rolling update
→稼働中のインスタンスを一気には停止させずに、徐々に新しいものに入れ替えていく方式。通常アプリ用。
WebIDフェデレーション
→WebIDで一度認証を通れば許可されているすべてのサービスを使えるようにする
SSOを使用できるようにする
→SAML2.0準拠のIDプロバイダを使用しSSOエンドポイントを介してアクセス
IDS・IPS導入方法
→リバースプロキシ層もしくは各インスタンスにエージェントを入れる
ADでSSO
→1.IAMロール設定
2.フェデレーションかIDPを設定
3.AWS STS でトークン生成
パイロットライト
→リードレプリカを別リージョンに作成
障害時にメインに昇格出来る
EBS-backed AMI のimpaired復旧方法
→再起動ではなく停止して起動しないとインスタンスが切り替わらない
ステートレス
→EC2を使い捨てられるようにする(スケーリング出来る)
Assumerole
→1.DynamoDBにユーザー情報を保存
2.ログインIAMロールを仮定
3.STSで一時認証情報取得
4.サービスにアクセス
CloudFront経由でのみS3のアクセスを許可
→OAIを使う
Route53 レイテンシー注意点
→S3 静的websiteにしか機能しない
同じユーザーが大きい処理を行いオンプレでダウンタイムが発生する
→オンプレからトラフィックをオフロードするCloudFrontを設定
キャッシュするよう構成
複数リージョン全体に低レイテンシーでユーザー情報を伝播
→S3、CloudFront、Route53(レイテンシー)、SQS
IPをアプリに渡す
→Proxy ProtocolとTCPリスナーを利用
DDOS対策
→・CloudFrontを静的、動的コンテンツで使用(地域制限)
・Auto Scalingグループを備えたELB
・CloudWatchで監視
S3の接続をDirect Connect
→Public IF を作成して BGPセッションを確立する必要がある
EC2誤削除予防
→タグを追加し、削除を禁止
管理者アカウントで複数のアカウントを操作
→複数アカウントで適切なロールを作成し、管理者にロールを付与
オンプレミスの追加の負荷にAWSで対処する
→CloudFrontにてオンプレミスのLBをオリジンとして指定
Directo ConnectでS3エンドポイントに接続
→public仮想IFを設定する必要がある
再起動する度にMACアドレスが変更される対策
→Elastic Network InterfaceでMACを固定しVPCに配置
CloudFrontを使用したオリジンサーバーへのHTTPS通信
→オリジンサーバに認証機関の証明書を使用し、CloudFrontでは認証機関の証明書かデフォルト証明書を使用
CloudFrontでキャッシュしてい事で後ろのS3のログが少なくなる
→CloudFrontでS3にログを配信できるようにする
オンプレの既存のアカウントでAWSマネコンにアクセス
→SAML2.0準拠のIDPとSSOエンドポイントを経由して接続
高速・アドホック分析
→Kinesis Data Firehose + Redshift
20%のユーザーに別のドメインを表示する
→Route53 の加重ルーティングを使用して片方に4もう片方に1
CloudFormationがサポートしていないリソースをプロビジョニング
→カスタムリソースを使用する
どのリージョンでもCloudFormationを使う
→1.Fn::GetAZsを使用して異なるリージョンのAZを指定
2.リージョン毎のAMI IDを記載したMappingsを利用
高性能なネットワーキングをインスタンスで
→シングルルート I/O 仮想化(SR-IOV)を使用
11PBのデータを移送
→snoball edge
一括請求のメリット
→1.使用リソースの割引を共有出来る
2.追加コスト無し
数時間続く独立した複雑な計算をAWSで実行
→AWS Batchにジョブとして送信し、ECSの別々のコンテナでジョブを実行
コメント