20160824 isao meetup_vol2
TRANSCRIPT
#ISAOcorp
AWS運用アレコレ
(株 )ISAO赤川 蘭丸
#ISAOcorp
自己紹介
赤川 蘭丸 (35)
・ ISAO歴 1年・入社後から主に AWSインフラ運用・特技は小麦アレルギー・ 4月に第一子誕生しました
#ISAOcorp
本日のメニュー
・ AWSメンテナンスさんとの 幸せな付き合い方
・ Certificate Manager
#ISAOcorp
AWSメンテナンスさんとの幸せな付き合い方
#ISAOcorp
なぜメンテナンスが発生するのか?
・仮想ホスト側のアップデート、リプレイス、障害
・ライブマイグレーション機能なし
#ISAOcorp
メンテナンスタイプは 2種類
・突発型 事前告知なしに実施される
・スケジュール型 メールやイベント等の通知あり
#ISAOcorp
突発型メンテナンス
#ISAOcorp
突発型メンテナンス
・文字通り突然発生するメンテナンス (ん、障害か。。)
・仮想ホスト側やネットワークの問題だったり
・ CloudWatchの通知や死活監視などで 気がつくことが多い
#ISAOcorp
おや?故障かな?と思ったら
・(サーバであれば) syslog等を確認
・ AWS全体で障害情報が出ていないか→コンソールから確認可能
#ISAOcorp
特に異常がなければ
サポートに聞いてみましょう
#ISAOcorp
ただし。。。
・技術サポートは「ビジネス」プラン以上で 受けられます。
・けちらずに入ることをお勧めします。
#ISAOcorp
サポートへ問い合わせると
・障害の発生原因など、教えてくれます。
#ISAOcorp
障害後対応
・ RDSの ReadReplica再作成等、作業が必要な 場合もあります。
#ISAOcorp
障害をいち早く気づく方法ってないの?
#ISAOcorp
障害通知機能
AWSが提供する RDSや ElastiCacheなどのPaaSには、これらで発生した重大なイベントを、Amazon Simple Notification Service(SNS)との連携により迅速に通知することが可能。
AmazonSNS
Amazon ElastiCach
eAmazon
RDS
Elastic Load
Balancerイベント発生 イベント通知
#ISAOcorp
しかし・・・
#ISAOcorp
SNS通知されないイベントが存在
◯ Finished recovery for ...✕ Recovering cache ...
EVENTS 2016-XX-XXT18:13:07.203Z Finished recovery for cache nodes 0001 xx-cache-clusterEVENTS 2016-XX-XXT18:05:21.118Z Recovering cache nodes 0001 xx-cache-cluster
SNSだけに頼らず、イベント監視も実施しましょう
#ISAOcorp
スケジュール型メンテナンス
#ISAOcorp
スケジュール型メンテナンス
・仮想ホスト側への
パッチやアップデートの透過的適用− ハードウェア入れ替え−が主な理由
#ISAOcorp
どのように通知されるの?
#ISAOcorp
通知は?
・予定されたイベント日前に AWSアカウントに 関連付けられた Eメールで通知されます
#ISAOcorp
通知は?
・予定されたイベント日前にイベントでも確認可能
#ISAOcorp
サービス別対策例
#ISAOcorp
EC2イベントタイプ毎に対応
・ Reboot
指定された日時に再起動されてしまうが、自己都合が悪い場合には指定日時までにメンテナンスウインドウなどを設けて再起動を実施する。
#ISAOcorp
EC2・ Instance stop・ Instance retirement・ System maintenance
EC2インスタンスが起動している仮想ホストを変更することで、自己都合の良い時間に対応することが可能。
⇒インスタンスの Stop/Startで変更される。
#ISAOcorp
RDS/ElastiCache・ RDS/ElastiCacheで指定された 「メンテナンスウインドウ」で実行される
#ISAOcorp
RDS/ElastiCache・対策 RDS 作り直しのコスト等を考えるとメンテを 入れるのが得策
ElastiCache ノードの置き換え(削除 /追加)で回避可能
#ISAOcorp
RDS/ElastiCache・注意点 -メール通知がない場合がある ⇒イベント監視必須
-RDS Multi-AZの場合、プライマリ/セカンダリ の区別なく通知される場合がある ⇒プライマリメンテの場合は Failover発生、 セカンダリメンテの場合はWrite Latency上昇
#ISAOcorp
AWSメンテナンスさんと幸せな生活を送るためには
#ISAOcorp
・メンテナンスは避けて通れないもの
・対応方法は多種多様
・イベント監視は幸せになる近道
・ SPOFを作らない設計を
まとめ
#ISAOcorp
Certificate Manager
#ISAOcorp
Certificate Managerって?
・ SSL 証明書のプロビジョニング / 管理 /デプロイ→AWS上で SSL 証明書の発行ができて、 証明書の設置までできちゃう
#ISAOcorp
Certificate Managerって?
・発行される証明書は 99%のブラウザと OSで 信頼される・ワイルドカードドメインも OK・有効期限は 13 ヶ月・自動更新、デプロイも自動
そしてなによりも 無料!!
#ISAOcorp
これまでの SSL 証明書発行の流れ
①発行対象ドメインの CSR作る②SSL 証明書サービス機関に発行依頼 --- (場合によっては審査) ---③ 承認作業④ 証明書発行⑤設置
取得代行などに依頼すると数日かかる場合も。。(弊社でもやってますが・・・)
#ISAOcorp
Certificate Managerの流れ
①Certificate Managerでドメイン名などを 入力しボタンポチ② 承認メールのリンクをクリックしてポチ③LoadBalancer等に設定
コーヒー飲む暇もなく完了。。お手軽すぎる・・・
#ISAOcorp
なによりも
ドメインを取得して入ればあの煩わしい
「オレオレ証明書」
の作成作業からも解放される!!
#ISAOcorp
注意点はもちろんあります。
・ ELB、 CloudFrontにしか利用できません
・ CloudFrontで使う場合、バージニアリージョン の Certificate Managerで作成する必要が あります
・ドメイン認証のみ、実在証明はできない
#ISAOcorp
まとめ
AWSを利用するなら、これまでの SSL 証明書のコスト、発行の手間から開放されるCertificate Managerをお勧めします!
#ISAOcorp
と言うことで。。
ISAO、MSPやってます。
#ISAOcorp
ご興味のある方は、ご相談くださいhttps://www.isao.co.jp/mspaws01/
#ISAOcorp
#ISAOcorp
ISAO Meetup 次回予告
9月 29日(木)予定使った気になる Firebase(仮 )
connpassグループ『 ISAO Meetup』にご登録ください。詳細は近日公開!http://isao.connpass.com/