catch-img

Architecting on AWS for APN Partner 2020/12/9~11 QA

2020年12月9日から12月11日に開催しました、Architecting on AWS for APN Partnerにていただきましたご質問と回答の一部を掲載します。

以下は、2020年12月9日現在の情報を元に回答しております。

 

Q. 各種サービスの料金体系が公式サイトだとイメージが湧きにくいです。 どこを見れば、わかりますか?

A. 正確な情報は公式サイトをご確認ください。多方向からご確認いただくと、ご確認いただきやすいきっかけにもなるかもしれません。
料金計算ツールを使ってみていただいて、実際に設計しながら計算したり、少しスモール構成で検証してみて請求がどれぐらい発生しているかを実際に確認していただくと、よりご理解いただきやすくなるかもしれません。

  開始方法 - AWS 料金計算ツール AWS 料金計算ツール を使用するためのセットアップ。 https://docs.aws.amazon.com/ja_jp/pricing-calculator/latest/userguide/getting-started.html

 

Q. E2マシン構築時に割り当てましたENIのIPを変えたい場合は、新規にENIを作り直して割り当てとなるのでしょうか?

A. はい。アタッチし直せます。

 

Q. バックアップとスナップショットで再度教えていただけますでしょうか。
EC2マシンのバックアップは、AMI化して保存のみで差分保存(保管)は出来ない。
EBSは、スナップショットとしてAWSが保持しているS3?にスナップショットが保存される。
であってますでしょうか?

A. AMIにはEBSのスナップショットが紐づきます。EBSスナップショットは差分です。
AWSが内部でS3を使って保存しています。

 

Q. Lambda関数ごとに料金、リクエスト数を確認することは可能でしょうか?

A. リクエストはCloudWatchメトリクスで確認できます。
料金は、例えばFunctionNameなどのタグを作っていただいて、コスト配分タグとCostExoplorerでご確認いただくのでどうでしょうか。

 

Q. リージョンAで作成したリソースを、リージョンBに簡単に移動する方法はありますでしょうか。

A. 丸ごとコピーする機能はありませんので、各サービスごとのクロスリージョンレプリケーションやクロスリージョンコピー機能、CloudFormationを活用してください。

 

Q. この3日間で、質問受け付けてに利用されていたLambdaで発生したリクエスト数や発生費用などを参考に教えて頂けないでしょうか。

A. 全Lambda関数で2,000リクエスト弱で、無料範囲内です。

 

Q. 先ほど、少しお話が出たlambdaでコンテナが使えるようになったという話を今一度教えて下さい。

A. Lambda 関数の作成時に、10GB までのコンテナ(ECRにアップロードが必要)を指定して作成できるようになりました。

  AWS Lambda の新機能 – コンテナイメージのサポート | Amazon Web Services AWS Lambda では、サーバーについて気にすることなくコードをアップロードして実行できます。多くのお客様に Lambda のこの仕組みをご活用いただいていますが、開発ワークフローのためにコンテナツールに投資した場合は、Lambda でのアプリケーションの構築に同じアプローチを使用することが難しくなります。 この問題に対応するため、Lambda 関数を最大 10 GB のコンテナイメージとしてパッケージ化し、デプロイできるようになりました。これにより、機械学習やデータ集約型のワークロードなど、大きな依存関係に頼る大規模なワークロードを簡単に構築してデプロイできます。ZIP アーカイブとしてパッケージ化された関数と同様に、コンテナイメージとしてデプロイされた関数は、同様の操作のシンプルさ、自動スケーリング、高可用性、多数のサービスとのネイティブ統合による恩恵を受けます。 当社では。サポートされているすべての Lambda ランタイム (Python、Node.js、Java、.NET、Go、Ruby) のベースイメージを提供しているため、コードと依存関係を簡単に追加することができます。Amazon Linux ベースのカスタムランタイム用のベースイメージも用意しており、これを拡張して Lambda ランタイム API を実装する独自のランタイムを含めることができます。 Alpine や Debian Linux をベースにしたイメージなど、独自のベースイメージを任意で Lambda にデプロイできます。Lambda を操作するには、これらのイメージに Lambda ランタイム API を実装する必要があります。独自のベースイメージの構築を容易にするため、当社ではサポートされているすべてのランタイムにランタイム API を実装する Lambda Runtime Interface Clients をリリースしています。これらの実装は、ネイティブのパッケージマネージャーを介して利用できるため、イメージ内で簡単に取得でき、オープンソースライセンスを使用してコミュニティと共有されます。 また、Lambda Runtime Interface Emulator をオープンソースとしてリリースします。これにより、コンテナイメージのローカルテストを実行して、Lambda にデプロイした際に実行されることを確認することができます。Lambda Runtime Interface Emulator は、AWS が提供するすべてのベースイメージに含まれており、任意のイメージでも使用できます。 コンテナイメージは、Lambda Extensions […] Amazon Web Services

 

 

Q. EC2のバックアップ取得時のスナップショットとAMIの違いを今一度ご教示ください

A. EC2 のスナップショットという場合は、EBS のバックアップです。
EC2 のバックアップとしては、AMI の作成によってすぐ復旧できるイメージを用意できます。

 

Q. ECS-FargateとLambdaはどういった観点で使い分ければ良いでしょうか

A. Lambda で利用可能なランタイム、実行時間やリソース制限、同時実行数に依存するかどうか、使いたいライブラリやミドルウェアが利用可能かどうかといった観点があります。
また、Lambda はイベント駆動形になりますので、待受型のアプリケーションなどは ECS や EC2 が向いているといえます。

  よくある質問 - Amazon ECS | AWS 統合、バージョン、アップデート、可用性、SLA など、Amazon ECS でのコンテナの使用に関するよくある質問を見る Amazon Web Services, Inc.

 

Q. 今回、EC2構築する際に、インストールパラメータなどから初期構築しているイメージでしたが、個別に構築した環境をシステムバックアップを取得して、そのイメージからサーバを構築することはできるのでしょうか?

A. 起動した EC2 インスタンスにアプリケーションやミドルウェアを設定した段階で カスタム AMI を作成することができます。
実際の運用では、Auto Scaling する場合でも、システムのバックアップの意味でも構築済みの AMI イメージを利用することが多いです。

 

Q. lambda_handlerの引数情報にどのようなものが含まれているかを確認できるドキュメントはサイトのどこにありますでしょうか?

A. こちらのユーザーガイドのセクションの下に各サービスをトリガーにしたときのEventメッセージのサンプルがあります。

  他のサービスで AWS Lambda を使用する - AWS Lambda 他のサービスでの AWS Lambda の使用について https://docs.aws.amazon.com/ja_jp/lambda/latest/dg/lambda-services.html

 


 
Q. 基本的な質問ですが、オンプレ環境でインターネットシステム構築する場合は、インターネット回線を引き込んで、FW使ってDMZとMZを構築すると思いますが、AWS環境で置き換えると
 インターネット接続→IGWをアタッチ
 DMZ環境→publicサブネット登録
 MZ環境→privateサブネット登録
のようなイメージになりますか?
FWの構築なども不要になる認識で合ってますか?

A. はい。あっております。
FWは、セキュリティグループ、NACLで個別に実現できます。

 

Q. S3へのアップロードの件で、今回はAWSのコンソール上から手動でおこないましたが、
コンソールを使わずにファイルアップロードすることは可能でしょうか。
可能な場合の手法を教えていただきたいです。

A. SFTP なども利用可能です。

  AWS Transfer Family | アマゾン ウェブ サービス AWS Transfer Family は、SFTP、FTPS、FTP をサポートするフルマネージド型のプロトコルセットであり、Amazon S3 との直接的なファイル転送を可能にします。 Amazon Web Services, Inc.

 

 

Q. 通知設定前に間違えってすべてのファイルをアップロードしてしまった場合、S3から削除して、再度アップロードしても通知されないでしょうか?

A. S3は上書きアップロードもトリガーになります(オブジェクトストレージなので中身は見てません。同じ名前の新しいオブジェクトが上書きアップロードされた状態)が、DynamoDBストリームはPutItemでまったく同じ項目の内容の場合、更新になりません。
DynamoDBの項目を全部消して再度、S3へアップロードしてみてください。

 

Q. LambdaのトリガとしてSQS以外のAWSサービスを選択した場合(たとえばS3)、トリガ発生時にLambdaが障害等で起動しなかった場合、トリガからのメッセージは再実行時まで保存されますでしょうか。もしくは常にSQSをトリガとして間にかませる必要はありますでしょうか。

A. S3 などのイベントソースからの実行であれば、内部的にキューイングされ再試行されます。Lambda 関数に デッドレターキューを設定することで、それ以上の失敗をキューに避けておくことも出来ます。

  エラー処理と AWS Lambda での自動再試行 - AWS Lambda 関数を呼び出す場合、2 つのタイプのエラーが発生する可能性があります。関数が呼び出しリクエストを受け取る前にリクエストが拒否されると、呼び出しエラーが発生します。関数エラーは、関数コードまたは ランタイム がエラーを返す場合に発生します。エラータイプに応じて、呼び出しのタイプ、関数を呼び出すクライアントまたはサービス、エラーを管理するための方針や再試行動作も異なります。 https://docs.aws.amazon.com/ja_jp/lambda/latest/dg/invocation-retries.html

 

 

Q. Lambdaでサポートされているpythonのバージョンに制限はありますでしょうか。

A. Lambda で提供されているバージョンの一覧をこちらで確認できます。

  AWS Lambda ランタイム - AWS Lambda AWS Lambda では、ランタイムの使用を通じて複数の言語がサポートされます。関数を作成するときにランタイムを選択し、関数の設定を更新してランタイムを変更することができます。基盤となる実行環境は、関数コードからアクセスできる追加のライブラリと 環境変数 を提供します。 https://docs.aws.amazon.com/ja_jp/lambda/latest/dg/lambda-runtimes.html



Q. 構成中の選択により、自動でAZ間で冗長化されるリソースとされないリソースがあると思いますが、その一覧などはありますでしょうか。
例えば、NATゲートウェイは、自動でAZ間で冗長化されないと演習内で理解致しました。
運用中に知らず知らずの間に単一障害点が発生している事を避けたいです。

A. 一覧が用意されているドキュメントはありませんが、AZを一つだけ選択して起動できるサービスは単一障害点となりえる可能性があります。
EC2、NATGW、RDS(シングルAZ)、ElastiCacheあたりです。

 

Q. AMIでWindowsを選択した場合、CALは別途購入必要との認識で正しいでしょうか。別途用意が必要な場合、AWS上で購入(AWSから請求を受ける)事も可能でしょうか。

A. ライセンス込みの AMI から起動した場合は、従量課金に含まれています。また、ライセンスを持ち込むことも出来ます。

  Microsoft ライセンス Amazon Web Services, Inc.

 

 

Q. セキュリティグループで変更した場合、新しいセッションから適用されるのでしょうか。既存のセッションにも変更が反映されますでしょうか。

A. 変更を保存したときから既存のインスタンスの新規通信リクエストに反映されます。

 

Q. テキストにECSは「Fargate または EC2 起動タイプで起動可能」とありますがEKSもFargate または EC2 起動タイプの選択が可能という理解で合ってますか。

A. ECS、EKSともに EC2 起動タイプ、Fargate どちらも選択可能です。

 

Q. Elastic Beanstalkはサーバレスサービスの一部なのでしょうか。
それとも別ものなのでしょうか。

A. Lambdaなどと同様にOSの管理をしなくてもいいか、というと、運用を開始した後は必要です。
EC2インスタンスが動きますので、SystemsManagerなどを使ってメンテナンスしていただく必要はあります。

 

Q. ネットワークACLを確認した際、インバウンドルールと、アウトバウンドルールにルール番号が異なるだけのルールが設定されていますが、どのような意味があるのでしょうか?
ポート範囲などが同じで、違いはルール番号と許可/非許可です。互いに打ち消すような設定に見えるのですが、どのような意味があるのでしょうか?

A. ネットワークACLでは、番号が小さいルールから適用可否が判定されて適用されます。
ルールが適用された場合は、以降のルールは適用されません。
いずれのルールも適用されない場合は、* のルールがで起用されます。

ネットワークACLでは、デフォルトは全て許可となっているため、

100: 0.0.0.0/0 ALLOW

のルールがインバウンド、アウトバウンドともに適用されています。
必要があれば、適宜ルールを追加します。

 

Q. ELBでロードバランスした場合にセッションを維持(パーシステンス)することは可能でしょうか。

A. ALB においてスティッキーセッション機能を利用することで、同一セッション内は同じサーバーにリクエストを振り分ける事ができます。

  Application Load Balancer のターゲットグループ - Elastic Load Balancing Application Load Balancerのターゲットグループを設定する方法を説明します。 https://docs.aws.amazon.com/ja_jp/elasticloadbalancing/latest/application/load-balancer-target-groups.html#sticky-sessions

サーバー負荷が偏る可能性があります。

  Application Load Balancer スティッキーセッションでどれぐらい偏るかを偶然見ました | ヤマムギ Amazon Linux2のPHPを7.2から7.3へアップデートしましたでアップデートしてリリースする際に、スティッキーセッション(セッションの維持)を有効にしているターゲットグループから、スティッキーセッションを無効にしているターゲットグループに変更してしまいました。 翌朝気づいて、スティッキーセッションに変更したのですが、その前後で顕著に変化が見れました。 せっかくなので記録です。 スティッ ヤマムギ

 

Q. ルートテーブルの編集で10.0.0.0/20でLOCALの設定になっているものがなぜすべてのトラフィックをローカルにルーティングという意味になるのかを教えて下さい。

A. LabVPCのローカルは10.0.0.0/20がIPアドレス範囲です。
LocalはVPC内を指しています。
すべてのトラフィックではなく、10.0.0.0/20の範囲は。Localへルーティングという意味です。

 

Q. ELBの負荷分散はラウンドロビンと考えて大丈夫でしょうか。

A. ラウンドロビンと「リクエストの少ない方へリクエスト」の2種類から選択できます。

 

Q. ALBは必ずオートスケーリングと組み合わせる必要がありますでしょうか。ALB配下に単体のEC2インスタンスをぶら下げることは可能でしょうか。

A. ALB配下に単体のEC2インスタンスの利用が可能です。その場合は、ご自身でターゲットグループに対象となるEC2インスタンスの紐付けを行って管理します。

 

Q. 負荷分散するアプリケーションが複数ある際は、LBはその分必要なのでしょか。

A. ルーティングを使用すれば一つでも可能です。
ですが、あまりトラフィックを集中させすぎると、スケールが間に合わなくなる可能性もありますのでご注意ください。
また、課金は時間とリクエスト量の従量課金ですので、リクエストが増えると課金も増えます。

 

Q. 負荷分散というよりLBでの冗長化を考えてます。Active/Stanby構成はできるのでしょうか。

A. ターゲットを複数持つことが可能で、割合指定ができます。
100%、0%としておいて、その割合を入れ替えることで仰っている構成はできますが、スクリプトが必要です。
ご参考

  ALBの重み付けルーティングでカナリアリリースをしてみました | ヤマムギ 当ブログのAMIの更新と、ALBターゲットグループのヘルスチェックを変更したかったので、ALBの重み付けターゲットでデプロイしてみました。 変更内容はこちら「ALBのヘルスチェックでPHPとMySQL接続をチェック」をご覧ください。 新規でターゲットグループ、オートスケーリンググループを作成して、ALBのリスナーで追加設定しました。 スティッキーセッションを有効にしてましたので、ターゲットの維持も ヤマムギ

 

Q. VPCを開くと必ずdefaultというVPCが出てきますが、これは何のためにあるのでしょうか?
それともラボの環境の制約等で出てくるのでしょうか?

A. default VPCは検証用のVPCでアカウントを作ると各リージョンに作成されます。
削除することもできます。

 

Q. NLBもALBと同じように代表のDQDNで分散できるのでしょうか。
(WEBアプリケーション以外も分散できるのか)

A. NLB では、対象となるインスタンスやIPアドレスのポート番号宛に分散をすることができます

 

Q. 自動スケーリングは組み合わせて使用することは可能でしょうか?
ブラックフライデーのように、月末は急激に増えるのでスケジュールによるスケーリング、普段は動的スケーリングで制御といったようなものです。

A. 複数のスケーリングポリシーを組み合わせることで、スケジューリング + 動的スケーリングを利用できます。

 

Q. AWSのIPアドレスはDHCP経由でしょうか?AWS環境にDHCPサーバは構築可能でしょうか。

A. DHCP 経由での取得です。独自のDHCPサーバーの構築も可能です。

 

Q. 例えばAutoScalingに以下キャパシティー設定でAZ-a A. AZ-bにそれぞれ2台、計4台起動している環境においてAZ-aの2台が停止された場合、AutoScalingはどのような挙動となるのでしょうか。
そのまま?AZ-aの1台が停止し、AZ-bに1台起動?AZで見た時に単一障害となるのでAutoScalingで制御してくれるのか気になりました。

必要なキャパシティー:4台
最小キャパシティー:2台
最大キャパシティー:4台

A. Auto Scaling では AZ に均等にインスタンスを立ち上げようとするので、足りていない AZ 側にインスタンスが起動されます。

 

Q. 障害発生時などでAutoScalingとオンプレミス環境でよく利用する主系→副系へのフェイルオーバーの手法、どちらのほうがシフトが早いか?

A. 復旧時間という意味ではホットスタンバイが一番早いです。
Auto Scaling による自動復旧の場合は、耐障害性の向上とともに負荷分散を実現できます。
ですので、従来のホットスタンバイとなるインスタンスも起動しているのであれば、リクエストを送信しておいて、そのうちの一部が障害によって一時的にインスタンス数が減っても充分に処理を受け付けられるようにしておけば、実質的なダウンタイムはほぼ発生せずに元の状態への自動復旧も果たせます。

 

Q. ネットワーク機器のSyslog転送などでログ収集できますか?

A. ネットワーク機器からのログを syslog に転送している場合は、集約しているサーバーに CloudWatch Logs Agent を仕込むことで収集可能です。

 

Q. CloudWatchの監視対象はAWSで提供しているサービスのみでVPNで接続したオンプレ環境の機器などのリソースなども監視できない認識でよろしいでしょうか

A. CloudWatch Agent が動作し、CloudWatch の API を呼び出せる環境であればオンプレミスのサーバーにCloudWatch エージェントをインストールすrなどして設定することも可能です。

  オンプレミスサーバーに CloudWatch エージェントをインストールする - Amazon CloudWatch オンプレミスサーバーに CloudWatch エージェントをインストールする方法について説明します。 https://docs.aws.amazon.com/ja_jp/AmazonCloudWatch/latest/monitoring/install-CloudWatch-Agent-on-premise.html

 

Q. アラーム通知はメールしかないでしょうか?メールを見逃してしまい、数万円課金した過去があります。

A. アラームの通知は、Amazon SNS サービスを利用しています。SNS サービスでは、メール以外にも SMS メッセージをおくったり、外部プログラムに対してリクエストを送ることなどができます。

参考情報としまして、Amazon Connect を利用してアラームを電話で通知してみた記事がありましたので紹介します。

  Amazon ConnectでCloudWatchのアラームを電話通知してみた | Developers.IO AWSリソースの監視にはCloudWatchを利用することが多いですが、通知の手段は多岐にわたります。今回はAmazon Connectを活用した電話通知の方法を紹介しますLambda関数からAmazon Connectの問い合わせフローを実行するソースコードも公開しています。 クラスメソッド発「やってみた」系技術メディア | Developers.IO

 

Q. 個人勉強用のアカウントは一年無料ですが、その後も新しい機能が出たらためしで使っていきたいです。
無料に近い低課金の形で利用し続けるには、一年後別のメールアドレス(※)で新しいアカウントを作る以外の方法ありますか?

A. サービスによっては既存アカウントでも一定期間で、無償利用枠が提供されるものがありますのでその範囲でお試しいただます。

 

Q. IAMユーザのアクセスキー、シークレットキーの共有はどのように行うのが良いのでしょうか。
(IAMユーザ名だけ共有して、アクセスキー・シークレットキーは各自で確認、で良いかと思いましたが、シークレットキーは作成時しかわからないので、、)

A. アクセスキーID、シークレットアクセスキーは共有せず、自身のアクセスキーを自分で発行して定期的に変更しながら手元で使うのでどうでしょうか。
そしてIAMロールが使用できる場合はIAMロールを優先します。

 

Q. モジュール7の復習にあるWebIDフェデレーションというのはCognitoとは別の仕組みということで合っていますでしょうか?

A. Cognito で利用したほうが便利な機能です。外部のウェブサービス(Google  や Facebookなど)を利用してユーザー認証をおこなう仕組みを作れます。

  ウェブ ID フェデレーションについて - AWS Identity and Access Management ウェブ ID プロバイダーを使用してサインインするモバイルアプリユーザーのために、一時的な AWS セキュリティ認証情報を作成します。 https://docs.aws.amazon.com/ja_jp/IAM/latest/UserGuide/id_roles_providers_oidc.html

 

Q. Organizationsでアカウントをグループ管理すると一括請求できることは理解したのですが、アカウントのグループ管理をしつつ請求はアカウント毎に分割することを選択することも可能でしょうか。

A. AWS Organizations を利用する場合、一括請求を行わない選択はできません。
管理コンソールの請求書では、各 AWS アカウントごとの請求金額について確認できます。コスト配分タグもアカウント関係なく設定できます。

 

Q. VMwareの様なHAの動きはAWSではどのように実現できますか

A. ホスト故障などによるライブマイグレーションについてということでご回答します。

AWS では、ホスト故障によるライブマイグレーションは現在提供されいませんが、CloudWatch(このあとのモジュールで解説します)を利用して自動復旧させる仕組みを構築できます。

  インスタンスの復旧 - Amazon Elastic Compute Cloud 基になるハードウェア障害が原因でインスタンスが正常に機能しなくなった場合にインスタンスを復旧する Amazon CloudWatch アラームを作成して、Amazon EC2 インスタンスを復旧します。 https://docs.aws.amazon.com/ja_jp/AWSEC2/latest/UserGuide/ec2-instance-recover.html

 

Q. VPN接続では1つの設定で2本トンネルが作成されると認識しました。
対向のオンプレルーターでもグローバルIPが2つ必要なのでしょうか。

A. オンプレミス側は1つのグローバルIPで設定できます。

  Site-to-Site VPN 接続のトンネルオプション - AWS Site-to-Site VPN Site-to-Site VPN 接続のさまざまなトンネルオプションについて説明します。 https://docs.aws.amazon.com/ja_jp/vpn/latest/s2svpn/VPNTunnels.html

 

Q. VPN接続の場合、Direct Connect接続の場合のどちらでもVGW、カスタマゲートウェイを作成する。
作成後、AWSの接続先ルータにカスタマゲートウェイからダウンロードしたconfigを設定する。
上記の認識であっていますでしょうか。

A. 合っています!

 

Q. VPCエンドポイントの使用理由があまり理解できませんでした。

A. AWS の API 呼び出しはインターネット経由になるため、ネットワーク要件によってはセキュアな通信を求められた場合に VPCエンドポイント経由にすることで、AWS の内部ネットワーク経由の接続になるためよりセキュアになります。

 

Q. ラボのような資料を事前に用意していただいたため、ネットワーク関係図がわかりやすいですが、実際の利用では、設定画面からそれぞれの設定がどう繋がっているかかなりわかりにくいとおもいます。設定内容を関係図に自動的に変換して表示するような機能はAWSにありますでしょうか?

A. ネットワーク図ということであれば、AWS から提供されているものはありませんが、CloudMapper というツールで可視化させることができそうです。

  CloudMapperでネットワーク構成図を自動生成 | Developers.IO はじめに 中山(順)です 皆さんは以下のようなことで悩んだことはないでしょうか? ネットワーク構成図作るのめんどくさい ネットワーク構成図をメンテナンスするのめんどくさい ドキュメントのないAWS環境を引き継いでつらい … クラスメソッド発「やってみた」系技術メディア | Developers.IO

 

各モジュールの最初にでてくるようなアーキテクチャ図を自動作図したいということであれば、AWS Perspective が公式に提供されています。また、Lucidchart というツールでも同様に自動作図できます。

  AWS Perspective | 実装 | AWS ソリューション Amazon Web Services, Inc.

 

  Lucidchart AWSアカウントからインポート機能で自動作図 | ヤマムギ SNSでLucidchartというサービスが話題になってました。 AWSの環境をアイコンイメージで自動出力する機能をもった、チャートやアーキテクチャを描くサービスのようです。 試してみました。 Lucidchartアカウント新規作成 Lucidchart(のサイトにアクセスします。 [Sign up free]をクリックしました。 Personal PlansのFreeで試してみます。 Googl ヤマムギ

 

Q. ルートテーブルのlocalは、VPC内という意味合いで使われていますか?

A. そのとおりです!

 

Q. wgetの話は下記のように解釈したんですが、認識合ってますでしょうか
セキュリティグループはステートフル(状態をもつ)なので、
アウトバウンドが許可された通信であれば、そのレスポンスも許可される

A. はい!ばっちりあっております。

 

Q. このあとどこかで出てくるのかも知れませんが、AWSの費用算出方法があれば概要を教えてください

A. 代表的な方法は、こちらのページにある、料金計算ツールを使用します。

  開始方法 - AWS 料金計算ツール AWS 料金計算ツール を使用するためのセットアップ。 https://docs.aws.amazon.com/ja_jp/pricing-calculator/latest/userguide/getting-started.html

 

Q. ENIの最大数はどのくらいの数まで拡張出来るのでしょうか?過去の実績等がございましたら教えて下さい。

A. ENIの上限はリージョンごとにデフォルトが5000までとなっています。5000 を超える数が必要になる場合は、AWSサポートよりクォータ引き上げ手続きを早めに行ってください。

  Amazon VPC クォータ - Amazon Virtual Private Cloud 必要に応じて、以下のデフォルトの Amazon VPC コンポーネントのクォータを引き上げることをリクエストします。 https://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/amazon-vpc-limits.html

 

Q. VPCのIPアドレスについてご質問です。同一アカウントの異なるVPCでは、IPアドレスが重複しないように設定する必要がありますでしょうか。聞き逃していましたら申し訳ありません。

A. モジュール6の中でも解説があると思いますが、複数のVPC同士をピア接続することがなければ、複数の VPC で同一の IPアドレス範囲を利用することもできます。

 

Q. NAT Gatewayはプロキシサーバのような役割と理解しましたが、正しいでしょうか。

A. 役割としてはそのご理解で問題ないです。
プライベートサブネットからインターネットへの通信をするためのゲートウェイとして利用します。

 

Q. ルートテーブルとルーティングテーブルは同じ事を指してますか?

A. 同じことを指すというご理解で問題ないです。
ルーティングテーブルは、ネットワーク用語です。
ルートテーブルは、ルーティングテーブルで表されるルート情報を設定する仕組みです。

 

Q. 5個の予約アドレスは前から5個でしょうか? 用途についても教えて下さい。

A. IPアドレス範囲の先頭の1つと最後の1つはネットワーク用に消費されます。先頭2つ目から3つがAWSの予約です。用途はこちらをご覧ください。

  VPC とサブネット - Amazon Virtual Private Cloud VPC とサブネットを作成して、Amazon VPC の使用を開始します。 https://docs.aws.amazon.com/ja_jp/vpc/latest/userguide/VPC_Subnets.html#VPC_Sizing

 

Q. SGのルール数の上限は60ですが、上限値を増やしたい場合の設定方法について教えていただけますでしょうか。

A. AWS 管理コンソールより、サポートフォームから申請を行います。

  Amazon VPC でセキュリティグループルールの制限を増やす Amazon Web Services, Inc.

 

Q. AWS Schema Conversion Tool はどこで動作するのでしょうか?
ネットワークの接続性はどうすればよいでしょうか?

A. クライアントPCで動作するアプリケーションプログラムです。
そのため、利用する PC がデータベースに接続できるネットワーク環境が必要になります。

  AWS Schema Conversion Tool とは - AWS Schema Conversion Tool AWS Schema Conversion Tool を使用して、データベーススキーマを Amazon RDS DB インスタンスに変換するのに役立てます。 https://docs.aws.amazon.com/ja_jp/SchemaConversionTool/latest/userguide/CHAP_Welcome.html

 

Q. AWS EC2上にoracleを構築する場合と、AWS RDSのoracleDBを使用する場合、
どちらでもoracleDBの利用が可能かと思うのですが、
具体的な違い、構築する際の判断基準はをどうすればよいかを教えていただきたいです。

A. RDS Oracleがサポートしていない機能を使いたいときは、EC2にインストールして使用します。
それ以外はRDSを使用することで、より重要な作業に注力していただけます。

「Amazon RDS Oracle では、次の Oracle データベース機能はサポートしていません。
Automatic Storage Management (ASM)
Database Vault
フラッシュバックデータベース
マルチテナント
Oracle Enterprise Manager Cloud Control Management Repository
Real Application Clusters (Oracle RAC)
Real Application Testing
統合監査、Pure モード
Workspace Manager (WMSYS) のスキーマ」

  Amazon RDS での Oracle - Amazon Relational Database Service Oracle on Amazon RDS を使用する方法の紹介と、利用できるさまざまの機能の概要です。 https://docs.aws.amazon.com/ja_jp/AmazonRDS/latest/UserGuide/CHAP_Oracle.html

 

 
Q. リザーブドインスタンスで契約するのは、個別のEC2 instanceの利用権利をもらうものではなく
ある特定のEC2 instanceタイプに対して年間使い続けることの利用権利をもらうと考えればいいのでしょうか。インスタンスタイプが同じであれば、例えばEC2インスタンスAを途中で停止して、別のEC2インスタンスBを立ち上げて稼働させれば、同じリザーブドインスタンス契約で2つのインスタンス料金が請求されますか?

A. 特定の個別のEC2インスタンスではなく、条件指定するのみです。
複数のEC2インスタンスであったとしても、その月の使用時間が1インスタンス分であれば、リザーブドインスタンス1インスタンス分で適用されます。

 

Q. EC2のユーザデータに記載するスクリプト記述は、起動のたびに呼び出されるということは、繰り返し呼ばれても大丈夫な記述を意識しなければならないということでしょうか。

A. デフォルトではAMIを元に起動する1回目だけです。

 

Q. EC2は配置先としてパブリックサブネットを選択したのに対して、RDSの作成時は特にサブネットを指定しなくてもプライベートサブネットに作成されました。
RDSを作成する時は、デフォルトでプライベートサブネットに配置される様になっているということでしょうか。

A. RDS では、サブネットグループを指定することで起動するサブネットが指定されています。

 

Q. RDSの証明書は作成可能でしょうか。それともAWS指定の証明書のみになりますでしょうか。

A. RDS の証明機関は AWS 指定のものだけです。

 

Q. Oracleは可用性を高めるためにRACなどを活用しますが、Auroraは基本的にはHA等を活用するのでしょうか。

A. Aurora では、自動的に6つのストレージクラスターにデータが書き込み、同期的な複製が実行されます。これによりデータの冗長性が向上します。
サーバーの冗長化については、レプリカサーバを配置することで実現できます。

  Amazon Aurora の高可用性 - Amazon Aurora Amazon Aurora では、DB クラスターの高可用性とフェイルオーバーサポートが提供されます。 https://docs.aws.amazon.com/ja_jp/AmazonRDS/latest/AuroraUserGuide/Concepts.AuroraHighAvailability.html

 

Q. Saving Planでコミットする時間単価ってどうやって計算するのでしょうか。

A. どれだけのコンピューティングリソースを起動する予定かに応じて計算します。
EC2 t3.micro を常時2台起動しているということであれば、そのコスト分の時間単価をもとに決定します。

EC2 インスタンスの単価については、料金表をご確認ください。

  料金 - Amazon EC2 | AWS Amazon EC2 インスタンスの 4 つの支払い方法について説明します。オンデマンド、リザーブドインスタンス、スポットインスタンスという 3 つの方法のほか、Dedicated Hosts に対して支払うこともできます。 Amazon Web Services, Inc.

 

Q. インスタンスタイプを変更する場合、該当インスタンスを停止する以外にやるべき事ってありますか?(EBSのデタッチなど)

A. インスタンスタイプの変更であれば、インスタンスを停止するだけで変更できます。

 

Q. EFS/FSx を使う場合はEBSは使わないという理解でいいですか?それともマウントはEBSがEFS/FSx に対してマウントするのでしょうか。

A. EFS/FSx は、複数の EC2 インスタンス間で共有して利用したいボリュームとして OS 上でマウントして利用します。
EFS/FSxを利用する場合でも最低1つの EBS ボリュームが必要です。これは、OS の起動領域です。

 

Q. どのデータをどのボリュームを使うのかというのはどのように設定するのでしょうか。

A. 個々の EBS ボリュームを OS 上のどの位置に配置するかは、OS 側の設定で指定します。
Windows であれば、どのドライブか。Linux であれば、どのデバイスパスにマウントするかは自由に設定できます。

 

Q. テンプレートから起動する際のコマンドの実行ユーザはrootですか?
また,実行ユーザのコントロールはどこかでできますか?

A. ユーザーデータの実行ユーザーの話であると認識しました。
ユーザーデータは、root ユーザー(Windows の場合は、Administrator)の権限で実行されます。ユーザーを指定することはできません。

 

Q. バケットポリシーとアクセスコントロールリストの権限の強さはどちらが強いのでしょうか。

A. 強さの強弱はありません。設定の細かさの違いです。
どちらにも設定がある場合は、”拒否”が全てにおいて優先されます。

 

Q. アクセス許可タブのACLセクションに全員(パブリックアクセス)が追加されていることで公開していると確認できるということで合っていますでしょうか?(オブジェクト欄はハイフンになっています)
また、個々のファイルを選択して、公開しましたが、その個々のファイルが公開されたことはどこで確認できるのでしょうか?

A. はい。あっております。
個々のオブジェクトのACLセクションで確認できます。

 

Q. パブリックアクセスに設定した設定内容はどこで確認できますでしょうか?

A. バケットの[アクセス許可]タブです。

 

Q. ラボ1にてindex.htmlを編集・アップロード後に、試しにindex.html
のページを更新したらエラーになりました。
手順に従い[公開をする]を実行した後は問題なく表示されることを確認しました。

ファイルを個々に[公開する]としている場合は、ファイルを変更する度に[公開する]を行うのは必須ですか?

A. はい。必要です。
ですが、アップロード時にアクセスコントロールリストの設定ができますので、アップロードと同時に設定することは可能です。

 

Q. S3のユースケースの説明時にバージョニングの話がありましたが、バージョニングを使用した際の従量課金については過去バージョンを含めた容量が課金対象となるのでしょうか。

A. はい、合っています。S3 の課金は保存された容量によって決まります。
この容量には、バージョニングで保存されているオブジェクトも含まれています。

 

Q. 質問フォームのアーキテクチャを見させていただいていたのですが、アーキテクチャ設計の際はどのような順序・軸で設計させれたのでしょうか。
設計の際の思考順序についてご教授いただきたいです。

A. 具体的なアーキテクチャの変遷などは講義中の様々な場面で解説があるかと思いますが、AWS のメリットとして、実証実験環境をすぐに従量課金で用意できる。点があります。そして、うまく行かなかったところは、他のサービスややり方で試していくことがやりやすいです。机上で設計をするよりも、実際に作りながら考えていくことがおすすめです。

 

Q. たしかにクラウドにメリットはいっぱいありますが、それがシステム全体をAWSサービスを全面的に利用することが前提かとおもいます。大企業のシステムはいまのところ、一部のみAWSを利用するケースが多かったため、それが逆にコストが増えて、複雑になってしまうケースがあると感じています。

A. 単一構成、ハイブリッド構成に関わらず、システムアーキテクチャを考える時点で、6つのメリットを活かしているか。Well-Architected なアーキテクチャであるか。を考慮することが重要なポイントになります。そのために、Well-Architefted フレームワークの中でもコスト最適化という柱もあります。
オンプレミスと同じ考え方ややり方を AWS で適用していくと仰るように複雑化やコスト増加が発生することは考えられます。

このコースでは、まさにそのあたりをどう考慮していくか。という点を学んでいくコースとなっています。

 

Q. ツイッターのアカウント名はなんでしたっけ

A. yamamanxです

 

Q. 本日のあなドリは、なんだったのでしょうか

A. コーヒー自動販売機で(あなたのために)ドリップ中のライブ動画が表示されます。その動画をSNSにアップすることが「本日のあなドリ」です。

 

多くのご質問、誠にありがとうございました!
そして、2020年も皆さま、まことにまことにありがとうございました!!

 

  【解説つき】2020年3月新試験版AWS 認定ソリューションアーキテクト - アソシエイト資格のサンプル問題を解いてみよう | トレノケート公式ブログ 2020年3月23日更新の「AWS 認定ソリューションアーキテクト - アソシエイト」SAA-C02試験のサンプル問題の解説を書いてみます。 今回は公式解説もサンプル問題に記載がありますので、それをベースに図解します。 トレノケート公式ブログ

 

  AWS認定試験を自宅で受験しました | トレノケート公式ブログ AWS認定講師が自宅からAWS認定試験のOnVUE受験した体験をまとめました。 トレノケート公式ブログ

 

山下 光洋(やました みつひろ)

トレノケート株式会社 講師。AWS Authorized Instructor Champion / AWS認定インストラクター(AAI) / AWS 認定ソリューションアーキテクト - プロフェッショナル /AWS認定DevOpsエンジニア - プロフェッショナル / AWS 認定デベロッパー - アソシエイト / AWS 認定 SysOps アドミニストレーター - アソシエイト / AWS 認定クラウドプラクティショナー / kintone認定 カスタマイズスペシャリスト他。AWS認定インストラクターとしてAWS認定コースを実施。毎年1,500名以上に受講いただいている。AWS 認定インストラクターアワード2018, 2019を日本で唯一受賞。著書『AWSではじめるLinux入門ガイド』(マイナビ出版社)。共著書『AWS認定試験対策 AWS クラウドプラクティショナー』(SBクリエイティブ社)。前職では2016年にAWS Summitにパネラーとして参加。その前はLotus Technical Award 2009 for Best Architectとして表彰されている。また、各コミュニティの運営にも個人的に関わり、勉強会にてスピーカーや参加をしている。

無料ダウンロード

オススメコンテンツ

オススメ記事

プロジェクトマネジメント PMP AWS ビジネススキル Microsoft PMBOKⓇ 田中淳子 IT資格 人材育成 山下光洋 AMA Azure コミュニケーション 人材開発用語集 PMBOK®ガイド入門 クラウド ITスキル 新入社員 横山哲也 PMP試験問題に挑戦 re:Invent セキュリティ DX 人材育成応援ラジオ Cisco PMBOKⓇガイド 第6版 試験体験記 イベント・セミナー PMBOK®ガイド第6版の変更点 人材開発 CCIE CCNA AI(人工知能) テレワーク ネットワーク リモートワーク 研修 GCP PMP(R)試験問題 第6版対応 PMP合格体験記 Windows Server AWS_Q&A Active Directory IT人材 IT資格解説 アセスメント デジタルビジネス ヒューマンスキル リーダーシップ 人気コースランキング 大喜利 部下の育成 Conversations DX人材育成 PMの心得 キャリア グローバル人材 新入社員研修といえば IoT OJT reinvent2022 リスキリング CCNP Security Windows PowerShell クリエイティビティ プログラミング 人材トレンド 試験対策問題 PMP試験対策一問一答 コーチング プロジェクト プロトタイプビルダー 1on1 AI人材 AWS_DiscoveryDay AWSトレーニングイベント GCP無料セミナー Google Cloud Google Cloud Platform G検定 ITインフラ oVice アワード クリティカルシンキング サンプル問題 ステークホルダー ダイバーシティ ディープラーニング ワーケーション 自律 試験Tips Linux PMI Power Platform Python Teams Web会議 jawsdays2024 kintone