こんにちは。「クロジカサーバー管理」コンサルティングチームの西原です。
AWSは、「仮想サーバー」「仮想ストレージ」「仮想データベース」など、240種類以上のサービスが提供されています。AWSを活用することで、自由度が高い環境を構築することができますが、使いこなすには相応のノウハウも求められます。このため、Amazon.comは、AWSを活用するエンジニア向けに、多数のホワイトペーパーを公開しています。「AWS運用チェックリスト」もそのうちの一つです。今回は、基本的な確認事項をまとめた「Basic」の15項目の中から一部を抜粋し説明していきます。
目次
AWSの運用チェックリストとは?
「AWS運用チェックリスト」とは、AWSの運用にあたって確認しておきたい項目をまとめたものです。「運用」という名目ではありますが、構築の段階で目を通しておくことで、より安全性の高い環境を目指すことができます。チェックリストは大きく分けて「Basic」「Enterprise」「Auditing Security」の三つに分かれています。原文は英語で提供されています。
Operational Checklists for AWS Amazon Web Services – Operational Checklists for AWS
チェックしておきたい10項目
担当者別IAMユーザーの使用法
一つ目のチェック項目は「IAMを共有せず、ユーザーごとに用意しているか」です。IAMは「Identity and Access Management」の略で、AWSの利用者を制御したり、AWSがアクセス可能なシステムの範囲を限定することができるサービスです。万が一情報漏洩が起きた際、IAMが共有状態のままだと、ログを追跡しても犯人が特定できません。そういった事態を避けるためにも、IAMはできる限りユーザーごとに用意して、情報セキュリティの安全性を高めておきます。
ストレージタイプの選択方法
二つ目のチェック項目は「Instance Store-BackedとEBS-Backedの二つの違いを理解し、データの永続性、バックアップ、リカバリの違いを理解して、適切なインスタンスを選択しているか」です。「Instance Store-Backed」と「EBS-Backed」は、「Amazon EC2」でインスタンスを起動する時に用いる二つの方法です。「Instance Store-Backed」では、ハイパーバイザー内のストレージにAMI(Amazon マシンイメージ)の内容をコピーします。この方法を使った場合、インスタンスが停止してしまうとデータが失われてしまいます。
「EBS-Backed」では、ハイパーバイザーとは別に設置したストレージにAMIをコピーして起動します。この方法を使った場合、インスタンスが停止しても、データが失われることはありません。この二つの違いを理解し、必要に応じて使い分けるようにします。
動的なIPアドレス
三つ目のチェック項目は「AWSの動的なIPアドレスの仕組みを理解し、再起動してもアプリケーションの構成要素が正常に機能する保証をしているか」です。「AWSの動的なIPアドレスの仕組み」というのは、「Amazon EC2」において、インスタンスに関連付けられた「Public DNS」「Public IP address」などの動的なIPアドレスが、インスタンスを再起動する度に変わってしまう仕組みを指します。
動的なIPアドレスが都度変わってしまうと、外部にサービスを公開する場合に困ってしまいます。このため、「Amazon VPC」「Elastic IP」「Elastic Load Balancing(ELB)」などのサービスを使い分けて、IPアドレスを固定し、再起動前と同じ状態が維持できているか確認します。
データ領域用EBSの利用
四つ目のチェック項目は「EBSを使用する際はシステム領域とデータ領域で分けているか」です。「EBS」は、「Amazon EC2」と併用できるブロックストレージのことです。一つのEBSをシステム領域とデータ領域で共有していると、どちらかに変更が必要になった場合、もう一つのシステムにも影響が出てしまいます。
このため、領域ごとにEBSを使用するのが望ましいです。システム領域だけでEBSを使えば、拡張性や柔軟性を維持でき、データ領域のみにEBSを使うことで、データ容量が一杯になってもシステムにほとんど影響を及ぼすことなく新しいEBSを拡張することができます。
バックアップ
五つ目のチェック項目は「定期的にEC2のバックアップを行っているか」です。万が一バックアップを取っていない状態でデータの消滅や破損した場合、元のデータをそのまま復旧させることは困難です。障害を想定して、つねにバックアップは取っておきます。AWSでは「EBS」のスナップショット機能を使うことで簡単で安くバックアップを取ることができます。
リストアとリカバリ手順を確認する
六つ目のチェック項目は「障害に備えて定期的にEC2インスタンスやEBSをリカバリする手順をテストしているか」です。もし、何らかのトラブルが起こった場合、迅速に修復し、正常な状態に戻さなければなりません。本番運用後にテストを行うことは難しいため、事前にいくつものトラブルを想定し、リストア・リカバリテストしておきます。
重要データの分散配置
七つ目のチェック項目は「アプリケーションにとって重要なコンポーネントはマルチAZに分散配置しているか、ゾーン間で適切にデータレプリケーションしているか、コンポーネントにトラブルが発生した場合にどういう異常が発生するかのテストは行っているか」です。
マルチAZというのは、EC2やRDSなどのサービスを別々の場所に配置し、同期させることで耐障害性・可用性を高めるAWS特有の配置のことです。このチェック項目を端的に説明すると、「障害が起こって停止したり、紛失したりして困るコンポーネントはマルチAZ配置を取って分散して保管する」「障害が起こった時にどういう異常が起きるのか、事前にテストする」ということです。
システムの冗長性
八つ目のチェック項目は「マルチAZに配置されたコンポーネントがフェイルオーバーする仕組みを理解しているか、サードパーティ製品・ELB・Elasitic IPを適切に使用しているか」です。障害が起こった際に備えて、冗長性のテストを行う必要があります。また冗長性を損なわないために、適切な製品やサービスを利用をおすすめします。
OS・アプリケーションのアップデート計画
九つ目のチェック項目は「パッチ適用、アップデート、脆弱性対策に関する取り決めを定期的に検証しているか」です。OSやアプリケーションには、定期的に新しいパッチや新しいバージョンのリリースがあります。これをシステムにいつどうやって反映するかをあらかじめ決めておくことが重要です。
OSユーザー
十個目のチェック項目は「キーペアや秘密鍵をシステム管理者で共有していないか」です。セキュリティを高めるためにも、鍵の共有はしないように気をつけます。
さいごに
AWSでは、たくさんのサービスが提供されています。これらを上手く使いこなすには、サービスの違いを理解し、万が一システム障害やセキュリティ事故が起こっても、迅速に解決できる体制を整えておくことが大切です。ぜひ「AWS運用チェックリスト」を活用して、安全性の高いシステムを構築してみてください。運用段階になっても定期的にチェックリストを見返すことをおすすめします。
コーポレートサイトをクラウドでセキュアに
無料ではじめるサーバー管理
クロジカガイドブック
- コーポレートサイト構築・運用の課題を解決
- クロジカサーバー管理の主な機能
- 導入事例
- 導入までの流れ
