AWSソリューションアーキテクト自作問題

S3とは

• Simple Storage Serviceの略
• 外部からも直接アクセスできるオンラインストレージ
• Amazonが管理するマネージドサービス
• 複数のAZに自動で複製されるので高い耐久性
• クロスリージョンレプリケーションで別のリージョンに複製することも
• バケットと呼ばれる単位でオブジェクトを管理
• バケットポリシーでアクセス制御できる。
• 比較的安価
• 標準クラスの他、標準低頻度アクセス、1ゾーン低頻度アクセスなど性能は劣るがより安価なプランもある
• S3 Glacier,Glacier Deep Archiveはアーカイブ用で安いけど取り出しに凄く時間がかかる
• Intelligent-Tieringでアクセス頻度に応じて自動でストレージクラスを移動させられる
• ライフサイクルポリシーで一定時間経過後に自動で削除したりアーカイブしたりできる
• 静的サイトをホスティングできる
• 署名付きURLで指定した期間のみデータにアクセスさせることが可能
• マルチパートアップロードで大容量のデータを効率的にアップロード
• S3 Transfer Accelerationで使用リージョンから離れた場所からのアップロードも高速化

EBSとは

• Elastic Block Storeの略
• EC2インスタンスにネットワークを介して接続して使用する
• コンピューターのストレージを外部化したものだと考えればよい
• 一つのEC2インスタンスに複数接続可能（マルチアタッチ）
• 複数のEC2インスタンスでEBSを共有することはできない
• AZ内で自動で複製
• 汎用SSD、プロビジョンドIOPS SSD、スループット最適化HDD、コールドHDDなどのボリュームタイプがある
• スナップショットを用いてS3にバックアップ
• EBS最適化インスタンスを使用することでEC2⇔EBS間の帯域を確保

EFSとは

• Elastic File Systemの略
• ネットワークファイルシステムというプロトコルを使用して接続される
• フルマネージドサービスで複数のAZに自動で複製される
• 自動でボリューム拡張可能なためスケーラビリティにも優れている
• EC2以外にECS、EKS、Lambdaなどからも使える
• Windows OSのスンスタンスからは使えない（FSx for Windowsを利用）

EC2とは

• IaaS型の仮想サーバー
• AMI（Amazon Machine Image）という起動に必要な情報が入ったイメージファイルからインスタンスを生成して使う
• OSはUbuntu等の各種LinuxディストリビューションやWindows Serverなどが利用可能
• 様々なインスタンスタイプ（CPU,メモリ等の組み合わせ）が用意されている
• セキュリティグループでアクセスを制御できる
• EC2インスタンスに割り当てられたIPアドレスは停止されると保持できない（同じIPアドレスを使いたい場合はElastic IPを使用）

ELBとは

• Elastic Load Balancingの略
• ロードバランサーとはアクセスを複数のマシンに振り分けるための装置
• ELB自体が高い可用性を持つ
• アクセスを複数のAZに振り分けることもできる
• SSL復号機能を持つ
• ヘルスチェックを行い応答のないインスタンスにはアクセスを振り分けない
• スティッキーセッション機能を使えば同一のクライアントからのリクエストを同一のターゲットにをルーティングできる（インスタンスがセッション情報を保持している場合、セッションが切れずに済む）
• Application Load Balancer（ALB）、Network Load Balancer（NLB）、Classic Load Balancer（CLB）などの種類がある。
• ALBはOSI参照モデルでいうところのL7、NLBはL4の情報により振り分けを行う
• NLBは固定のIPアドレスを設定可能

EC2のオートスケーリング

• 負荷に応じてEC2インスタンスの台数を増したり（スケールアウト）、減らしたり（スケールイン）するための機能
• Auto Scalingグループで起動する最大数、最小数、希望数を指定
• スケーリングプランでどういう条件でスケーリングするかを指定（ClouldWatchdでEC2インスタンスの状況を監視しCPU使用率が90％を超えたら新たなインスタンスを起動等々）
• 起動設定で起動するEC2インスタンに関する情報を指定

API Gatewayとは

• APIの作成、公開、保守、モニタリング、保護を行えるフルマネージド型のサービス
• RESTful APIとWEBSOCKET APIの2タイプがある
• API Gateway自体にデータやロジックを置くことができるわけではないのでLambda,EC2などと連携させて使う

Lambdaとは

• コードをデプロイするだけで実行可能な状態となるサーバレスコンピューティングサービス
• インフラはAmazonが管理し、リクエスト受信の回数に合わせて自動的にスケール
• 実行時間、メモリ容量に応じて使った分だけ課金される
• 実行時間には制限があるのであまり長時間かかる処理には向かない
• 全てのプログラミング言語で使えるわけではなく現在のところJava、Go、PowerShell、Node.js、C#、Python、Rubyがサポート対象となっている。
• 様々なAWSのサービスのイベントをトリガーとして実行させることができる（例えばS3にファイルがアップロードされたらLambdaを実行しそのファイルを加工など）
• Lambda関数の実行結果はCloudWatch Logsに保存される
• Lambda@EdgeはClouldFrontのエッジロケーションでLambdaが使えるサービス

ECSとは

• Elastic Container Serviceの略
• コンテナ化されたアプリケーションを簡単にデプロイ、管理、スケーリングするのに役立つ、フルマネージドコンテナオーケストレーションサービス

EKSとは

• Elastic Kubernetes Serviceの略
• ECSと同じくコンテナオーケストレーションサービスだがオープンソースのKubernetesを利用している

Fargateとは

• コンテナ向けのサーバレス型コンピューティングエンジン
• ECSとEKSの両方に対応

VPCとは

• Virtual Private Cloudの略
• ユーザーが自由にAWS上に構築できる仮想ネットワーク及び関連サービス
• 一つのVPCを複数のサブネットに分けることが可能
• サブネットは異なるアベイラビリティーゾーン（AZ）に複数構築することもできる（リージョンを跨ぐことはできない）
• インターネットと直接つながるサブネットはパブリックサブネット、そうでないものはプライベートサブネットと呼ばれる
• VPCからインターネットへのアクセスはインターネットゲートウェイ（IGW）を利用
• プライベートサブネットからインターネットに接続するにはNATゲートウェイを使う（NAT機能を持たせたEC2イインスタンス＝NATインスタンスを使う手もあるが非推奨）
• ルートテーブルでルーティングを設定
• ネットワークACLはサブネット単位で設定できるアクセス制御機能（特定のIPアドレスからのアクセスはブロックするなどのルールを記述）
• セキュリティグループはVPC内のインスタンス単位で設定できるアクセス制御機能

VPCエンドポイントとは

• VPCからAWSのサービスにインターネットを介さずアクセスするために必要なもの
• ゲートウェイエンドポイントとインターフェイスエンドポイントがある
• ゲートウェイエンドポイントはS3、DynamoDBで利用可能
• インターフェイスエンドポイントはその他様々なサービスで利用可能
• インターフェイスエンドポイントはPrivateLinkとも呼ばれる

VPCピアリングとは

• VPCとVPCを接続するサービス
• 異なるアカウントのVPC、異なるリージョンのVPCとも接続可能
• 割り当てられているIPアドレスが重複すると接続できない

Direct Connectとは

• 専用線を使ってAWSとオンプレミス環境を接続
• 専用線なので他のユーザーの影響を受けず安定した通信が可能
• セキュリティも◎
• コストは高め

Route 53とは

• ドメインの名前解決を行うDNSを提供するサービス
• ドメインの登録、管理もできる
• パブリックにもVPC内部向けにも使用可能
• ルーティングポリシーを設定することでアクセスを適切に振り分けることもできる。
• レイテンシーベースルーティングは最も通信にかかる時間が短くなるようルーティング
• フェイルオーバールーティングはヘルスチェックの結果に基づいてルーティング
• 位置情報ルーティングはクライアントの地理的な位置に基づいてルーティング
• 加重ルーティングは指定した重みに基づいてルーティング

IAMとは

• Identity and Access Managementの略
• サービスやユーザーに対するアクセス許可、権限を付与するための一連の仕組み

IAMユーザー

• AWSアカウントを作成した際にできるユーザーはルートユーザーだがこれとは別に作成できるユーザー
• 一つのアカウントで5,000ユーザーまで作成可能
• IAMユーザーはIAMグループに所属させることができる（1ユーザー最大10グループまで）

IAMポリシー

• IAMユーザーができることを定めたもの
• 作成したてのIAMユーザー（やグループ）には何の権限も設定されていない
• JSON形式で記述
• Action=対象となる操作、Effect=許可、拒否等、Principal=対象操作を実行するユーザー、サービス ,Resource=対象となるAWSのサービス、Condition=発動条件などを書く。
• 明示的な拒否＞明示的な許可

Organizationsとは

• 複数のアカウントを統合するためのアカウント管理サービス
• 各アカウントの費用をマスターアカウントに一括請求させることができる
• SCPを設定すると各アカウントでできることの範囲を定めることができる（例えば使えるサービスをEC2とS3のみにするなど）
• 複数の組織（OU）を作りそれぞれに別のSCPを割り当てることもできる。

CloudFormationとは

• テンプレートを基にAWSの各リソースのプロビジョニングが行えるサービス
• 例えばELBとEC2をこうこうこういう設定で使う書いておけばそれに基づいて何度でも同じ構成のものを立ち上げることができる
• テンプレートはJSONまたはYAMLで記述
• テンプレートにはパラメータが指定できる
• CloudFormationを通して立ち上げられるAWSリソースの集合をスタックという
• StackSetsを使えば複数のAWSアカウントやリージョンにスタックを作成することもできる

Amazon Auroraとは

• マネージドなリレーショナルデータベースサービス
• MySQL、PostgreSQLと互換性があるがそれらより高性能とされている
• SQLの処理を行う部分をデータベースインスタンス、ストレージ部分をクラスターボリュームという
• クラスターボリュームは3ヶ所のAZに自動で複製
• Aurora Serverlessではデータベースインスタンスが負荷に応じて自動で起動
• Aurora Global Databaseでは単一のデータベースを複数のリージョンにまたがって運用できる

ElastiCacheとは

• フルマネージドなインメモリキャッシュサービス
• エンジンにはMemcachedとRedisがある
• Memcachedはシンプルなデータの一時的な保存に適してる
• Redisはレプリケーションできるなどより機能が豊富
• RDSの高速化やセッション情報の保存に使われる

プレイスメントグループとは

• EC2インスタンスを論理的にグループ化したもの
• クラスタープレイスメントグループでは同じラック内にインスタンスが配置されるので高速に通信を行うことが可能
• パーティションプレイスメントグループではパーティション単位でラックが分かれており、耐障害性が高められている
• スプレッドプレイスメントグループではそれぞれ別のネットワークと電源を備えたラックにインスタンスが配置される