AWSに入門する

Day1対応

https://zenn.dev/niikikoh/articles/3695f9b504a7fd

Amazon SageMaker

https://aws.amazon.com/jp/sagemaker/
https://qiita.com/kuwadev/items/d7ecdcd6b3f55e0e3576
https://qiita.com/yamazombie/items/b7cf47a01f037a69de5b
https://qiita.com/ku2482/items/af187b427d941dee7ca0
https://qiita.com/mariohcat/items/304b5e9ba20c7761084f

quicksight

BIダッシュボード。

QuickSight使うまでのフロー

Aurora -> Glue -> S3 -> Athena -> QuickSightとか。

クラスター

タスクやサービスを束ねる論理的なグループ（？）
実行環境の境界
実行環境の境界

サービス

複数のタスクやロードバランサを組み合わせた概念。

タスク

稼働しているコンテナを指す。
タスク定義に基づき起動されるコンテナ群（？）
タスク内コンテナは同一ホスト上で実行される（？）

Well-Architected Framework

アーキテクチャのベストプラクティス。
「Design for Failure」として単一障害点のない構成を考える。

Design principles（設計原則）

• 必要なキャパシティを勘に頼らない。
• 本番規模でのシステムテストを行う。
• アーキテクチャ試行の回数を増やすために自動化を取り入れる。
• 発展的なアーキテクチャを受け入れる。
• データ計測に基づいてアーキテクチャを決定する。
• 本番で想定されるトラブルをあらかじめテストし、対策する。

5本の柱

運用の優秀性

• コードで運用する。
• ドキュメントに注釈を付ける。
• 定期的に、小規模な、元に戻すことができる変更を適用する。
• 運用手順を定期的に改良する。
• 障害を予測する。
• 運用上のすべての失敗から学ぶ。

セキュリティ

• 強力なアイデンティティ基盤を導入する。
• 追跡可能性を有効にする。
• すべてのレイヤーにセキュリティを適用する。
• セキュリティのベストプラクティスを自動化する。
• 転送中および保管時のデータを保護する。
• 人をデータから遠ざける。
• セキュリティイベントに備える。

信頼性

• 復旧手順をテストする。
• 障害からの復旧を自動化する。
• システム全体の可用性を向上するために水平方向にスケールする。
• キャパシティの判断を勘に頼らない。
• オートメーションで変更を管理する。

パフォーマンス効率

• 最新のテクノロジーを標準化する。
• 数分で世界中にデプロイする。
• サーバーレスアーキテクチャを使用する。
• 実験の頻度を増やす。
• システムを深く理解する。

コスト最適化

• 消費モデルを導入する。
• 全体的な効率を測定する。
• クラウド財務管理を実装する。
• 支出を分析し、帰属関係を明らかにする。
• 総所有コストを低減させるためにマネージドサービスを使用する。

Global Infratructure

リージョンとアベイラビリティゾーン（AZ）

EC2やRDSなどが自動で切り替わる。切り替わりには30分くらいの時間がかかるらしい。

• リージョンは複数のAZによって構成される。
• AZは複数のデータセンター（DC）によって構成される。
• 複数のAZを用いることで、高い耐障害性を提供できる（Multi-AZ構成）。

？？？
可用性の向上
スケールアップからスケールアウトへ
ステートレス
セッション情報やログをEC2？からRDSやCloudWatchに移す。
好きなときにEC2？を削除できる。

https://www.youtube.com/watch?t=2006&v=Kb7ZEBwqUAI&feature=youtu.be
https://www.youtube.com/watch?v=cD870G8uqhY

Compute Services

ECS

クラウドでコンテナを本番利用するためのオーケストレータ。
EC2だとコンテナの管理が大変らしいからECSでいい感じにできる。
ECSでFargateをオーケストレーションできる。

Fargate

マネージド型のコンテナ実行基盤。

Network Services

Elastic Load Balancing（ELB）

クラウドネットワークのロードバランサー。
見た目は1コンポーネントだが、裏ではMulti-AZ構成である。

Application Load Balancer（ALB）

HTTP・HTTPSを使うときに利用するのが一般的である。

Network Load Balancer（NLB）

TCP・UDPなどを使うときに利用するのが一般的である。

Classic Load Balancer（CLB）

旧世代のロードバランサー。

Route 53

DNSサービス。IPアドレスを返す。

CloudFront

CDNサービス。コンテンツを地理的に分散したサーバにキャッシュする。
配信の高速化・サーバへの負荷軽減が期待できる。

Strage Services

Intelligent-Tiering

アクセス頻度が少ないデータを自動でアーカイブする。

暗号化

• クライアントサイドで暗号化したデータをS3に保存する（クライアントサイド暗号化）。
• AWSのサーバ側でデータを暗号化する（サーバーサイド暗号化）。

Elastic Block Store（EBS）

EC2にマウント可能なブロックストレージ（？）。

Elastic File System（EFS）

複数のインスタンスから同時にマウント可能なストレージ（？）。
EFSが1番理解しやすいと思う。
ツリー構造でファイルを管理する（Linuxのディレクトリと一緒）。

オブジェクトのなにがしか

Snowball Family

ハードウェアを配送することで、オンプレミスとクラウド間の大量のデータを移行する。

Database Services

Relational DatabaseService（RDS）

MySQL・PostgreSQL・などが利用できる。
RDSではWriter・Reader を入れ替えることでフェイルオーバー（PrimaryとStandbyを切り替え）できる^[1]。
障害が起きてもアクセスするべきエンドポイントは変わらない。
自動でRDSが切り替わる。

Aurora

RDSの一部^[2]。RDSを使用するときはまずAuroraを検討するのがベストプラクティスらしい。
用途別のエンドポイントを作成可能。
ストレージコストを増やすことなくコピーを作成可能。

Auroraを使うとどう良くなるのかはよく分からなかった。
MySQLやPostgreSQLはRDSで使えるが、AuroraではAWSが再構築した効率の良いMySQLやPostgreSQLを使えるとかそんなイメージ？

Multi-AZにおけるレプリカを使える？

リードレプリカ
読み込み専用のインスタンスを作成できる。
readによるDBコネクションのボトルネックを解消できる。
リードレプリカとstandbyの違いは？
リードレプリカはstandbyにはなり得らない？read専用？
リードレプリカとは別にstandbyにする必要がある？

DynamoDB

NoSQLサービス。

ECサイトの注文情報などでは、大量のデータが発生する。
書き込みが多いため、Write性能が求められる。

分散方式

• 水平分散：同一テーブルを別々のDBに格納する。
• 垂直分散：異なるテーブルを別々のDBに格納する。

ElastiCache

高速なインメモリデータベース。
キャッシュにデータがない場合のみ、RDSに問い合わせる。

Analytics Services

レイクハウス（？）

Athena

標準SQLでS3のデータ分析を行うサービス。

QuickSight

BIサービス。ダッシュボードをWebサービスに組み込める。
メール配信もできる。

Security Serices

責任共有モデル（？）

クロスアカウントアクセス

分からん。

Key Management Service（KMS）

フルマネージドの暗号鍵管理サービス。

Other Services

SQS

分散メッセージキューのマネージドサービス。

CloudShell

マネジメントコンソールで利用できる、ブラウザベースのシェルを提供するサービス。

Cognito

認証サービス。Firebaseみたいなもの。

CodePipeline

CI/CDのサービス

Personalize

レコメンドサービス。

SageMaker

Personalizeと比較して広範な機械学習に使えそう。自由度が高そう。

EventBridge

cloneのようなもの。

Redshift

データウェアハウス専用のデータベースサービス（？）

知見

• その他

  • Cognito：認証。

  • CodePipline：CI/CD。

  • Personalize：レコメンド。

  • Athena：S3にSQLを投げれる。

  • Glue：DBからS3などにデータを加工して移行できる。ETL。

  • どのコンポーネントがコスト支配的なのか？

  • ベストプラクティスだとして、なぜそのアーキテクチャを取るのか？

• AWS関係ないけど

  • アプリケーションに使うDBはそのまま分析には使わない。
  • アプリケーションのパフォーマンスに影響を与える可能性もあるし。

疑問

• RDSでどのようにStandby・Read Replica・ElastiCacheを使い分けるのか？

  • 特にRead ReplicaとElastiCacheはアクセス数の増加に対しての策に思える。

• インメモリキャッシュとは？

• 外部APIを叩くときのsecurity group?

  • private subnetからインターネット経由で外部APIを叩きたい場合は、public subnetに配置したNAT Gateway経由で外部APIを叩くといった経路となります。
  • private subnet -> public subnet(NAT Gateway) -> インターネット経由で外部API
  • api gateとの違い？
  • NAT Gatewayってなんだっけ？
  • Fargateとかからpublic subnetのnat gateway通って（igw）通らずに直接外部API叩けるっぽい…？

• バックアップ

  • 別リージョンにする必要があるのか？
  • 単一リージョンで運用するのがよくあるパターンではあるらしい
  • DBのバックアップはreplicaやstandbyで良いのか？

• wafとセキュリティグループの違い？

  • デフォルトだとxssとかdosとか防げない？
  • https://aws.amazon.com/jp/shield/

• サーバー側のキャッシュ？

• インメモリデータストア？

• eventbridge cloneぽいやつ

SPA + MVCのときのCDN？

Glue

概要

複数のソースからデータを検出、準備、移動、統合するためのサービス。

Data Catalog

AWS Glue Data Catalog は、すべてのデータ資産の構造および運用メタデータを保存するためのセントラルリポジトリです（？）

Crawlers

S3からData Catalogを作成する
カラム名とか型とかのスキーマが作成される。すごい。
S3にデータが入ったことをトリガーにもできる

パーティションインデックス？

パーティションってなに -> DB周りの用語
パーティション　テーブルを区切る

パーティションインデックスを使ってDataCatalogを作るとパーティションカラムも作られるらしい
パーテションインデックスを使うとsqlとしてのqueryがだいぶ早くなるらしい

テーブル lab1_without_index_syncstreamingdata　にパーティションインデックスがない場合、AWS Glue はテーブルのすべてのパーティションを読み込み、読みこんだパーティションを GetPartitions リクエストで指定したクエリー式でフィルタリングします。インデックスがないテーブルでは、パーティション数が増えるほどクエリの実行に時間がかかります。テーブル lab1_with_index_syncstreamingdata にパーティションインデックスが存在する場合、GetPartitions クエリはテーブル内のすべてのパーティションを読み込む代わりに、パーティションのサブセットをフェッチしようと試みます。

ETL

SparkSession？
sparkはpython ライブラリ？orm？分からん

GlueETL -> Jupyterとかでできる
GlueStudio -> GUI ブロック
生成されるコードは汚いからpythonとかで書くのとトレードオフになる

モニタリング

EventBridgeでジョブステータスを通知することができる。

EC2

仮想サーバーのサービス。ほとんどOSを利用できる。

• スケールアップ・ダウン：サーバー1台あたりのスペックを変える。
• スケールアウト・イン：サーバーの台数を変化させる

購入オプション

• オンデマンドインスタンス：従量課金
• リザーブドインスタンス：通年予約により割引価格で利用可能
• スポットインスタンス：未使用リソースの利用により割引価格で利用可能

ルートボリューム

インスタンスストア

ホストコンピュータに内蔵された無料のストレージ。

Elastic Block Store（EBS）

ネットワークで接続された有料のストレージ。

Amazon Machine Image（AMI）

EC2インスタンス起動に必要なマシンイメージ。OSのようなもの。

Security Group

インスタンスレベルのファイアウォール。
https://zenn.dev/link/comments/1f46848a24742f

Auto Scaling

ピークとの差が大きかったりスケーラビリティが欲しかったりするなら使うと良い。
Auto Scaling Groupを設定する。
「CPU使用率50%を維持するようにサーバを確保する」など

起動テンプレート

Identity Access Management（IAM）

AWSでの認証・認可を担当するサービス。

IAM ユーザー

• AWS環境に外部からアクセスする主体
• パスワード・APIキーで認証する。
• 1 IAMユーザー/人
• ルート・パワー・一般ユーザーがいる。

IAM グループ

• 複数ユーザーにまとめて権限を設定できる。

IAM ロール

• エンティティ（サービスやアカウントなど）ごとに権限を設定する。
• IAMユーザーのアクセスキーはAWS内では用いない。

IAM ポリシー

何ができるか・できないかの定義
デフォルトはDeniedで、JSONファイルで定義される。

アクセスアナライザー

IAMの権限が適切に付与されているか分析する。

Permissions Boundary

IAMユーザーに対して誤った権限を不要しないよう、付与可能な権限をあらかじめ制限できる。

CloudTrail

AWSの操作をロギングするサービス。ユーザーアクセスとログ情報をS3バケットに保存して解析できる^[1]。

Simple Storage Service（S3）

画像を保存するならこれがベストプラクティス。ほかにも色々なことに使える。
秒間5,000アクセスまで耐えられるらしいので、スケールに気を使う必要は少ない。

CloudWatch

AWSの各種リソースを監視する。グラフ化・アラートなど。

Dashboard

各サービスでメトリクスを見ることもできるが、Dashboardを利用することで一元化できる。

Synthetics

Canary

Metrics

Organizations

複数アカウントの一元管理や一括請求ができる。

Virtual Private Cloud（VPC）

ユーザーによって定義される、論理的に（インターネットと）分離された（プライベートの）仮想ネットワーク。AWS上にプライベートネットワーク空間を構築できる。オンプレミスとの接続も可能（Direct Connect）。1つのVPCは複数のAZ（Multi-AZ）にまたがって構築すると良い。

サブネット

パブリックサブネットとプライベートサブネット（デフォルト）があり、1つのAZ上に構築できる。プライベートサブネットには、パブリックサブネット上に構築した踏み台サーバーからアクセスする。またプライベートサブネットからは、NATゲートウェイを割り当てないとインターネットにアクセスできない。当たり前だが、パブリックサブネットにはパブリックIPアドレスが割り当てられる。

ルートテーブル

プライベートサブネットはルートテーブルを用いてIGWにルーティングすることで、パブリックゲートウェイとなる。

Elastic IP

静的なIPアドレス。利用時は無料だが、開放しないと有料となる。

Internet Gate Way（IGW）

インターネットへの入り口となるゲートウェイ。1つのVPCにつき1つ設定する。

インターネットゲートウェイは、VPC内のリソースがインターネット側のサーバー・ユーザーと通信するために必要なコンポーネントです。インターネットと、VPCのネットワークの橋渡しをしてくれるようなものです。ですので、ALBの前でインターネットゲートウェイを通過しているという表現は正しいです。

NATゲートウェイ

プライベートIPアドレスをグローバルIPアドレスに変換して、IGWに連携させる。
プライベートサブネットにはパブリックIPアドレスが付与されていないため、IGWを通じて直接トラフィックを返すことはできない。そこで、プライベートサブネット内のインスタンスがインターネットに返信を返すためにNATゲートウェイが必要になる。ゲートウェイには通常IPアドレスが必要ないが、NATゲートウェイはプライベートサブネットのトラフィックを返すためにIPアドレス（Elastic IP）を持っている。NATゲートウェイはプライベートサブネットのプライベートIPアドレスをElastic IPに置き換えることで、プライベートサブネットからのトラフィックを返している。NATゲートウェイはパブリックサブネットに置き、プライベートサブネットのルートテーブルと紐付ける。

ネットワークACL

VPCとサブネットのファイアウォールを提供する。通信はインバウンド（VPCやサブネットへのアクセス）とアウトバウンド（VPCやサブネットからのアクセス）をそれぞれ設定する必要がある。

セキュリティグループ

インスタンスのファイアウォールを提供する。ネットワークACLと同様にインバウンドルールとアウトバウンドルールを設定する。インスタンスにアクセスするためには、ネットワークACLとセキュリティグループの両方でアクセスの許可を設定する必要がある。

VPCエンドポイント

インターネットを介さずにVPC内からVPC外のリソースへアクセスできる。

ゲートウェイ型

サブネットに特殊なルーティングを設定して利用する。S3とDynamoDBにのみ対応。

プライベートリンク型

サブネットにプライベートIPアドレスを生成し、DNSが名前解決することでルーティングする。DynamoDBは非対応。

VPCフローログ

VPCへのネットワークトラフィックを取得し、CloudWatchでモニタリングできるようにする機能。

Route 53

CloudFormation

Infrastructure as Code（IaC）のサービス。YAML or JSONからAWSリソースを作成できる。

Cloud Development Kit（CDK）

ただのAWS CDK^[1][2]。一般のプログラミング言語でAWSの環境を記述できる。ライブラリ（Construct）によって少ないコードで記述できる。裏側ではCloudFormationを利用しているため、CloudFormationの恩恵とCDKの恩恵を両方受けることができる。環境の削除も簡単にできる。

フロー

1. cdk init：インフラストラクチャの定義
2. cdk synth：CloudFormationのテンプレートの"合成"
3. cdk bootstrap：ブートストラップスタック（？）のデプロイ
4. cdk diff：差分確認
5. cdk deploy：デプロイ

Cloud9

ブラウザで使える統合開発環境（IDE）。

Lambda

サーバのプロビジョニング/管理なしでプログラムを実行できるサービス。コードを書くことに集中できる。イベント駆動型の利用は向かないらしい（ユーザーの行動ベースなど）。

CodeCatalyst

統合ソフトウェア開発サービス。コーディング（Cloud9など）からデプロイまでAWSで完結する。

フロー（仮）

1. ブループリント（プロジェクトの作成）
2. Issueの作成
3. ソースリポジトリの作成
4. 開発環境の構築
5. CDKアプリケーションの作成
6. 環境の作成
7. ワークフローの作成

データまわり整理

Athena

SQLを利用したデータ分析。

Glue

ETL？よく分からん。

QuickSight

BIツール。（どうやって可視化のためのデータ加工を行う）

Zero-ETL

AuroraのデータをETLなし（ = ニアリアルタイム）にRedshiftで分析できる、みたいな理解…？
よく分からないけどRedshiftからの分析煩雑になったりしないのだろうか。

https://aws.amazon.com/jp/what-is/zero-etl/
https://qiita.com/fukuchan_milk/items/17feee9e89f7c31ff01b
https://blog.trocco.io/azeroetlfuture

Kendra

Indexes

ドキュメントの内容を保持し、ドキュメントを検索できるようにする^[1]

Command Line Interface（CLI）

1. AWS CLIをインストールする。

AWS CLIのインストール
Install or update the latest version of the AWS CLI - AWS Command Line Interface

$ which aws
/usr/local/bin/aws

2. AWS CLIをセットアップする。

$ aws configure
AWS Access Key ID [None]: ******
AWS Secret Access Key [None]: ******
Default region name [ap-northeast-1]: 
Default output format [None]: json

AWS CLIのセットアップ
Set up the AWS CLI - AWS Command Line Interface

アクセスキーの取得
Authenticate with IAM user credentials - AWS Command Line Interface

スケール

サーバーのScale-up

1. CloudWatchでリソース不足を監視する。
2. EC2インスタンスを停止する。
3. Management Consoleからインスタンスタイプを変更して再起動する。

ディスク容量のスケール

1. EBSのスナップショットを作成する。
2. スナップショットを基に新しいEBSを大きなボリュームで作成する。
3. 新しいEBSをEC2インスタンスにアタッチする。
4. ファイルシステムのリサイズコマンドで領域を拡張する。

https://amzn.asia/d/2Tcy4rd

Account

アカウント = 環境。アカウント ≠ ユーザー。以下例。

• ステージング環境（アカウント）
• テスト環境
• プロダクション環境
• 開発環境

Organizations

複数アカウントを管理する。請求情報を1箇所で管理したりできる。

IAM Identity Center

複数アカウントへのアクセスを一元管理する。旧Single Sign-On。

Control Tower

OrganizationsやIAM Identity Centerを自動で設定してくれる。

https://tech.nri-net.com/entry/why_multi_accounts

Amazon Bedrock

基盤モデルを使って生成AIを構築するためのツール。

基盤モデル（Foundation Model, FM）

• Claude 3（ANTHROPIC）
  • Sonnet, Haikuのみ。
  • Opusはcomming soon。
• Amazon Titan（Amazon）
  • Titan Text
  • Titan Multimodal Embeddings
• ほか多数

サンプル

RAGや画像アップロード機能などを含む、ChatGPTのような実装サンプルがある。
AWSのサービスのみでマルチモーダルの実装が完結する（ベクトルDBなども含め）。
Amazon Titanの実装は、OpenAI APIやANTHROPIC APIの実装とほぼ同じ。

https://github.com/aws-samples/generative-ai-use-cases-jp
https://dev.classmethod.jp/articles/introduce-aws-samples-gen-ai-app-repo/

OpenSearch Service

ベクトルDBのフルマネージドサービス。簡単にデプロイ・管理・スケール可能

OpenSearch Serverless

サーバーレスもある。

以下、今回は扱わない。

Amazon Q

基盤モデルを活用したアプリケーション。
与えられたデータからユーザーに適切な回答を行う。ほかのAWSサービスと連携できる。

Amazon Q in Amazon QuickSight

これよさそう。

Amazon Q in Amazon Connect

Amazon CodeWhisper

基盤モデルを活用したアプリケーション。

SageMaker

トレーニングと推論のためのインフラストラクチャ。

GPUs

学習する際は以下のチップもある。

• Inferentia
• Inferentia 2
• Trainium