$2.53=$20.24 ③バックアップ:100GB×$0.05=$5.00 ◆合計:$72.04(ドル円112計算で8,068) ■既存ストレージ費用比較 ・S3スタンダードクラス(300GB):$6.90 ・EBS(300GB、スナップショット100GB):$35.00 ・EFS(300GB):$90.00 ■所感 用途がそれぞれ違うので、一概には言えませんが、Amazon FSx for Windows File Serverは上記に 加え、AWS MSADの料金($86.40)も加算される為、費用的なメリットは無いように感じられます。
- 23. FSx for Windows File Serverを使う上でのメリット #jawsug ・これまでAWSで実現出来ていなかったWindowsインスタンスに対するSMBプロトコルを利用したフ ルマネージドのファイルサーバと言う事で、AWS上でWindowsインスタンスを使っているユーザに対 して、数分で完全マネージド型のファイルシステムを提供する事が可能。 ・既存オンプレADを利用しているユーザに関してもAWS Directory Serviceと信頼関係を結ぶ事で利 用可能となる。 ・SMBプロトコルに対応した事により、Amazon EC2だけでは無く、Vmware Cloud on AWS、 Amazon WorkSpaces(仮想デスクトップ)、Amazon AppStream(アプリケーションストリーミング サービス)をご利用されているユーザも簡単にファイルシステムを利用する事が出来る。 ・クラウドのファイルサーバの為、通常オンプレミスでファイルサーバをNAS等で利用されているユー ザは拡張要件や移行などを検討しなければいけないが、FSxでは拡張要件や移行などは考える必要無く、 利用頻度に応じて、容量を簡単に増減する事が出来る。 ・セキュリティにおいてもユーザのデータが確実に保護されるよう、安全対策とコンプライアンスを多 層的に実装しており、保管中のデータや転送中のデータは自動的に暗号化されており、最高レベルの安 全基準を満たす事が可能。
- 24. FSx for Windows File Serverを使う上でのデメリット #jawsug ・現在AWS MSADが必須となっている為、既存のADを利用する場合、MSADと信頼関係を結ぶ 必要があり、かつ2台分の費用が掛かってしまい、コスト的なメリットが無い。 ※現在はAWS MSADだけでは無く、オンプレ側のADも使えるようになった ・一般的なクラウドファイルストレージにあるマネジメントコンソール上でのファイル単位のプレ ビューや操作が実施出来ない。 ・削除、上書きしたファイルの復元はバックアップからのファイルシステム単位でのリストアしか実施 出来ない。 ※これもシャドウコピーが7月から出来るようになったので問題無し ・最低容量が300GBの為、小規模なファイルシステムを複数作るようなパターンには適していない。 ※これ11月のアップデートで変わったみたいなので、後でアップデート情報話します ・現在はフルマネージドサービスにも関わらず、ファイル単位でのアクセス権限などの設定は出来ず、 AWS MSADで制御出来る範囲でしか権限を付与出来ない。 ※ここも若干管理回りが変わっています
- 25. Amazon FSx 基本アーキテクチャパターン① #jawsug ①Amazon FSx for Windows File Server + Amazon WorkSpaces + AWS MSAD Amazon WorkSpaces Amazon WorkSpaces NAT gateway AWS Directory Service AWS Directory Service Private Sub2Private Sub1 Amazon FSx Public Sub2Public Sub1 Internet gateway
- 26. Amazon FSx 基本アーキテクチャパターン② #jawsug ②既存ファイルサーバからAmazon FSx for Windows File Serverに移行 + 既存AD + AWSMSAD NAT gateway AWS Directory Service Private Sub2Private Sub1 Amazon FSx Public Sub2Public Sub1 Amazon EC2 VPN connectioncustomer gateway VPN gateway Router Internet gateway AWS Directory Service Amazon EC2 既存ファイル サーバ
- 27. 4.動作検証 #jawsug
- 28. FSx for Windows File Server動作検証項目について #jawsug ■検証項目: 既存のADやVPC間を利用した同一のシステムに対して、FSxを利用した2つの検証を実施する。 検証①: 既存クライアントの所属するADと、FSx用のMSADを連携し、FSxに対してファイルの送受信を行う 検証②: 複数クライアントによるファイルサイズの大きいファイルの送受信や大量ファイルの送受信による転 送量の変化などを確認
- 29. 5.アップデート情報と最後に #jawsug
- 30. アップデート情報 #jawsug
- 31. アップデート情報 #jawsug ・最小ファイルシステムサイズの変更 FSx for Windows で作成するファイルシステムの最小サイズが 300GBから32GB に変更になりました。 ・転送データの暗号化 これまでは保存しているデータの暗号化はサポートされていました。それに加えて転送中のデータ暗号 化がサポートされました。SMB3 に対応するクライアントからファイルシステムへアクセスすると転送 中のデータを自動的に暗号化します。 ・PowerShellでの管理 FSx for Windows は GUI で管理・操作してきましたが PowerShell で管理可能、シャドウコピーなど が実施出来るようになりました。 ・ユーザーレベルのクォータをサポート 管理者がユーザーレベルのストレージ利用を監視および制御できるようになりました。 クォータでは、Warning と Limit の2つのしきい値を設定できます。 Limit に達したユーザー/グループはファイルシステムへの書き込みができなくなります。
- 32. 最後に #jawsug https://tech.nikkeibp.co.jp/it/atclncf/service/00047/042200001/
- 33. その他気になる方は懇親会でお伝え しますので、お声がけ下さい! #jawsug
- 34. ご清聴ありがとうございました。 #jawsug
