OGIS_サービス基盤としてのAWS

サービス基盤をえる AWSのアーキテクチャ Amazon Web Services Japan エコシステムソリューション部パートナーソリューションアーキテクト梁川

紹介梁川貴史 (こやながわたかし) パートナーソリューションアーキテクト APNさまへの技術援アーキテクチャの検討援やレビューなど経歴ソフトハウスにて開発とSI 業務を経験電機メーカーにて社 Webサービスの設計から運まで経験 AWSのユーザとして4 年半 1000 台を超えるインスタンス環境での開発運好きなサービス Cloudwatch events AWS IoT

アマゾンのビジネス Eコマース ( 物販 &デジタル) アドバタイジングマーケットプレイスロジスティックスクラウド

Since 1995 規模の経済 ITの活で薄利多売のビジネスモデルを実現低コスト化への改善値下げカスタマーファースト選択肢の増加スケールメリットテクノロジーカンパニーパートナーの増加企業の成長顧客満足度の向上利用量の増加

Amazonのクラウドの考え初期投資不要完全従量課柔軟なキャパシティ市場投スピードセキュアグローバル展開柔軟なインフラリソースをいつでも誰でも安くにれることができる

AWS グローバルネットワーク 13のリージョン 1. US EAST (Virginia) 2. US WEST (N. California) 3. US WEST 2 (Oregon) 4. EU WEST (Ireland) 5. JAPAN (Tokyo) 6. South America (Sao Paulo) 7. ASP 1 (Singapore) 8. ASP 2 (Sydney) 9. GovCloud 10.BJS 1 (Beijing China) limited 11.EU (Frankfurt) 12.Seoul(korea) 13.Mumbai(India) 13 Regions ( 地域 ) 35 Availability Zones(データセンター群 ) 54か所のエッジロケーション

世界中に広がるAWSの拠点 AZ 間はAWSの専線で接続 AZ 間はほぼ1ms 以下のレイテンシー AZ Transit 1データセンターあたり5 万台以上のサーバデータセンター間はAWSの専線で接続 AZ AZ AZ AZ Transit

世界中に広がるAWSの拠点 AZ 間はAWSの専線で接続 AZ 間はほぼ1ms 以下のレイテンシー収集されるデータのロケーションはお Transit 客様が選択 AZ 1データセンターあたり5 万台以上のサーバデータセンター間はAWSの専線で接続データは配置されたリージョンから許可なく他 AZ AZ AZ リージョンへコピーされない AZ むしろ DR 的であえて動でコピーする設定をうことも可能 Transit

AWSのセキュリティに対する取り組み

リリースとセキュリティの関係ティ最優先の考え 40% 以上がセキュリティに関するアップデートorリリース

共有責任モデル AWSのセキュリティに関する考えお客様お客様のアプリケーションとコンテンツプラットフォームアプリケーションアイデンティティ &アクセス管理オペレーティングシステムネットワークファイアウォール構成顧客はクラウド内のセキュリティに責任を持ちますクライアント側でのデータ暗号化サーバー側でのデータ暗号化ネットワークトラフィックの保護 AWS の基盤サービスコンピューティング AWS グローバルインフラストラクチャストレージデータベースネットワーキングアベイラビリティーゾーンリージョンエッジロケーション AWS はクラウドのセキュリティに責任を持ちます

専家の監査 : 透明性と正確性専の監査はコンプライアンスに関して偏のない解を提供しますプロセスが終わることはなく常に尽し続けていますこれまでにご覧になったことがないようなモニタリングを継続しています PCI DSS:Payment Card Industry Data Security Standard クレジットカード情報および取引情報を取り扱うためのセキュリティ基準 https://aws.amazon.com/jp/compliance/compliance-latest-news/

AWSのセキュリティ実証例医情情報でもクラウドに医療情報を分散格納し情報漏えいや災害時の情報消失防に対処 Eコマースでもクラウド上で顧客情報クレジット決済を管理金融サービスでも PCI DSSを取得して融決済サービスを提供

本で20,000 以上のお客様

AWSクラウド上で構築エコシステムで課題解決! クラウドサービス提供アプライアンスネットワークベンダーのクラウド対応システムインテグレーション

すべての IT を on AWSで 500 台規模のプライベートクラウドを丸ごとAWSへ業務システムの全インフラを数年かけてAWSに移基幹システムをAWSに移その他の業務システムも順次 AWSに移 1000 台以上のサーバーをほぼ全てをクラウドへ移 5 年間で40%のコスト削減

AWS 体にて継続的なイノベーションを加速 24 AWS EMR Amazon VPC Amazon RDS 2009 Amazon SNS AWS Identity & Access Management Amazon Route 53 48 AWS Import/Export 2010 82 Amazon SES AWS Elastic Beanstalk AWS CloudFormation Amazon ElastiCache AWS Direct Connect GovCloud 2011 AWS Storage Gateway Amazon Dynamo DB Amazon CloudSearch Amazon SWF Amazon Glacier 159 Trusted Advisor Amazon Redshift AWS Data Pipeline 2012 Amazon Elastic Transcoder AWS OpsWorks Amazon CloudHSM Amazon AppStream Amazon CloudTrail Amazon WorkSpaces Amazon Kinesis 280 2013 516 AWS CodeDeploy AWS CodeCommit AWS CodePipeline Amazon EC2 Container Service Amazon Lambda Amazon Config Amazon CloudWatch Logs Amazon RDS for Aurora AWS KMS Amazon Cognito Amazon WorkDocs AWS Service Catalog AWS Directory Service Amazon Mobile Analytics 2014 AWS IoT 722 AWS Mobile Hub Amazon EC2 Container Registry AWS Database Migration Service Amazon Inspector Amazon RDS for MariaDB Amazon Kinesis Analytics Amazon Kinesis Firehose AWS Import/Export Snowball Amazon QuickSight Amazon Elasticsearch AWS WAF Amazon API Gateway AWS Device Farm Amazon EFS Amazon WorkMail Amazon Machine Learning 2015 Service

数字でるAWSクラウド世界に先駆け2006 年よりクラウドサービスを提供世界に13か所のデータセンター群世界で190か国の100 万を超えるお客様が利年間で合計 700を超える(15 年度実績 ) イノベーション機能拡張 / 改善世界に10,000を超えるパートナーエコシステム累計で51 回以上値下げをして利益をお客様へ還元

お客様のアプリケーションライブラリ & SDKs Java, PHP,.NET, Python, Ruby 管理インターフェイス Management Console, CLI 認証とログ IAM, Cloud Trail, Cloud HSM, Config ディレクトリ Directory Service モニタリング Cloud Watch, Trusted Advisor コード管理 CodeDeploy, CodeCommit, CodePipeline デプロイと動化 Elastic Beanstalk, Cloud Formation, OpsWorks エンタープライズアプリケーション WorkSpaces, WorkDocs, WorkMail モバイルサービス Mobile Analytics, Cognito, SNS データベースアプリケーションサービスサーバーストレージ DBからアプリケーションまで RDS, DynamoDB, AppStream, Cloud Search, Redshift, ElastiCache SWF, SQS, SES, 70を超えるクラウドサービスを提供 Region コンピュート処理 EC2, Auto Scaling, Lambda Elastic Load Balancing, EC2 Container Service AZ ストレージ EBS, S3, Glacier, Storage Gateway ネットワーク VPC, Route 53, Direct Connect グローバルインフラリージョンアベイラビリティゾーンエッジロケーション分析 Elastic MapReduce, Kinesis, Data Pipeline コンテンツ配信 CloudFront

クラウドネイティブ化による本業集中への変遷イメージ Application Application Application Middleware Middleware OS OS Server/Storage Network Appliance Data Center オンプレクラウドファーストクラウドネイティブ

AWSサービスの本質はビルディングブロックサービスを組み合わせることで素早くアプリケーション構築が可能

Amazon API Gateway Mobile Apps Web APIの作成保護運と公開を簡単に AWS API Gateway Cache API Gateway AWS Lambda functions 特徴 (http://aws.amazon.com/jp/lambda/) OS キャパシティ等インフラの管理不要バックエンドとしてLambda 既存 Webシステムを利可能スロットリング/キャッシュ Websites Services Amazon CloudWatch Monitoring Endpoints on Amazon EC2 / Amazon Elastic Beanstalk Any other publicly accessible endpoint 価格体系 (http://aws.amazon.com/jp/lambda/pricing/) 呼び出し回数とキャッシュ容量 100 万回の呼び出しにつき$3.5 キャッシュ容量に応じて$0.02/ 時 $3.8/ 時

Amazon API Gateway 提供するAPIのバージョン管理 API 利状況のモニタ管理とマネタイズ APIに対する認証とアクセス権の管理トラフィック管理とAPIエンドポイントのアタックからの保護インフラのセットアップおよび管理とメンテナンス

スロットリングメソッド単位でのスロットリングを提供ステージ単位で全体的に同設定にすることも個々のメソッドに対して個別に設定することも可能スロットリングによりバックエンドのパフォーマンスと可性を維持許容するリクエスト/ 秒を指定バーストを許容する設定も可能トークンバケットアルゴリズムによる実装リミットを超えたリクエストがスロットリングされる HTTPステータス429(Too many request)をレスポンス成したSDKを使う場合動でリトライする

レスポンスのキャッシングレイテンシ減とバックエンドへのトラフィック軽減キャッシュがあった場合バックエンドを呼び出すことなくレスポンスステージ単位のキャッシュプロビジョニング 0.5GBから最 237GBの間でプロビジョニング細やかな設定メソッド単位で暗号化とTTLを設定クエリパラメータヘッダパスパラメータ単位でキャッシュ有無を設定キャッシュアルゴリズムはLRU(Least Recently Used)

AWS Lambda イベントをトリガーにコードを実するコンピュートサービスインフラ管理不要いパフォーマンス細やかな料ビジネスロジックにフォーカスできるコードをアップロードするだけであとはAWS Lambdaが以下をハンドリングイベントのレートに合うようにLambdaが動でスケール 100ミリ秒単位でのコンピュート時間に対する価格設定

AWS Lambda サービスの組み合わせイメージのリサイズやサムネイルの作成リアルタイムデータ処理として元画像 1 3 サムネイル画像 2 Amazon Kinesis AWS Lambda リアルタイム Amazon S3 Bucket イベント値チェックや別テーブルへのコピー AWS Lambda 別テーブルを更新集計処理 Cloudwatch logsやsnsなどとの連携も可能 SWF Workerとして (バッチジョブフローのタスクとして) 画像処理 AWS Lambda Amazon DynamoDB Table and Stream AWS Lambda プッシュ通知配信処理 AWS Lambda

従来型アーキテクチャとAWS Lambdaの較 S3へファイルアップロードされたら解析するようなユースケース従来型アーキテクチャ AWS Lambda 1)ポーリング 1)Object 設置 2)AWS Lambda 起動 2)object 設置 3)object 情報取得 4) 処理 queue 作成 5) 処理 queue ポーリング 6) 実際にやりたい処理処理量に併せてinstance の増減管理 EC2インスタンス不要 EC2 コスト監視リアルタイム性の向上従来型アーキテクチャの6)のコードのみコード圧縮可能

Amazon Relational Database Service (RDS) フルマネージドRDBMSサービス特徴 (http://aws.amazon.com/jp/rds/) MySQL / PostgreSQL / Oracle DB / SQL Serverに対応数クリックで構築可能でバックアップやパッチの適フェイルオーバーは動でわれる Oracle DB / SQL Serverのライセンスを従量課モデルで利可能 (Oracle DB: Standard Edition One / SQL Server: Express Web Standard Edition), Enterprise Editionなど他のエディションをBYOL 可能 Multi-AZ 配置 (SQL ServerはVirginia, Oregon, Ireland リージョン)により2つのAZにMasterを配置可能 (Hot- Standby 構成 ) / リージョン間でスナップショット動転送も可能価格体系 (http://aws.amazon.com/jp/rds/pricing/) インスタンスタイプに応じて Oracle / SQL Serverはライセンスの時間課ストレージ / バックアップストレージは利量に応じて Multi-AZ 配置を利の場合料表記載の料

Amazon Cognito アイデンティティの管理とクロスプラットフォームなデータ同期 Cognito Identity : AWSサービスへのゲートウェイ Amazon Cognito (AWS IAM / STS) Cognito Sync :クロスデバイスなデータ同期特徴 (http://aws.amazon.com/jp/cognito/) 複数のIDプロバイダや独認証基盤との連携したユニークなアイデンティティの作成管理クロスプラットフォームクロスデバイスでのデータ同期セキュリティのベストプラクティス実装を実現価格体系 (http://aws.amazon.com/jp/cognito/pricing/) 無料利枠あたり100 万回の同期オペレーションあたり10GBのデータストア最初の12ヶのみそれ以降 10000 回の同期オペレーションあたり$0.15 同期データストアの容量 :$0.15/GB

Amazon Simple Notification Service (SNS) マルチプロトコルに対応したフルマネージド通知サービス 1.Topicにメッセージを送信 2. マルチプロトコルで通知 HTTP HTTPS EMAIL 特徴 (http://aws.amazon.com/jp/sns/) 個々のメッセージ送信や多数の受信者にメッセージをファンアウトすることが可能 AWSの様々なサービスと連携して通知可能フルマネージドなので速かつスケーラブルで管理不要で常に安価 Publisher Publis h Topic Amazon SNS SQS Mobile Push Subscriber 価格体系 (http://aws.amazon.com/jp/sns/pricing/) 無料枠 : Email/Email-JSON: 1,000 件 HTTP/HTTPS: 100,000 件 Simple Queue Service(SQS): 無料リクエスト単価 (64KBのチャンク毎に1リクエストとして課 ) Email/Email-JSON: 100,000 件あたり2 USD HTTP/HTTPS: 100 万件あたり0.6 USD Simple Queue Service(SQS): 無料

Amazon Mobile Analytics モバイルのためのスケーラブルなデータ収集と可視化 Amazon S3 自動エクスポート収集 Amazon Mobile Analytics 参照 Amazon Redshift 特徴 (http://aws.amazon.com/jp/mobileanalytics/) モバイルアプリの利状況データを規模に収集可視化して把握することが可能速スケーラブルでクロスプラットフォーム S3 Redshiftへデータを動エクスポート価格体系 (http://aws.amazon.com/jp/mobileanalytics/pricing/) 収集するイベント数による課無料枠あたり1 億イベントまでそれ以降あたり100 万イベントにつき$1

従来型のサーバデザインとサーバレスアーキテクチャデザイン

典型的なWebシステム Amazon Route 53 (ドメイン名割り当て) CloudFront (コンテンツ配信 ) 東京リージョン AZ-1a ELB (ロードバランサ) AZ-1c EC2 EC2 S3 静的コンテンツ RDSマスタ動同期 RDSスレーブ

クラウドファースト Web Front Application Availability Zone ELB DB Web Front Application Availability Zone 認証認可機能スロットリングコンテンツ配信スケーリングキャッシュ機構など

求められるスピードモバイル対応新しい要求セキュリティパッチリソース管理インフラ運用

クラウドネイティブ静的コンテンツ認証機構 AIP 定義スロットリング設定 WebFront ファンクション DB NoSQL DB

1 S3のStaticWebsiteにアクセス 1 S3の静的ウェブサイトホスティング機能でホストされた HTML, JS, CSSにアクセス以降は全てAjaxで処理する

2 Cognitoから認証情報取得 1 2 AWSのリソースにアクセスするための時的な認証情報をCognitoから取得

3 AjaxでAPI Gatewayを叩く 1 2 3 Cognitoから取得した認証情報をいる新規コメント投稿や投稿内容の取得をう

4 APIがLambdaをキック 1 2 3 LambdaでDynamoDBにアクセスし情報の登録 / 取得をう No servers. 4

5 LambdaでDynamoDBを操作 1 情報の取得と更新をう 2 3 4 5

サーバレス構成のまとめ 1 2 3 1 S3 静的ウェブサイトホスティング 2 Cognito Indentity & Cognito Sync 3 API Gateway (IAM 認証, CORS) 4 Lambda Function 5 DynamoDB 4 5

まとめサーバレスアーキテクチャサーバがなくなるわけではなくお客様がサーバ/インスタンスを管理する必要がなくなるアプリケーション作成 API 設計に集中頂くことが可能導のポイント REST API ステートレス新しい技術に対する検討管理テストなど