学習メモ:AWS-SOA-C02
Auto ScalingはAZを跨いで設定可能
Auto Scaling グループをリージョン 内の複数のアベイラビリティーゾーンに配置し、それらのアベイラビリティーゾーンに受信トラフィックを配信するようにロードバランサーを添付して、地理的な冗長性による安全性と信頼性を活用できます。
ELBターゲットグループ
- ターゲットとヘルスチェックを管理
- ターゲットに対しては、グループ内で負荷分散してリクエストを実行
HTTPCode_Backend_5XX
登録済みインスタンスからサーバーエラー応答が送信された場合のエラー表記
解決するには、インスタンスのアクセスログまたはエラーログを表示して、原因を特定することが必要
Dev/IO:ELBの挙動とCloudWatchメトリクスの読み方を徹底的に理解する
Amazon CloudWatchイベントは?
Amazon CloudWatchイベントはAmazon EventBridgeに移行され、
これまで設定してきた処理にはAmazon EventBridgeを利用することが求められる
Amazon EventBridge のよくある質問
Amazon EventBridge
イベントを通じてAWSサービス・アプリケーション同士を簡単に接続できるようにするサービス
Amazon EventBridge
AWS Health
AWS Healthは、リソースのパフォーマンスと、の可用性を継続的に可視化します。AWS のサービスとアカウント。AWS Health イベントを使用して、サービスおよびリソースの変更が AWS で実行されているアプリケーションにどのように影響するかを確認できます。
Amazon Route 53 ヘルスチェックの種類
エンドポイントをモニタリングするヘルスチェック
- IP アドレスあるいはドメイン名で特定するエンドポイントをモニタリングするヘルスチェック
- 指定された一定の間隔で、自動リクエストをインターネット経由でアプリケーションやサーバーなどのリソースに送信して、そのリソースが到達可能、使用可能、機能中であることを確認
- オプションで、ユーザーが行ったものと同様のリクエスト (特定の URL へのウェブページのリクエストなど) を行うように、ヘルスチェックを設定可能
他のヘルスチェック (算出したヘルスチェック) を監視するヘルスチェック
- 他のヘルスチェックの正常または異常の判断を、Route 53 が行うべきかどうかをモニタリング
- 複数のウェブサーバーなどの同じ機能を実行する複数のリソースがあるときに、最低限のリソースが正常であるかどうかに重点を置く場合、使用する
- ヘルスチェックの通知設定をせずに、各リソースにヘルスチェックを作成できます。続いて、そのほかのヘルスチェックのステータスをモニタリングするヘルスチェックを作成し、利用できるウェブリソース数が指定するしきい値を下回る場合に通知を行うように設定する
CloudWatch アラームをモニタリングするヘルスチェック
- Amazon DynamoDB データベースへのスロットル読み込みイベント数や正常に機能していると推測される Elastic Load Balancing ホストの数などの CloudWatch メトリクスのステータスをモニタリング
- CloudWatch アラームを作成可能
- 耐障害性と可用性を向上させるため、Route 53 は CloudWatch アラーム が ALARM 状態になるまで待機しない。ヘルスチェックのステータスの正常から異常への変更は、CloudWatch アラームのデータストリームと基準に基づいて発生
AWS Configのカスタム通知
AWSリソースに対してカスタムまたは管理されたルールを評価して通知をすることができる
AWS CloudFormationで使えるヘルパースクリプト
cfn-init
リソースメタデータの取得と解釈、パッケージのインストール、ファイルの作成、およびサービスの開始で使用します。
cfn-signal
CreationPolicy または WaitCondition でシグナルを送信するために使用し、前提となるリソースやアプリケーションの準備ができたときに、スタックの他のリソースを同期できるようにします。
cfn-get-metadata
特定のキーへのリソースまたはパスのメタデータを取得するために使用します。
cfn-hup
メタデータへの更新を確認し、変更が検出されたときにカスタムフックを実行するために使用します。
ICMPとPingコマンド
「ICMP」は”Internet Control Message Protocol”の略で、文字通りIPメッセージ
が送信元から相手に届くまでの間に起きたエラー関連の情報を送信元に通知する
ためのプロトコルです。
数多くの種類の通知がありますが、これらの中でも最も良く使われているのが「PINGコマンド」と呼ばれる「エコー要求」と「エコー応答」です。
これを使えばIPアドレスで指定した相手と通信が出来るかどうかが簡単に確認出来ます。
CloudFront ビューワーレポート
CloudFront コンソールでは、物理デバイス (デスクトップコンピュータ、モバイルデバイス) およびコンテンツにアクセスするビューワー (通常はウェブブラウザ) に関する 4 つのレポートを表示できます。
デバイス
コンテンツにアクセスするユーザーが最も頻繁に使用するデバイスのタイプ
(デスクトップやモバイルなど)。ブラウザ
Chrome や Firefox など、コンテンツにアクセスするときに、
ユーザーが最も頻繁に使用するブラウザの名前 (または名前とバージョン)。
このレポートには、上位 10 件のブラウザが表示されます。オペレーティングシステム
Linux、macOS、Windows など、コンテンツにアクセスするときに
ビューワーが最も頻繁に実行するオペレーティングシステムの名前 (または名前とバージョン)。
このレポートには、上位 10 件のオペレーティングシステムが表示されます。ロケーション
コンテンツに最も頻繁にアクセスするビューワーの場所 (国、または米国の州/準州)。
このレポートには、上位 50 件の国、または米国の州/準州が表示されます。
4 つのビューワーレポートはすべて、過去 60 日の中のどの日付範囲でも表示できます。ロケーションレポートでは、過去 60 日の中で最大 14 日間の日付範囲の間、1 時間ごとにデータポイントのあるレポートを表示することもできます。
CloudFront 使用状況レポート
- 使用状況レポートデータのサブセットに基づいて CloudFront の使用状況をグラフィカルに表示
- 毎時間または毎日のデータポイントを使用して、過去 60 日間の指定した日付範囲のグラフを表示
- 通常、最近 4 時間前までに CloudFront が受け取ったリクエストについてデータを表示できるが、24 時間、遅れることもある
CloudFront キャッシュ統計レポート
- CloudFront エッジロケーションに関連する統計をグラフ表示できる
- 統計のデータは CloudFront アクセスログと同じソースから取得される
- 毎時間または毎日のデータポイントを使用して、過去 60 日間の指定した日付範囲のグラフを表示
- 通常は、1 時間前までに CloudFront が受け取ったリクエストについてデータを表示できるが、 24 時間ほど遅れることもある
セキリュティ
- VPCに対して、直接、特定のIPアドレスの拒否をするルールは追加できない
- WAFにはドメインリストに基づいて拒否する機能はない
ネットワークACL
ACL(Access Control List)とは、システムやファイル、ネットワーク上のリソースなどへのアクセス可否の設定をリストとして列挙したものです。
AWS Shield
マネージド型の分散サービス妨害 (DDoS) を防御するAWSサービス
スタンダードとアドバンスト
- スタンダード:CloudfrontやRoute53を保護。無料
- アドバンスト:アプリケーションも保護。有料
SpilloverCount
サージキューが上限を超え、拒否されたリクエストの総数を取得
ELBの挙動とCloudWatchメトリクスの読み方を徹底的に理解する
NATゲートウェイ
NAT ゲートウェイは、ネットワークアドレス変換 (NAT) サービスです。NAT ゲートウェイを使用すると、プライベートサブネット内のインスタンスは VPC 外のサービスに接続できますが、外部サービスはそれらのインスタンスとの接続を開始できません。
Elastic BeanstalkとOpsworksの違い
Elastic Beanstalk
WEBアプリケーションの展開と管理を自動化する際に用いられるサービス
Opsworks
サーバーのパッチ適用、アップデート、バックアップが自動的に実行
暗号化形式の簡単なメモ
- SSE-S3
S3の暗号 - SSE-KMS
AWS-KMSの暗号 - SSE-C
ユーザー管理の暗号
CloudWatch Logs Insights
大量のログを数秒で調査し、インタラクティブなクエリの実行と可視化
AWS OrganizationsのOU内のメンバーが削除できない理由
- 請求設定(クレジットカード登録など)がされていない
- スタンドアロンアカウントとして動作するために必要な情報(住所など)を持っていない
Elastic IPアドレス とスパム対策
Elastic IPアドレスを設定すると自動的にスパム対策のISPと連携する
EBSメトリクス
- EBSReadOps
インスタンスで利用できるすべてのEBSボリュームでの、完了した読み取り操作の数を取得 - EBSWriteOps
インスタンスで利用できるすべてのEBSボリュームでの、完了した書き込み操作の数を取得 - EBSReadBytes
インスタンスで利用できるすべてのEBSボリュームでの、読み取られたバイトの数を取得 - EBSWriteBytes
インスタンスで利用できるすべてのEBSボリュームでの、書き込まれたバイトの数を取得
EBSの再起動失敗
EBSを再起動しようとすると、保留状態から終了状態へ移行するエラーの原因
- 容量超過EBSの容量制限超過。
- EBSスナップショットの破損(再起動処理時にスナップショットを利用した場合)
- 復号化の失敗:ルートEBSボリュームは暗号化されており、復号化のためにKMSキーにアクセスする権限がない。
- AMIの破損:インスタンスを起動するために使用したインスタンスストアバックアップAMIに必要な部分がない。
一時的なアクセスについての権限
- 最小権限
要件を満たす最小権限 - IAMロールを利用する
IAMユーザーと異なり、キーの流失リスクを防ぐことができるなど、IAMロールの方が有用。