日記はここで途絶えている

日々の勉強を残していこうそうしよう。AWSかな。

S3についての学習メモ2

アクセスアナライザー

  • IAMアクセスアナライザーに連動したS3機能
  • パケットポリシー、ACLをモニタリングできる
  • パブリック、または共有アクセスポリシーを検出
  • バケットポリシー、バケットACL、またはその両方
  • 全てのパブリック、共有バケットの結果を共有する
  • バケットの実際のアクセス状況を確認する

ライフサイクル

  • 一定期間で安価なサービスに移動
  • prefix、全体などフィルタ可能

レプリケーション

  • クロスリージョン
  • バケとに対するオブジェクト操作でレプリケート実行
  • バージョニング設定が必要
  • リージョン設定必要
  • 双方向も可能
  • データ転送費用発生

バージョン管理

誤操作削除などを防ぐ + バージョン管理されたオブジェクトを確認することが可能 + ライフサイクルにより、保存する期間の指定も可能 + バケットを削除するときは古いバージョンの別途削除も必要

バックアップ

Glacierを利用してバックアップと復元が可能

分析

S3はアクセス分析を実施することができる。ライフサイクルポリシーの設定に役立てる

イベント通知

S3の操作に大して SNS / SQS / Lambdaにイベント通知ができる。シームレスなシステム連携処理を実現できる。

解析

  • S3 select
  • より複雑なクエリを行う場合はAthena
  • 機密調査には amcie
  • Redshiftから直接クエリも可能

バッチオペレーション

S3オブジェクトの大量データに大して一括処理を実行することが可能

S3についての学習メモ

ストレージについて

3種類ある

ブロックストレージ(EBS、インスタンスストア等)

  • 高速・広帯域
  • ブロック形式でデータを保存
  • EC2にアタッチして活用

    ファイルストレージ(EFS)

  • 複数のEC2から同時にアタッチ可能
  • ファイル形式でデータを保存

    オブジェクトストレージ(S3、Glacier)

  • 安価かつ高耐久性のオンラインストレージ
  • オブジェクト形式でデータを保存する

    S3について

  • 99.999999999%の耐久
  • 月額1GBでも約3円
  • 冗長化保存され、データ容量に依存しない性能がAWSで保存される
  • 転送、保存時にデータを暗号化可能
  • 無制限のオブジェクト数
  • データサイズは5TBまで保存可能

    Glacierについて

  • 最安
  • データ抽出にコストと時間がかかる(3〜5時間)
  • ライフサイクルでしてい
  • ボールロック

簡単なpub/pri構成にEC2を建てて通信させる

AWS

作成済

作成済 - VPC - サブネット(a/c) - インターネットゲートウェイの設定 - ルートテーブルの設定

構成

udemyの講座通りにやる f:id:lastdinner1031:20200723173527p:plain

手順

EC2

  • public/privateサブネットに配置
  • http/httpsの許可を追加 サーバ内の設定は割愛

セキュリティグループの作成

private用にpublicサブネットからの通信のみ許可するSGを作成 f:id:lastdinner1031:20200723174939p:plain privateのEC2に設定する publicに配置したE2からpingが飛んでいれば確認はOK

public->subnetのEC2に入る

publicサーバに鍵を配置してssh

privateから外部への通信を通す

ネットワークACLを利用する場合

ACLを作成してEC2単位ではなく、サブネット単位で制御することが可能。 番号の若い方から適用されるため、0.0.0.0/0のallowを設定した後に特定IPのdeny設定をしても無視されてしまうので注意が必要

privateのEC2からS3にアクセスしたい場合

VPCエンドポイントの設定で可能

VPCフローログ

  • clowdwatchで新しいグループを作成する
  • vpcの設定でフローログを作成し、clowdwatchのグループを指定する

VPCの設定に関するメモ

AWS

VPCの設定に関する事柄についての整理用のメモ

設計のポイント

  • アドレッシングや他ネットワークとの接続性も考慮。将来の拡張性を見据える。
  • CIDRは既存のVPCや社内のDCやオフィスとかぶらないようにアドレス帯を設定する。 -- 将来の組織構成を見据えて設定する。
  • 組織とシステムをどのように分割するかも検討する。
  • 可用性を高めるために複数のAZを利用する。
  • Pub/Sabのインターネット隔離をきちんと考慮する。サブネットは大きいものを利用する。
  • セキュリティグループを使ってリソース間のトラフィックを適切に制御する。
  • VPC Flow Logsなどでモニタリングできるように務める。

    VPCエンドポイント

    S3などのグローバルなAWSサービスにアクセスする接続設定をVPCにできる。

インターネットゲートウェイ

VPCに設置される。

ルートテーブル

サブネット内にあるインスタンス等がどこに通信にいくかのルールを定めたものです。 AWSのルートテーブルって何よ?VPCとサブネット踏まえて簡単に説明してみる - Qiita IGからpublicサブネットに通信を通す などの設定はここで行う。

トラフィック制御

セキュリティグループ

  • ステートフル
  • サーバー単位の設定
  • 許可のみIN/Outで指定 -- 必要な通信があれば許可するスタイル
  • 全ルールを適用

    ネットワークALC

  • ステートレス
  • 戻りのトラフィックも許可設定が必要
  • サブネット単位で指定可能
  • 許可、拒否をIN/OUTで指定可能
  • デフォルトでは全ての送信元IPを許可している
  • 番号の順序通りに適用する

サブネット

publicにする方は、publicipアドレスを自動割り当てする

はじめに

ここは?

仕事で必要になったら必死に調べはするものの日々の積み重ねが得意ではない男が思いつきで作った勉強日記であります。

プロフィール

ITエンジニア
情報工学部 -> SES(金融系) -> 自社サ(fintech系)
PGが好きだけど小さい会社なのでなんちゃって上流も企画もやる(やらされる)

業務で使ったもの

Java 6年 (spring、Android)
python 2年 (django-restapi)
nginx
uwsgi
postgresql
docker-compose
AWS(他の人がメインで構築してるので自分用のEC2建てて遊べる程度)