AWS上のWindows Server 2016で拡張ネットワーキングをONにして見たいと思います。

そもそも拡張ネットワーキングとは？

拡張ネットワーキングは、高い帯域幅、1 秒あたりのパケット (PPS) の高いパフォーマンス、常に低いインスタンス間レイテンシーを実現します。拡張ネットワーキングは追加料金なしで使用できます。

Linux の拡張ネットワーキング - Amazon Elastic Compute Cloud

ということです。
つまり有効にするだけで通信が早くなるというすぐれものです。

拡張ネットワーキングを有効にする手順

• そもそも拡張ネットワーキングとは？
• 拡張ネットワーキングを有効にする手順
  • 環境
  • Intelネットワークドライバをインストールする
  • 拡張ネットワーキングを有効にする
    • AWSCLIの場合
    • PowerShellの場合
  • 拡張ネットワーキングが有効か確認する
    • AWSCLIの場合
    • PowerShellの場合
• まとめ

環境

• Windows Server 2016 Base
• m4.large

Intelネットワークドライバをインストールする

以下のURLからIntelネットワークアダプタドライバーをダウンロードします。

downloadcenter.intel.com

「ProWinx64.exe」というファイルがダウンロードされたかと思います。
それを「ProWinx64.zip」に拡張子を変更します。

「ProWinx64.zip」を展開します。

コマンドプロンプトを開き、「ProWinx64.zip」を展開したフォルダに移動して以下のコマンドを実行してINFファイルを追加/インストールします。

pnputil -i -a PROXGB\Winx64\NDIS65\vxn65x64.inf 

Windows Server をシャットダウンします。

拡張ネットワーキングを有効にする

ローカルのPCなどの別の環境でいかのコマンドを実行して拡張ネットワーキングを有効にします。
Trueと応答されればOKです。

AWSCLIの場合

aws ec2 modify-instance-attribute --instance-id  i-xxxxxxxxxxxxxxxx --sriov-net-support simple

PowerShellの場合

Edit-EC2InstanceAttribute -InstanceId i-xxxxxxxxxxxxxxx -SriovNetSupport "simple"

拡張ネットワーキングが有効か確認する

デバイスマネージャーを開き、「ネットワークアダプター」の下に「Intel(R) 82599 Virtual Function」があることを確認します。

インスタンスに拡張ネットワーキングの属性が設定されている確認します。
"Value": "simple"となっていればOKです。

AWSCLIの場合

 aws ec2 describe-instance-attribute --instance-id i-xxxxxxxxxxxxxxxx --attribute sriovNetSupport --query 'SriovNetSupport'

PowerShellの場合

Edit-EC2InstanceAttribute -InstanceId i-xxxxxxxxxxxxxxxx -SriovNetSupport "simple"

上記2つがOKであれば拡張ネットワーキングは有効化されています。

まとめ

有効にするだけで通信がはやくなるのでどんどん設定していきましょう！

Amazon Web Services 基礎からのネットワーク＆サーバー構築 改訂版

• 作者: 玉川憲,片山暁雄,今井雄太,大澤文孝
• 出版社/メーカー: 日経BP社
• 発売日: 2017/04/13
• メディア: Kindle版
• この商品を含むブログを見る

VGWの外のトラフィックのパスに複数のオプションがある場合は、以下のようにパスが特定されます。

パス決定の優先順位

1→2→3→4の順にパスが特定されます。

1. 範囲の狭いIPアドレスプレフィックス
   172.24.0.0/16より172.24.1.0/24より172.24.1.1が優先される
2. 静的ルートを使用したVPN接続
3. Direct Connectのパス
4. AS_PATHを利用した動的(BGP)ルートを使用したVPN接続

Amazon Web Services 基礎からのネットワーク＆サーバー構築 改訂版

• 作者: 玉川憲,片山暁雄,今井雄太,大澤文孝
• 出版社/メーカー: 日経BP社
• 発売日: 2017/04/13
• メディア: Kindle版
• この商品を含むブログを見る

AWSでの設定におけるベストプラクティスみたいなものを自分なりにまとめてみました。

• スケーラビリティを確保する
• インフラ環境を自動化する
• リソースを使い捨てにする
• 疎結合化する
• AWSのサービスを最大限利用して設計する
• データの特性にあったデータベースを選択する
• SPOFをなくす
• コスト効率をあげる
• キャッシュを利用して通信料を抑える
• セキュリティを確保する

スケーラビリティを確保する

• インフラをシームレスにスケールできることがAWSの利点。
• AWSのすべてのレイヤーでスケーラビリティを活用するべき。
• 理想的なシステムはスケールアウトするだけでなく、不要なインスタンスが稼働し続けないようにシステムをスケールダウンするようなシステム。

インフラ環境を自動化する

• リソースのプロビジョニング、終了、設定は可能な限り自動化する。
• 例えば異常のあるリソースの検出と代替リソースの起動を自動化する。
• リソースの変更時に通知を受信するようにする。

リソースを使い捨てにする

• 各インスタンスの設定を同一にし、リソースのデプロイを自動化する。
• 使用していないリソースは削除する。
• 固定IPアドレスはできるだけ利用せず、新しいIPアドレスに自動的に切り替える。
• 古いインスタンスと新しいインスタンスをかんたんに置き換えられるようにしておく。

疎結合化する

• 独立したサービスでアーキテクチャを設計する。
• システムのレイヤー間にAWSのマネージドサービスを活用して疎結合化させる。
• ELBとSQSを利用するとかんたんに疎結合に近づくことができる。

AWSのサービスを最大限利用して設計する

• すべてをEC2インスタンスのサーバの内部で実施するのではなく、AWSサービスを利用することを検討する。
• マネージドサービスを利用してサーバレス化させる。

データの特性にあったデータベースを選択する

• 要件にあったデータベースを適切に選んで利用する。
• Read/Writeやストレージのサイズ、レイテンシーなどを考慮する。
• データベースにあわせて業務を決めるのではなく、業務をもとにデータベースを洗濯する。

SPOFをなくす

• 一箇所の障害によってシステム全体が停止するのを避けるため、冗長性を保たせる。
• 物理ハードが故障した場合でもサービスを維持し続けられるように設計する。

コスト効率をあげる

• コストを最適化する。
• リソースのサイズやタイプが適切かどうか確認する。
• 使用されていないリソースを終了する。
• マネージドサービスを積極的に利用し、利用料を下げる。

キャッシュを利用して通信料を抑える

• CloudFrontなどのキャッシュサービスを利用する。
• キャッシュを利用することで通信コストやレイテンシーなどを軽減することができる。

セキュリティを確保する

• ユーザには権限は利用する最小の権限しか与えない。
• データのやり取りは暗号化する。
• アクセスログを記録する。

参考資料

AWS Black Belt Online Seminar 2016 クラウドのためのアーキテクチャ設計 -ベストプラクティス-

合格対策 AWS認定ソリューションアーキテクト - アソシエイト

• 作者: 大塚康徳(日立インフォメーションアカデミー)
• 出版社/メーカー: リックテレコム
• 発売日: 2016/08/17
• メディア: 単行本（ソフトカバー）
• この商品を含むブログ (1件) を見る

ALBでの動作

ALBでは対象のターゲットがヘルスチェックでunhealthyとなっても通信がターゲットに対して行われます。
そして、ALBでは正常なターゲットが含まれているAZがない場合、すべてのターゲットにリクエストをルーティングします。

おそらくフェイルオープンのような思想で設計されているのだと思います。

なにか障害が発生した際に全面断にするような運用をしたい場合には、セキュリティグループで拒否したり、待受ポート番号を変更したりなど、バックエンドインスタンス側に手を入れる必要があるかと思います。

参考:CLBでの動作

CLBの場合はヘルスチェックに失敗したインスタンスにリクエストをルーティングは行われない仕様で、動作に違いがありますので注意が必要です。

ですので全面断をかんたんに実装したい場合にはCLBのほうが適しているかもしれません。

Amazon Web Services　定番業務システム12パターン設計ガイド

• 作者: 川上明久
• 出版社/メーカー: 日経BP社
• 発売日: 2016/07/12
• メディア: Kindle版
• この商品を含むブログ (1件) を見る

マネジメントコンソール上からでは最新版Amazon Linuxしか選択することができません。

基本的には最新版の利用でかまいませんが、現行環境と環境を統一したいときなど、古いバージョンのAmazon Linuxを利用したいときがあるかと思います。

今回は最新ではないAmazon Linuxを入手する方法をご紹介します。

手順

EC2インスタンスの作成時に、コミュニティAMIを選択します。

そして検索で「Amazon Linux 2016」のように過去のバージョンを検索すると、該当のバージョンが出てきますのでそのAMIを利用してインスタンスを作成します。

ただ、コミュニティAMIは公式以外の第三者もAMIを公開しています。
公式のものが利用したい！という場合には以下のAWS CLIを実行し、amazonと表示されれば公式のものです。

aws ec2 describe-images --image-ids ami-xxxxxxxx --region ap-northeast-1 --query 'Images[].ImageOwnerAlias'

Amazon Web Services企業導入ガイドブック -企業担当者が知っておくべきAWSサービスの全貌から、セキュリティ概要、システム設計、導入プロセス、運用まで-

• 作者: 荒木靖宏,大谷晋平,小林正人,酒徳知明,高田智己,瀧澤与一,山本教仁,吉羽龍太郎
• 出版社/メーカー: マイナビ出版
• 発売日: 2016/06/10
• メディア: 単行本（ソフトカバー）
• この商品を含むブログを見る

サーバーサイドでS3のオブジェクトを暗号化して格納する方法をご紹介します。
(クライアントサイド暗号化はSDKなどで実装する必要があるのですこし敷居が高いです)

SSE-S3で暗号化する

SSE-S3はデフォルトの暗号化方式ですのでオプションで--sse AES256と指定してあげるだけでかんたんに暗号化することができます。

aws s3 cp wawawa.txt s3://kabegiwa-bucket/ --sse AES256

以下のようにAES256の表記は省略することも可能です。

aws s3 cp wawawa.txt s3://kabegiwa-bucket/ --sse

SSE-KMSで暗号化する

まず、KMSを使って鍵を作成する必要があります。
鍵の登録方法はこちら

www.kabegiwablog.com

SSE-KMSで暗号化する際はオプションで--sse aws:kmsというオプションを指定し、--sse-kms-keyidで利用するキーのIDを指定します。

aws s3 cp wawawa.txt s3://kabegiwa-bucket/ --sse aws:kms --sse-kms-key-id aaaaaaaa-bbbb-cc12-3456-7890-dddddddddddd

Amazon Web Services　定番業務システム12パターン設計ガイド

• 作者: 川上明久
• 出版社/メーカー: 日経BP社
• 発売日: 2016/07/12
• メディア: Kindle版
• この商品を含むブログ (1件) を見る

概要

S3を複数のユーザで利用するファイルサーバ(ファイルストレージ)として利用する方法をご紹介します。
S3を作成して共有するだけでファイルのやりとりは可能ですが、すべてのユーザがrootユーザとしてアクセスすることになるのでセキュリティ上よろしくありません。IAMユーザとIAMグループを作成し、適切に権限を付与させていきます。

手順

• 概要
• 手順
  • S3バケットの作成
  • IAMユーザの作成
  • IAMグループの作成
  • IAMポリシーの作成
  • IAMグループにポリシーをアタッチする
  • AWSCLIで実際にファイルのやり取りを行う
• まとめ

S3バケットの作成

マネジメントコンソールの「S3」から、「バケットを作成する」を選択します。

バケット名とリージョンを入力し、ウインドウ左下の「作成」を選択します。

バケットができました。

IAMユーザの作成

マネジメントコンソールの「IAM」を開き、サイドメニューから「ユーザー」を選択します。

「ユーザを追加」を選択します。

「ユーザ名」を入力して、「プログラムによるアクセス」にチェックをいれて「次のステップ：アクセス権限」へすすみます。

一旦アクセス権限は飛ばします。
そのまま「次のステップ：確認」へすすみます。

「ユーザの作成」を選択します。

するとユーザが作成され、アクセスキーとシークレットアクセスキーが表示されます。
この情報はS3とのファイルのやり取りに必要になりますので「表示」を押してメモをとっておくか、「.csvのダウンロード」で情報をダウンロードしておきます。

確認したら「閉じる」を選択します。

IAMグループの作成

サイドメニューから「グループ」にすすみ、「新しいグループの作成」を選択します。

「グループ名」を入力し、「次のステップ」を選択します。

「グループの作成」を選択します。

続いて作成したグループにユーザを追加します。
グループを選択して、「グループのアクション」から「グループにユーザーを追加」を選択します。

IAMユーザの作成で作成したユーザを選択して「ユーザの追加」でユーザーをグループに追加します。

IAMポリシーの作成

サイドメニューから「ポリシー」にすすみ、「ポリシーの作成」を選択します。

「独自のポリシー」を選択します。

ポリシー名に任意の名前をつけ、「ポリシードキュメント」の欄に以下のJSONをコピーします。
kabegiwa-bucketの部分はバケット名ですのでアクセス許可を与えたいS3の名前に変更してください。 それぞれ入力したら「ポリシーの作成」を選択します。

ポリシードキュメント例

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "s3:*",
            "Resource": [
                "arn:aws:s3:::kabegiwa-bucket",
                "arn:aws:s3:::kabegiwa-bucket/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "s3:ListBucket",
                "s3:GetBucketLocation"
            ],
            "Resource": "arn:aws:s3:::kabegiwa-bucket/*"
        },
        {
            "Effect": "Allow",
            "Action": "s3:ListAllMyBucket",
            "Resource": "arn:aws:s3:::*"
        }
    ]
}

このポリシーは以下の3つのことを許可するポリシーです。

1. kabegiwa-bucketのすべて(/*)に対してすべての許可であるs3:*を許可
2. kabegiwa-bucketに対してs3:ListBucket,s3:GetBucketLocationでバケット一覧の取得とバケットの場所の取得を許可
3. S3全体にs3:ListAllMyBucketsで存在するバケットの一覧取得を許可

IAMグループにポリシーをアタッチする

作成したポリシーから「アタッチされたエンティティ」タブを選択し、「アタッチ」をクリックします。

IAMグループの作成で作成したグループを選択し、「ポリシーのアタッチ」を選択します。

以上でAWS側の設定は完了です！

AWSCLIで実際にファイルのやり取りを行う

コンソールやコマンドプロンプトを開き以下のコマンドを実行し、ユーザ作成時に控えておいたアクセスキーとシークレットアクセスキーを入力します。
リージョンは東京リージョンの場合はap-northeast-1と入力します。
最後のoutput formatは空白のままそのままEnterでかまいません。

kabegiwa: ~$ aws configure
AWS Access Key ID [None]: アクセスキー
AWS Secret Access Key [None]: シークレットアクセスキー
Default region name [None]: ap-northeast-1
Default output format [None]: そのままEnter

そしてs3コマンドを使ってS3を操作します。

コピーする場合

kabegiwa: ~$ aws s3 cp wawawa.txt s3://kabegiwa-bucket/

移動する場合

kabegiwa: ~$ aws s3 mv wawawa.txt s3://kabegiwa-bucket/

バケットにファイルを置くことができました！

kabegiwa: ~$ aws s3 ls s3://kabegiwa-bucket
2017-10-31 21:31:14          0 wawawa.txt

まとめ

S3を利用してセキュリティを確保したファイルサーバを作成することができました。
CLIの利用が面倒な場合はCyberduckなどのGUIツールを利用するのがよいかもしれません。

Cyberduckを利用する方法はこちらから

www.kabegiwablog.com

Amazon Web Services パターン別構築・運用ガイド 　一番大切な知識と技術が身につく

• 作者: NRIネットコム株式会社,佐々木拓郎,林晋一郎,小西秀和,佐藤瞬
• 出版社/メーカー: SBクリエイティブ
• 発売日: 2015/03/25
• メディア: Kindle版
• この商品を含むブログを見る