S U M M I T · 2020. 8. 1. · 日米クラウド運用管理の現状を踏まえた...

S U M M I TTokyo

© 2019, Amazon Web Services, Inc. or its affiliates. All rights reserved.S U M M I T

クラウド運用管理の最前線〜日米の最新状況から〜

大村幸敬Solutions Architect

Amazon Web Service Japan

A 1 - 0 6 / J 1 - 0 7

酒徳知明Solutions Architect

Amazon Web Services, Inc.


日本の企業からのご相談事例

• 事業部門：デジタルトランスファー（DX）施策• マネージドサービスで早く実装・継続的な改善

• 情報システム部門：システム移行• サーバ中心のシステムをクラウドでどう運用するか

• 既存の運用との整合性

• ガバナンスとセキュリティの確保、閉域網による接続

• クラウドの理解、エンジニアの育成


クラウド活用のフェーズ価値

時間

イノベーションの促進技術的負債の

返済

基盤（FOUNDATION）プロジェクト

（PROJECT）

移行（MIGRATION）

変革（REINVENTION）


TakeAway：日米クラウド運用管理の現状を踏まえたクラウド活用のためのポイント

1. 日本から：クラウド運用体制のプラクティス（大村）• マネジメントコンソールは誰のものか

• クラウドを活用する運用体制

• ガバナンスとスピードを両立するマルチアカウント管理

2. 米国から：大規模環境におけるスケーラブルな運用プラクティス（酒徳）

• コントロール / ガバナンス

• コスト最適化

• 次世代のクラウド運用


• 対象者• ITシステムの運用を改善したいすべてのアプリケーション開発エンジニア / インフラエンジニア / SRE / プロダクトオーナー

• 情報システム部門またはビジネス部門

• 話さないこと• 個別 AWS サービスの解説

• 個別運用タスク（ジョブ管理、監視等）の実装方法


自己紹介

• 大村幸敬 (おおむらゆきたか)

• ソリューションアーキテクト

• これからクラウドを使いはじめる

エンタープライズ企業をサポート

• 運用系サービス（Management Tools）および

DevOps 系サービスを担当

• 好きなAWSのサービス：AWS CLI

• システム運用をもっと楽にしたい


AWS は「ITのツールボックス」


クラウドのコンポーネント構成（EC2ベース）

OS

M/W

Apps

APサーバ DBサーバ監視サーバ

EC2 EBSS3

VPC

ELB

インフラチーム

アプリチーム MC操作*

OS操作

*MC=マネジメントコンソール


クラウドのコンポーネント構成（サーバーレス）

OS

M/W

Apps

AP DB 監視

EC2 EBSS3

VPC

ELB


アプリチーム

MC操作

OS操作

RDSCloudWatch

Lambda？


クラウドのコンポーネント構成（サーバーレス）

OS

M/W

Apps

AP DB 監視

EC2 EBSS3

VPC

ELB


MC操作

OS操作

RDSCloudWatch

Lambda

アプリチーム


マネジメントコンソールはみんなのもの

• アプリ担当もインフラ担当も操作する• クラウドはITのツールボックス

• 仮想サーバだけではなく多くのマネージドサービスを活用

• 仮想サーバ管理ツールと同じ役割分担では運用が非効率• 例：RDS の Performance Insights

• 例：Lambdaへのデプロイ


ITシステム開発の体制とスケジュール（オンプレミス）

機能要件定義

アプリ設計

実装&単体テスト

結合テスト

システムテスト

非機能要件定義

アーキテクチャ&運用設計

インフラ構築/単体テスト

インフラ結合テスト

開発環境ステージング

環境

インフラ構築

アプリ開発

アプリ

インフラ

本番運用

本番環境

運用引継

運用

数ヶ月〜1年

機器選定発注（1〜2ヶ月）

5年〜

サービスマネージャ


ITシステム開発の体制とスケジュール（既存踏襲）

機能要件定義

アプリ設計


結合テスト





環境コピー


環境

インフラ構築

アプリ開発

アプリ

インフラ

本番運用

本番環境

運用引継

運用

数週間〜数ヶ月 5年〜


クラウドリソース構築・再作成

結合テスト

テスト済み環境のコピー可能

アプリ開発自体は大きく変わらない

自動化による運用省力化が可能

コミュニケーションコストが大きいと非効率

実機検証しつつ構築手戻りリスク低減


ITシステム開発の体制とスケジュール（クラウド活用）

機能要件定義

アプリ設計


結合テスト






環境

アプリ＆インフラ開発

アプリ＆インフラ

本番運用

本番環境

システム運用

共通運用


クラウドリソース構築・再作成

AWSアカウント払い出しベースネットワーク&セキュリティ提供

AWSアカウントの監視ガバナンスの提供

クラウド共通運用

共通運用

チームをまたがるコミュニケーションを

減らす

アカウントを監視既存の運用・監視も活用

アカウントを丸ごと払い出す基本設定のテンプレート化

アプリもインフラも、開発も運用も、1つのチームで


クラウドを活かす運用体制

• アプリ開発＆インフラ構築チームは1チームとして構成• コミュニケーションに伴うロスを削減

• 運用も同一チームで行うことが望ましい

• 共通運用チームはアカウントの払い出しとガバナンスを提供• 多数のアカウントを統一的に管理

• 個別環境内のインフラ構築には関与しない

• 初期設定（ネットワークやセキュリティのベースライン）を実施

• 個別環境は自由に操作させる一方でロギングは徹底

• やってはいけない操作を検知して対応


© 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved.

セキュリティおよび

リソースの境界APIの制限および

スロットリング

請求の分離

AWS アカウントが提供するもの


© 2017, Amazon Web Services, Inc. or its Affiliates. All rights reserved.

ブロッカーではなく

ガードレール

監査可能フレキシブル

自動化

スケーラブル

セルフサービス

マルチアカウント管理のゴール


マルチアカウントベストプラクティス (1/3)

請求アカウント

Organizations

共有サービスアカウント

Directory Service

S3（ログ）

セキュリティ&監査アカウント

• 請求集約• アカウント払出し

• 共有サービス（AD等）• 共用ネットワーク

• ログの集約• 監査の実施

Config CloudTrailCloudWatch

DirectConnect

Transit Gateway

CloudFormation

共通運用チーム


マルチアカウントベストプラクティス (2/3)


Organizations


Directory Service

S3（ログ）


アプリケーションアカウント




Config CloudTrailCloudWatch

DirectConnect

Transit Gateway

CloudFormation

アプリ＆インフラチーム


マルチアカウントベストプラクティス (3/3)アプリケーション

アカウント

S3（ログ）






Config CloudTrail

Transit Gateway


Organizations


CloudFormation


Directory Service


CloudWatch

DirectConnect

共通運用チーム


アプリ/チーム特性によるパターン化の例




AWSリソース

セキュリティ

アプリ

個別運用

DevOpsチーム

アプリチーム

パートナー/インフラチーム

研究開発

AWSリソース

セキュリティ

アプリ

個別運用

AWSリソース

セキュリティ

アプリ

個別運用


マルチアカウントによるクラウド運用体制の実装次の4つの機能を持つAWSアカウントを作成

1. 請求• 請求と使用量の把握

2. セキュリティ&監査• セキュリティとコンプライアンス関連のロギングと監査

3. 共有サービス• ワークロードやアプリケーションの間で共有可能な共通のサービス

4. アプリケーション• 個別のワークロード、アプリケーションもしくは環境


クラウドを活用する体制のポイント

• マネジメントコンソールはみんなのもの✓ マネージドサービスの操作はアプリ/インフラ両チームが適切に役割分担

• クラウドのスピードを活かす体制✓ アプリ/インフラチーム間のコミュニケーションコストを最小化

✓ 共通運用チームはアカウント払い出しとガバナンスを提供

• マルチアカウント管理のベストプラクティス✓ 請求 / 共有サービス / セキュリティ&監査 / アプリケーションの4種類


自己紹介

酒徳知明(Tomoaki Sakatoku)ソリューションアーキテクト

パートナーエコシステム

• 2014 - 2018 :

Amazon Web Services Japan K.K.

• 2018 - :

Amazon Web Services Inc.


コントロールコスト最適化次世代の

クラウドマネージメント

大規模クラウド運用におけるポイント


AWS Config

AWS Marketplace

AWS CloudTrail

AWS Systems Manager

AWS CloudFormation

AWS Service Catalog

Guardrails

NOT Blockers

AWS Trusted Advisor

Amazon CloudWatch

ガードレールの設置


Amazon CloudFormation

• Infrastructure as a code• JSON or YAML

• Serverless Application Model(AWS SAM)

• マルチアカウント、マルチリージョン対応• CloudFormation StackSets

• Drift detection


テンプレート検証 - cfn-lint$ cfn-lint route-table.yaml

W2001 Parameter PrivateSubnet01 not used.

bad-route-table.1.yaml:16:3

E3022 SubnetId in PublicSubnetRouteTableAssociation1 is also associated with PrivateSubnetRouteTableAssociation1


E3022 SubnetId in PrivateSubnetRouteTableAssociation1 is also associated with PublicSubnetRouteTableAssociation1



テンプレート検証 - cfn-nag$ cfn_nag_scan --input-path ./security-groups.yaml

cidr open to world

Failures count: 2

Warnings count: 2


コントロールのポイント

• ガードレールの設計に加え、より早期段階でのポテンシャルリスクへのアプローチが大規模運用には不可欠

• そうすることで、デプロイ後のアラート数をなるべく抑え運用をスケールさせる

• 意図的にコントロール、ガバナンスを効かせる仕組み作りが必要 -Ops/Sec チームから開発チームへの積極的なフィードバック(DevSecOps)


コスト最適化モデル

インスタンス最適化

伸縮性の向上

最適化

リフト＆シフト最適化

モダナイゼーションサーバーレス

アーキテクチャー

マネージドサービス

リプラットフォームクラウドネイティブ

オンプレミスリフト＆シフト

従来のTCO


リフト＆シフト最適化のポイント

ライトサイジング

RI/Spot最適化

伸縮性向上


AWS Trusted Advisor

• EC2 リザーブドインスタンスの最適化

• 使用率の低いAmazon EC2 Instances

• 利用頻度の低いAmazon EBSボリューム

• Amazon EC2 リザーブドインスタンスのリース有効期限切れ

• Amazon RDSアイドル状態のDBインスタンス

• Amazon Route 53 レイテンシーリソースレコードセット

• アイドル状態の Load Balancer

• 使用率の低い Amazon Redshift クラスター

• 関連付けられていない Elastic IP Address


コスト最適化：EC2 Right Sizing

https://aws.amazon.com/jp/solutions/cost-optimization-ec2-right-sizing/#

ソリューション概要

EC2 Right Sizing ソリューションは、2週間の使用状況データを分析して、Amazon EC2インスタンスの適切なサイズ設定に関する詳細な推奨事項を提供

アーキテクチャー

• Amazon Redshift• Amazon S3• Amazon EC2

https://aws.amazon.com/jp/solutions/cost-optimization-ec2-right-sizing/

https://www.fool.com/investing/2017/06/15/why-selling-ge-lighting-business-is-a-bright-idea.aspx

https://www.fool.com/investing/2017/06/15/why-selling-ge-lighting-business-is-a-bright-idea.aspx


パートナーソリューション - Cloud Management Tools

https://aws.amazon.com/products/management-tools/partner-solutions/

クラウドガバナンスリソース・コスト最適化

https://aws.amazon.com/products/management-tools/partner-solutions/


コスト最適化のポイント

• 規模に応じたツール、サービスの選択

• リコメンデーション機能を前提としたツールの選択

• マルチリージョン、マルチアカウント環境含めた環境全体のコスト最適化にはパートナーソリューションも検討


Machine Learning Enabled

• キャパシティプランニング• Autoscaling - Predictive Scaling for EC2

• Tired Storage - Intelligent-Tiering

• 異常検知• Amazon Kinesis Data Analytics -

RANDOM_CUT_FOREST

• ノイズキャンセリング• Amazon CloudWatch Math Expression


障害に備えるメカニズム

Resiliency:• 回復力、回復機能

• システムやネットワークが障害発生後に元の正常状態に戻すこと

• Design for Failure

Error Ingestion:• 障害発生時にシステムが想定通りに振る舞うことを確認するために、継続的かつ意図的に障害を引き起こす

• Amazon Aurora DB Cluster Fault Injection Queries


Chaos Engineering

Principles of Chaos Engineering:

Chaos engineering is the discipline of experimenting on a distributed system in order to build confidence in the systems capacity to withstand turbulent conditions in production.

カオスエンジニアリングは、分散システムにおいてシステムが不安定な状態に耐えることの出来る環境を構築するための検証のプラクティスです

Principles of Chaos Engineering

Chaos Engineering への準備

• AWS Gameday - Microservices Madness• パートナーソリューリョン - Failure as a Service

http://principlesofchaos.org/

http://principlesofchaos.org/


次世代のクラウドマネージメントのまとめ

• マシーンラーニングを取り入れた次世代の運用モデルの構築とツール選定

• Resiliency / Design For Failureを意識したアーキテクチャー設計

• Chaos Engineering /Gamedayを活用した、障害に強い運用体制構築


大規模環境を運用する上で、意識すべきポイント

• Control✓ プロアクティブなモニタリングメカニズムに加え、事前検証メカニズムを導入することで、スケーラブルな運用コントロール、ガバナンスを実装

• コスト最適化✓ 利用規模に応じ、パートナーソリューションも検討したコスト最適化の検討

• 次世代のクラウドマネージメント✓ Design For Failure を意識した設計と、 Chaos Engineeringを取り入れた障害を意識した、障害に強い運用体制


クラウド活用のフェーズ価値

時間

イノベーションの促進技術的負債の

返済

基盤（FOUNDATION）プロジェクト

（PROJECT）

移行（MIGRATION）

変革（REINVENTION）


運用系 AWS セッション一覧A1-01 AWSでの Operational Excellence 〜クラウドで回す監視と運用PDCA（再演： I1-06）

A1-04 AWS Systems Manager 徹底活用〜エンタープライズのユースケースから〜

C1-05【初級】AWS におけるシステム運用管理の自動化（再演： C1-07）

C1-06 【初級】AWS コスト管理徹底入門（再演： I2-01）

A1-06 クラウド運用管理の最前線〜日米の最新状況から〜（再演： J1-07）

A2-01 AWS で実現する攻めのシステムモニタリング（再演： I2-09）

B2-07 マルチアカウント運用での権限移譲と統制の両立

C3-04 【初級】クラウド環境におけるモニタリングの重要性について

Thank you!


S U M M I T · 2020. 8. 1. · 日米クラウド運用管理の現状を踏まえた...

Documents

Transcript of S U M M I T · 2020. 8. 1. · 日米クラウド運用管理の現状を踏まえた...