S U M M I TTokyo
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
クラウド運用管理の最前線〜日米の最新状況から〜
大村幸敬Solutions Architect
Amazon Web Service Japan
A 1 - 0 6 / J 1 - 0 7
酒徳知明Solutions Architect
Amazon Web Services, Inc.
S U M M I T © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
日本の企業からのご相談事例
• 事業部門:デジタルトランスファー(DX)施策• マネージドサービスで早く実装・継続的な改善
• 情報システム部門:システム移行• サーバ中心のシステムをクラウドでどう運用するか
• 既存の運用との整合性
• ガバナンスとセキュリティの確保、閉域網による接続
• クラウドの理解、エンジニアの育成
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
クラウド活用のフェーズ価値
時間
イノベーションの促進 技術的負債の
返済
基盤(FOUNDATION)プロジェクト
(PROJECT)
移行(MIGRATION)
変革(REINVENTION)
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
TakeAway:日米クラウド運用管理の現状を踏まえたクラウド活用のためのポイント
1. 日本から:クラウド運用体制のプラクティス(大村)• マネジメントコンソールは誰のものか
• クラウドを活用する運用体制
• ガバナンスとスピードを両立するマルチアカウント管理
2. 米国から:大規模環境におけるスケーラブルな運用プラクティス(酒徳)
• コントロール / ガバナンス
• コスト最適化
• 次世代のクラウド運用
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
• 対象者• ITシステムの運用を改善したいすべてのアプリケーション開発エンジニア / インフラエンジニア / SRE / プロダクトオーナー
• 情報システム部門またはビジネス部門
• 話さないこと• 個別 AWS サービスの解説
• 個別運用タスク(ジョブ管理、監視等)の実装方法
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
自己紹介
• 大村 幸敬 (おおむら ゆきたか)
• ソリューションアーキテクト
• これからクラウドを使いはじめる
エンタープライズ企業をサポート
• 運用系サービス(Management Tools) および
DevOps 系サービスを担当
• 好きなAWSのサービス:AWS CLI
• システム運用をもっと楽にしたい
S U M M I T © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
AWS は 「ITのツールボックス」
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
クラウドのコンポーネント構成(EC2ベース)
OS
M/W
Apps
APサーバ DBサーバ 監視サーバ
EC2 EBSS3
VPC
ELB
インフラチーム
アプリチーム MC操作*
OS操作
*MC=マネジメントコンソール
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
クラウドのコンポーネント構成(サーバーレス)
OS
M/W
Apps
AP DB 監視
EC2 EBSS3
VPC
ELB
インフラチーム
アプリチーム
MC操作
OS操作
RDSCloudWatch
Lambda?
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
クラウドのコンポーネント構成(サーバーレス)
OS
M/W
Apps
AP DB 監視
EC2 EBSS3
VPC
ELB
インフラチーム
MC操作
OS操作
RDSCloudWatch
Lambda
アプリチーム
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
マネジメントコンソールはみんなのもの
• アプリ担当もインフラ担当も操作する• クラウドはITのツールボックス
• 仮想サーバだけではなく多くのマネージドサービスを活用
• 仮想サーバ管理ツールと同じ役割分担では運用が非効率• 例:RDS の Performance Insights
• 例:Lambdaへのデプロイ
S U M M I T © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
ITシステム開発の体制とスケジュール(オンプレミス)
機能要件定義
アプリ設計
実装&単体テスト
結合テスト
システムテスト
非機能要件定義
アーキテクチャ&運用設計
インフラ構築/単体テスト
インフラ結合テスト
開発環境ステージング
環境
インフラ構築
アプリ開発
アプリ
インフラ
本番運用
本番環境
運用引継
運用
数ヶ月〜1年
機器選定発注 (1〜2ヶ月)
5年〜
サービスマネージャ
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
ITシステム開発の体制とスケジュール(既存踏襲)
機能要件定義
アプリ設計
実装&単体テスト
結合テスト
システムテスト
非機能要件定義
アーキテクチャ&運用設計
インフラ構築/単体テスト
環境コピー
開発環境ステージング
環境
インフラ構築
アプリ開発
アプリ
インフラ
本番運用
本番環境
運用引継
運用
数週間〜数ヶ月 5年〜
サービスマネージャ
クラウドリソース構築・再作成
結合テスト
テスト済み環境のコピー可能
アプリ開発自体は大きく変わらない
自動化による運用省力化が可能
コミュニケーションコストが大きいと非効率
実機検証しつつ構築手戻りリスク低減
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
ITシステム開発の体制とスケジュール(クラウド活用)
機能要件定義
アプリ設計
実装&単体テスト
結合テスト
システムテスト
非機能要件定義
アーキテクチャ&運用設計
インフラ構築/単体テスト
開発環境ステージング
環境
アプリ&インフラ開発
アプリ&インフラ
本番運用
本番環境
システム運用
共通運用
サービスマネージャ
クラウドリソース構築・再作成
AWSアカウント払い出しベースネットワーク&セキュリティ提供
AWSアカウントの監視ガバナンスの提供
クラウド共通運用
共通運用
チームをまたがるコミュニケーションを
減らす
アカウントを監視既存の運用・監視も活用
アカウントを丸ごと払い出す基本設定のテンプレート化
アプリもインフラも、開発も運用も、1つのチームで
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
クラウドを活かす運用体制
• アプリ開発&インフラ構築チームは1チームとして構成• コミュニケーションに伴うロスを削減
• 運用も同一チームで行うことが望ましい
• 共通運用チームはアカウントの払い出しとガバナンスを提供• 多数のアカウントを統一的に管理
• 個別環境内のインフラ構築には関与しない
• 初期設定(ネットワークやセキュリティのベースライン)を実施
• 個別環境は自由に操作させる一方でロギングは徹底
• やってはいけない操作を検知して対応
S U M M I T © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
© 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
セキュリティおよび
リソースの境界APIの制限および
スロットリング
請求の分離
AWS アカウントが提供するもの
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
© 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved.
ブロッカーではなく
ガードレール
監査可能 フレキシブル
自動化
スケーラブル
セルフサービス
マルチアカウント管理のゴール
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
マルチアカウントベストプラクティス (1/3)
請求アカウント
Organizations
共有サービスアカウント
Directory Service
S3(ログ)
セキュリティ&監査アカウント
• 請求集約• アカウント払出し
• 共有サービス(AD等)• 共用ネットワーク
• ログの集約• 監査の実施
Config CloudTrailCloudWatch
DirectConnect
Transit Gateway
CloudFormation
共通運用チーム
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
マルチアカウントベストプラクティス (2/3)
請求アカウント
Organizations
共有サービスアカウント
Directory Service
S3(ログ)
セキュリティ&監査アカウント
アプリケーションアカウント
• 請求集約• アカウント払出し
• 共有サービス(AD等)• 共用ネットワーク
• ログの集約• 監査の実施
Config CloudTrailCloudWatch
DirectConnect
Transit Gateway
CloudFormation
アプリ&インフラチーム
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
マルチアカウントベストプラクティス (3/3)アプリケーション
アカウント
S3(ログ)
セキュリティ&監査アカウント
アプリケーションアカウント
アプリケーションアカウント
アプリケーションアカウント
• ログの集約• 監査の実施
Config CloudTrail
Transit Gateway
請求アカウント
Organizations
• 請求集約• アカウント払出し
CloudFormation
共有サービスアカウント
Directory Service
• 共有サービス(AD等)• 共用ネットワーク
CloudWatch
DirectConnect
共通運用チーム
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
アプリ/チーム特性によるパターン化の例
アプリケーションアカウント
アプリケーションアカウント
アプリケーションアカウント
AWSリソース
セキュリティ
アプリ
個別運用
DevOpsチーム
アプリチーム
パートナー/インフラチーム
研究開発
AWSリソース
セキュリティ
アプリ
個別運用
AWSリソース
セキュリティ
アプリ
個別運用
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
マルチアカウントによるクラウド運用体制の実装次の4つの機能を持つAWSアカウントを作成
1. 請求• 請求と使用量の把握
2. セキュリティ&監査• セキュリティとコンプライアンス関連のロギングと監査
3. 共有サービス• ワークロードやアプリケーションの間で共有可能な共通のサービス
4. アプリケーション• 個別のワークロード、アプリケーションもしくは環境
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
クラウドを活用する体制のポイント
• マネジメントコンソールはみんなのもの✓ マネージドサービスの操作はアプリ/インフラ両チームが適切に役割分担
• クラウドのスピードを活かす体制✓ アプリ/インフラチーム間のコミュニケーションコストを最小化
✓ 共通運用チームはアカウント払い出しとガバナンスを提供
• マルチアカウント管理のベストプラクティス✓ 請求 / 共有サービス / セキュリティ&監査 / アプリケーション の4種類
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
TakeAway:日米クラウド運用管理の現状を踏まえたクラウド活用のためのポイント
1. 日本から:クラウド運用体制のプラクティス(大村)• マネジメントコンソールは誰のものか
• クラウドを活用する運用体制
• ガバナンスとスピードを両立するマルチアカウント管理
2. 米国から:大規模環境におけるスケーラブルな運用プラクティス(酒徳)
• コントロール / ガバナンス
• コスト最適化
• 次世代のクラウド運用
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
TakeAway:日米クラウド運用管理の現状を踏まえたクラウド活用のためのポイント
1. 日本から:クラウド運用体制のプラクティス(大村)• マネジメントコンソールは誰のものか
• クラウドを活用する運用体制
• ガバナンスとスピードを両立するマルチアカウント管理
2. 米国から:大規模環境におけるスケーラブルな運用プラクティス(酒徳)
• コントロール / ガバナンス
• コスト最適化
• 次世代のクラウド運用
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
自己紹介
酒徳 知明(Tomoaki Sakatoku)ソリューション アーキテクト
パートナー エコシステム
• 2014 - 2018 :
Amazon Web Services Japan K.K.
• 2018 - :
Amazon Web Services Inc.
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
コントロール コスト最適化 次世代の
クラウドマネージメント
大規模クラウド運用におけるポイント
S U M M I T © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
AWS Config
AWS Marketplace
AWS CloudTrail
AWS Systems Manager
AWS CloudFormation
AWS Service Catalog
Guardrails
NOT Blockers
AWS Trusted Advisor
Amazon CloudWatch
ガードレールの設置
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
Amazon CloudFormation
• Infrastructure as a code• JSON or YAML
• Serverless Application Model(AWS SAM)
• マルチアカウント、マルチリージョン対応• CloudFormation StackSets
• Drift detection
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
テンプレート検証 - cfn-lint$ cfn-lint route-table.yaml
W2001 Parameter PrivateSubnet01 not used.
bad-route-table.1.yaml:16:3
E3022 SubnetId in PublicSubnetRouteTableAssociation1 is also associated with PrivateSubnetRouteTableAssociation1
bad-route-table.1.yaml:25:9
E3022 SubnetId in PrivateSubnetRouteTableAssociation1 is also associated with PublicSubnetRouteTableAssociation1
bad-route-table.1.yaml:31:9
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
テンプレート検証 - cfn-nag$ cfn_nag_scan --input-path ./security-groups.yaml
cidr open to world
Failures count: 2
Warnings count: 2
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
コントロールのポイント
• ガードレールの設計に加え、より早期段階でのポテンシャル リスクへのアプローチが大規模運用には不可欠
• そうすることで、デプロイ後のアラート数をなるべく抑え運用をスケールさせる
• 意図的にコントロール、ガバナンスを効かせる仕組み作りが必要 -Ops/Sec チームから開発チームへの積極的なフィードバック(DevSecOps)
S U M M I T © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
コスト最適化モデル
インスタンス最適化
伸縮性の向上
最適化
リフト&シフト最適化
モダナイゼーション サーバーレス
アーキテクチャー
マネージド サービス
リプラットフォームクラウド ネイティブ
オンプレミス リフト&シフト
従来のTCO
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
リフト&シフト最適化のポイント
ライトサイジング
RI/Spot最適化
伸縮性向上
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
AWS Trusted Advisor
• EC2 リザーブドインスタンスの最適化
• 使用率の低いAmazon EC2 Instances
• 利用頻度の低いAmazon EBSボリューム
• Amazon EC2 リザーブドインスタンスのリース有効期限切れ
• Amazon RDSアイドル状態のDBインスタンス
• Amazon Route 53 レイテンシーリソースレコードセット
• アイドル状態の Load Balancer
• 使用率の低い Amazon Redshift クラスター
• 関連付けられていない Elastic IP Address
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
コスト最適化:EC2 Right Sizing
https://aws.amazon.com/jp/solutions/cost-optimization-ec2-right-sizing/#
ソリューション概要
EC2 Right Sizing ソリューションは、2週間の使用状況データを分析して、Amazon EC2インスタンスの適切なサイズ設定に関する詳細な推奨事項を提供
アーキテクチャー
• Amazon Redshift• Amazon S3• Amazon EC2
https://www.fool.com/investing/2017/06/15/why-selling-ge-lighting-business-is-a-bright-idea.aspx
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
パートナーソリューション - Cloud Management Tools
https://aws.amazon.com/products/management-tools/partner-solutions/
クラウドガバナンス リソース・コスト最適化
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
コスト最適化のポイント
• 規模に応じたツール、サービスの選択
• リコメンデーション機能を前提としたツールの選択
• マルチリージョン、マルチアカウント環境含めた環境全体のコスト最適化にはパートナーソリューションも検討
S U M M I T © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
Machine Learning Enabled
• キャパシティ プランニング• Autoscaling - Predictive Scaling for EC2
• Tired Storage - Intelligent-Tiering
• 異常検知• Amazon Kinesis Data Analytics -
RANDOM_CUT_FOREST
• ノイズ キャンセリング• Amazon CloudWatch Math Expression
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
障害に備えるメカニズム
Resiliency:• 回復力、回復機能
• システムやネットワークが障害発生後に元の正常状態に戻すこと
• Design for Failure
Error Ingestion:• 障害発生時にシステムが想定通りに振る舞うことを確認するために、継続的かつ意図的に障害を引き起こす
• Amazon Aurora DB Cluster Fault Injection Queries
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
Chaos Engineering
Principles of Chaos Engineering:
Chaos engineering is the discipline of experimenting on a distributed system in order to build confidence in the systems capacity to withstand turbulent conditions in production.
カオスエンジニアリングは、分散システムにおいてシステムが不安定な状態に耐えることの出来る環境を構築するための検証のプラクティスです
Principles of Chaos Engineering
Chaos Engineering への準備
• AWS Gameday - Microservices Madness• パートナー ソリューリョン - Failure as a Service
http://principlesofchaos.org/
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
次世代のクラウドマネージメントのまとめ
• マシーンラーニングを取り入れた次世代の運用モデルの構築とツール選定
• Resiliency / Design For Failureを意識したアーキテクチャー設計
• Chaos Engineering /Gamedayを活用した、障害に強い運用体制構築
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
大規模環境を運用する上で、意識すべきポイント
• Control✓ プロアクティブなモニタリング メカニズムに加え、事前検証メカニズムを導入することで、スケーラブルな運用コントロール、ガバナンスを実装
• コスト最適化✓ 利用規模に応じ、パートナー ソリューションも検討したコスト最適化の検討
• 次世代のクラウド マネージメント✓ Design For Failure を意識した設計と、 Chaos Engineeringを取り入れた障害を意識した、障害に強い運用体制
S U M M I T © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
クラウド活用のフェーズ価値
時間
イノベーションの促進 技術的負債の
返済
基盤(FOUNDATION)プロジェクト
(PROJECT)
移行(MIGRATION)
変革(REINVENTION)
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
TakeAway:日米クラウド運用管理の現状を踏まえたクラウド活用のためのポイント
1. 日本から:クラウド運用体制のプラクティス(大村)• マネジメントコンソールは誰のものか
• クラウドを活用する運用体制
• ガバナンスとスピードを両立するマルチアカウント管理
2. 米国から:大規模環境におけるスケーラブルな運用プラクティス(酒徳)
• コントロール / ガバナンス
• コスト最適化
• 次世代のクラウド運用
© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T
運用系 AWS セッション一覧A1-01 AWSでの Operational Excellence 〜クラウドで回す監視と運用PDCA(再演: I1-06)
A1-04 AWS Systems Manager 徹底活用 〜エンタープライズのユースケースから〜
C1-05【初級】AWS におけるシステム運用管理の自動化(再演: C1-07)
C1-06 【初級】AWS コスト管理徹底入門 (再演: I2-01)
A1-06 クラウド運用管理の最前線 〜日米の最新状況から〜 (再演: J1-07)
A2-01 AWS で実現する攻めのシステムモニタリング (再演: I2-09)
B2-07 マルチアカウント運用での権限移譲と統制の両立
C3-04 【初級】クラウド環境におけるモニタリングの重要性について
Thank you!
S U M M I T © 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.
Top Related