Diese Präsentation wurde erfolgreich gemeldet.
Die SlideShare-Präsentation wird heruntergeladen. ×

AWS Black Belt Online Seminar 2017 Amazon EC2 Systems Manager

Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Anzeige
Wird geladen in …3
×

Hier ansehen

1 von 67 Anzeige
Anzeige

Weitere Verwandte Inhalte

Diashows für Sie (20)

Andere mochten auch (17)

Anzeige

Ähnlich wie AWS Black Belt Online Seminar 2017 Amazon EC2 Systems Manager (20)

Weitere von Amazon Web Services Japan (20)

Anzeige

Aktuellste (20)

AWS Black Belt Online Seminar 2017 Amazon EC2 Systems Manager

  1. 1. Amazon EC2 Systems Manager AWS Black Belt Online Seminar 2017 アマゾン ウェブ サービス ジャパン株式会社 ソリューションアーキテクト 舘岡 守 2017.02.22
  2. 2. 自己紹介 舘岡 守(たておか まもる) インダストリソリューション部 ソリューションアーキテクト • 主に中〜大企業のお客様を担当、AWSの導入を支援 • 前職は某AWS専業インテグレーター(CIer) • 好きなAWSのサービス:CloudWatch、AWSサポート 2
  3. 3. AWS Black Belt Online Seminar へようこそ! 質問を投げることができます! Adobe ConnectのQ&Aウィンドウから、質問を書き込んでください。 (書き込んだ質問は、主催者にしか見えません) 今後の機能拡張予定や、GAの時期、リージョン展開の予定などに関する ご質問はお答えできませんのでご了承ください。 Twitterへツイートする際はハッシュタグ #awsblackbelt をご利用くださ い。 ①Q&Aウィンドウ 右下のフォームに 質問を書き込んで ください ②吹き出しマークで 送信してください 3
  4. 4. AWS Black Belt Online Seminar とは • AWSJのTechメンバがAWSに関する様々な事を紹介するオンラインセミナーです 【火曜 12:00~13:00】 主にAWSのソリューションや 業界カットでの使いどころなどを紹介 (例:IoT、金融業界向け etc.) 【水曜 18:00~19:00】 主にAWSサービスの紹介や アップデートの解説 (例:EC2、RDS、Lambda etc.) ※最新の情報は下記をご確認下さい。 オンラインセミナーのスケジュール&申し込みサイト https://aws.amazon.com/jp/about-aws/events/webinars/ 4
  5. 5. 本資料では2017年2月22日時点のサービス内容および価格についてご説明しています。 最新の情報はAWS公式ウェブサイト(http://aws.amazon.com)にてご確認くださ い。 資料作成には十分注意しておりますが、資料内の価格とAWS公式ウェブサイト記載の価 格に相違があった場合、AWS公式ウェブサイトの価格を優先とさせていただきます。 内容についての注意点 AWS does not offer binding price quotes. AWS pricing is publicly available and is subject to change in accordance with the AWS Customer Agreement available at http://aws.amazon.com/agreement/. Any pricing information included in this document is provided only as an estimate of usage charges for AWS services based on certain information that you have provided. Monthly charges will be based on your actual use of AWS services, and may vary from the estimates provided. 価格は税抜表記となっています。日本居住者のお客様がサービスを使用する場合、別途消 費税をご請求させていただきます。 5
  6. 6. アジェンダ • システム運用の課題 • Amazon EC2 Systems Manager – Amazon EC2 Systems Managerの構成要素 – Amazon EC2 Systems Managerで出来る事 • 利用イメージ • 料金 • まとめ • FAQ 6
  7. 7. アジェンダ • システム運用の課題 • Amazon EC2 Systems Manager – Amazon EC2 Systems Managerの構成要素 – Amazon EC2 Systems Managerで出来る事 • 利用イメージ • 料金 • まとめ • FAQ 7
  8. 8. 一般的なシステム運用に必要なこと • システムが正常に稼働しているか • リソースに過不足が発生していないか • 問題はいつ誰がどのように修正したか • 権限は適切に設定されているか • セキュリティの問題は発生していないか • ルールに従った作業実施、記録されているか • 意図した構成が保たれているか  etc… 8
  9. 9. 運用に必要なツールが増える事での運用負荷増 • 監視用の3rdパーティツール • インベントリを管理するドキュメント • ユーザー、権限を管理するドキュメント • システムへの変更を記録するドキュメント • セキュリティパッチングツール、スクリプト • リモートアクセス用の踏み台サーバー 9
  10. 10. AWSでも既存の運用が可能 • 既存の運用ルールをAWSに適用する事は可能 – WikiやExcelが悪という訳ではない – ドキュメントへの情報記録、管理は必要になる – 運用コストはあまり減らない • 一部のツールは代替も可能 – CloudWatchでの監視、AWS Configでの変更管理、etc… 10
  11. 11. Amazon EC2 Systems Managerを使うことで • 運用コストを減らしてビジネスに注力 • 運用の品質安定、標準化が可能 • オンプレミス、クラウドの管理を一元化 • セキュアなオペレーションを実現 11
  12. 12. アジェンダ • システム運用の課題 • Amazon EC2 Systems Manager – Amazon EC2 Systems Managerの構成要素 – Amazon EC2 Systems Managerで出来る事 • 利用イメージ • 料金 • まとめ • FAQ 12
  13. 13. Amazon EC2 Systems Managerとは 13 Amazon EC2、またはオンプレミスで実行される Windows、Linuxに対してシステムの自動構成と 継続的な管理を可能にする一連の機能 Amazon EC2 Amazon EC2 Systems Manager
  14. 14. EC2 Systems Managerの構成要素 Run Command Maintenance Window Inventory State Manager Parameter Store Patch Manager Automation Deploy, Configure, and Administer Track and Update Shared  Capabilities
  15. 15. Run Command リモートから任意のコマンド実行が可能 ソフトウェアのインストール、パッチング、アップデート ユーザーの追加・削除、サービスの起動・停止、状態取得 JSONベースのドキュメントでコマンド、タスクを定義 定義済みのドキュメントも提供、コミュニティ版もあり 実行結果はS3に保存可能、実行状態に合わせてSNSを使って通知 SSH、RDPの接続ポートを閉じる事でセキュアに運用 管理作業をリモートから実行 15
  16. 16. State Manager 事前に定義しておいた状態にOSを設定 JSONベースのドキュメントを使用してポリシーを定義 構成を適用するEC2、オンプレサーバーを個別、タグで管理 企業全体の構成ポリシーへの準拠を支援 例:ウィルス対策ソフト、マルウェア対策ソフトの定義ファイル更新 OSとアプリケーションの設定を定義、状態を維持する 16
  17. 17. Automation Amazon Machine Images(AMI)の作成と管理に最適化 AMIからEC2を起動 パッチ適用 更新されたAMIを作成 JSONベースのドキュメントでワークフローを定義 企業で管理する「ゴールデンイメージ」管理をサポート シンプルなワークフローを使って一般的なタスクを自動化 17
  18. 18. Parameter Store IT資産の集中管理 18 ログイン、DB接続情報などを一元管理 Run Commnad、State Manager、Automation 等から参照可能 Management Consoleからも参照、更新が可能 AWS CLI、各種SDKからも参照、更新が可能 細かい権限管理で必要な人に必要な情報を提供 Parameter Storeに格納した情報はKMSで暗号化 企業の機密情報の分散管理、メンテナンスを簡素化
  19. 19. Maintenance Window システムの中断を許容できる時間を指定 OSのアップデート、各種ドライバの更新、ソフトウェアのインストール etc… 組み込み済みのコマンド、Run Commandの実行が可能 メンテナンス実行の時間を明確に決めておく事で可用性と信頼性向上 考え方はRDSのMaintenance Windowと同様 事前に設定した時間でメンテナンスを実施 19
  20. 20. Inventory EC2、オンプレの各種インベントリ情報を収集、管理 AWSが定義する収集テンプレートを利用可能 JSON形式で取得したいデータを定義する事でカスタマイズも可能 AWS Configを有効にする事でインベントリ情報の変更履歴を追跡 ソフトウェアのライセンス使用状況確認、ソフトウェアバージョンの管理 が簡素化される事でのセキュリティ脆弱性の早期発見 ソフトウェアインベントリの情報収集 20
  21. 21. Patch Manager Patch Baselineを使ってカスタムパッチポリシーを定義 例:クリティカルなパッチが提供された場合には1日後に適用 パッチ適用は指定したMaintenance Window内で実施 実施されたパッチングの結果はレポートされる インストールされたパッチ、スキップ、失敗したパッチ等 重要なアップデートやゼロデイ脆弱性への対応を自動化、時間を短縮 ベースラインを定義してWindowsのパッチを適用 21
  22. 22. SSM Agent インストールタイプのエージェント AWSの各種サービスAPIと通信が発生 AWSから提供している以下のAMIにはインストール済み 2016年11月以降に提供しているWindows AMI(2003-2012R2、2016) Amazon Linuxは別途インストールが必要 Source CodeはGithubで公開 https://github.com/aws/amazon-ssm-agent 管理対象に常駐し、各種サービスからの要求を実行 22
  23. 23. EC2 Systems Managerの利用 • 前提環境条件の確認 • IAM Roleの作成 • SSM Agentのインストール • Systems Managerのセットアップ • Happy Operation!! 23
  24. 24. EC2 Systems Managerの前提環境条件 • サポートされているOS – Windows(32bit、64bit) • Windows Server 2003〜2016(R2含む) – Linux(32bit) • Amazon Linux 2014.09、2014.03 以降 • Ubuntu Server 16.0.4 LTS、14.04 LTS、または 12.04 LTS • Red Hat Enterprise Linux (RHEL) 6.5 以降 • CentOS 6.3 以降 – Linux(64bit) • Amazon Linux 2015.09、2015.03 以降 • Red Hat Enterprise Linux (RHEL) 7.x 以降 • CentOS 7.1 以降 24
  25. 25. EC2 Systems Managerの前提環境条件 • インターネットへのアクセスが出来る事 – SSM Agentが各種APIへアクセスするため – VPCにNAT-Gatewayを設置するのも方法の1つ – インターネットからの接続は必要なし 25 Amazon EC2 Amazon EC2 Systems Manager Internet
  26. 26. IAM Roleの作成 • IAM Roleを作成して権限を付与 • SSM Agentが各種APIをコールする権限 – 例:Automationであれば ec2:CreateImage 等 – 用途によって権限を分ける • AWS管理ポリシーを活用 – AmazonSSMFullAccess、AmazonSSMReadOnlyAccess等 • カスタムポリシーも作成可能 26
  27. 27. AmazonSSMAutomationRoleの権限例 27             "Effect": "Allow",             "Action": [                 "lambda:InvokeFunction"             ],             "Resource": [                 "arn:aws:lambda:*:*:function:Automation*"             ]         },         {             "Effect": "Allow",             "Action": [                 "ec2:CreateImage",                 "ec2:DeleteSnapshot",                 "ec2:DeregisterImage",                 "ec2:DescribeImages",                 "ec2:StartInstances",                 "ec2:StopInstances",                 "ec2:TerminateInstances",                 "ec2:DescribeInstanceStatus",                 "ec2:RunInstances” ....省略
  28. 28. IAM Role for EC2が起動済みのEC2にも対応! 28 https://aws.amazon.com/jp/blogs/security/new-attach-an-aws-iam-role-to-an-existing-amazon-ec2-instance-by-using-the-aws-cli/ EC2 Systems Managerの 利用加速起爆剤に!
  29. 29. SSM Agentのインストール(Windows on EC2) • AWS提供のWindows AMIはインストール済み – 2016年11月以降のAMIから起動したWindowsは導入済み – 2016年11月以前のAMIから起動したWindowsは更新が必要 • SSM Agentを更新する – EC2Configでの更新を推奨 – Run CommandでAWS-UpdateEC2Configを実行 – Windows Server 2016の場合はAWS-UpdateSSMAgentを実行 29
  30. 30. SSM Agentのインストール(オンプレWindows) • IAMサービスRoleの作成 – SSMサービスにアクセスするためにAssumeRoleが必要 – セッショントークン生成 • PowerShellであれば Register-IAMRolePolicy • AWS CLIであれば attach-role-policy – セッショントークンをコピーしてエディタ等に保存 • AWS Tools for Windows PowerShell のインストール – https://aws.amazon.com/jp/powershell/ 左記URLからダウンロード 30 {   "Version": "2012-10-17",   "Statement": {     "Effect": "Allow",     "Principal": {"Service": "ssm.amazonaws.com"},     "Action": "sts:AssumeRole"   } }
  31. 31. SSM Agentのインストール(オンプレWindows) • アクティベーション – Management Consoleからアクティベーションを作成 • アクティベーションの説明や有効期限を設定 31
  32. 32. SSM Agentのインストール(オンプレWindows) • アクティベーション – Management Consoleからアクティベーションを作成 • アクティベーションコードとアクティベーションIDをコピー保存 32 ココをコピー
  33. 33. SSM Agentのインストール(オンプレWindows) • アクティベーション – オンプレ側のWindowsで以下のコマンドを実行 33 $dir = $env:TEMP + "ssm" New-Item -ItemType directory -Path $dir cd $dir (New-Object System.Net.WebClient).DownloadFile("https://amazon-ssm- region.s3.amazonaws.com/latest/windows_amd64/AmazonSSMAgentSetup.exe", $dir +  "AmazonSSMAgentSetup.exe") Start-Process .AmazonSSMAgentSetup.exe -ArgumentList @("/q", "/log", "install.log", "CODE=code",  "ID=id", "REGION=region") –Wait # 実際は1行 Get-Content ($env:ProgramData + "AmazonSSMInstanceDataregistration") Get-Service -Name "AmazonSSMAgent" 赤い太文字部分にそれぞ れRegion、コピー保存し たcodeとIDを貼り付け
  34. 34. SSM Agentのインストール(Linux on EC2) • SSM Agentをダウンロード、インストール – リポジトリ(S3)からダウンロード • https://amazon-ssm-region.s3.amazonaws.com/latest/$arch/amazon-ssm-agent.rpm • region部分は利用するRegionに置き換えること • $arch部分もお使いのディストリビューションに合わせて置き換えること – 各種パッケージコマンドでインストール • sudo yum install -y amazon-ssm-agent.rpm • sudo dpkg -i amazon-ssm-agent.deb – コマンド詳細は以下のURLを確認 • http://docs.aws.amazon.com/ja_jp/AWSEC2/latest/UserGuide/sysman-install-ssm-agent.html 34
  35. 35. SSM Agentのインストール(オンプレLinux) • オンプレWindowsとほぼ同様の手順 – IAM Roleの作成 – SSM Agentのパッケージインストール – Management Consoleからアクティベーション作成 – アクティベーションコード、IDをコマンドに貼り付けて実行 35 sudo amazon-ssm-agent -register -code "code" -id "id" -region "region" sudo start amazon-ssm-agent
  36. 36. Systems Manager Document • Systems Managerの動作はDocumentで定義する • Documentはバージョニング、共有が可能 • 定義済みのDocumentの使用、カスタマイズDocument作成可能 – 例:Software Inventory を収集するDocument 36 タイプ 使用用途 コマンドのドキュメント Run Command State Manager ポリシードキュメント State Manager 自動化ドキュメント Automation
  37. 37. Systems Manager Document 37
  38. 38. Maintenance Window • 設定は3ステップ – Maintenance Windowで実行する繰り返し日時を指 定する – メンテナンス対象のターゲットを指定する – 実行するタスクを指定する 38
  39. 39. Maintenance Window • 実行する日時を指定 – スケジュールビルダー、cron形式、rate形式で作成可能 – 例:毎週日曜日、AM1:00から実行(cron形式) • cron(0 1 * * MON *) – 例:2時間おきに実行(rate形式) • rate(2 hour) • 実行時間も細かく指定可能 – Duration等で実行時間を制御 39
  40. 40. Maintenance Window • メンテナンス対象のターゲットを指定 • 管理対象のインスタンス、またはタグで指定 – 複数のインスタンスを個別指定可能 • 現時点では複数のタグには対応していない – Environment = Production & Role = App のようなフィルタ 40
  41. 41. Maintenance Window • 実行するタスクを指定する • 実行するコマンドのDocumentを指定 – 例:AWS-RunShellScript • Documentに定義された項目を入力する – 実行するコマンド – 実行ディレクトリ – タイムアウト etc… 41
  42. 42. Parameter Store 42 • タイプ、値の形式で入力 • リスト形式はカンマ区切 りで入力可能 • KMSを使った暗号化もサ ポート • アップデート、変更履歴 • 例:DB接続パスワード
  43. 43. Parameter Store • Run Command、Automation、State Manager等から参照可能 – 例:AWS CLIから参照する場合(赤字部分は編集) • KMSで暗号化していた値を参照する場合 – 例:AWS CLIから参照する場合(赤字部分は編集) 43 aws ssm get-parameters --name helloWorld aws ssm get-parameters --names helloWorld --with-decryption
  44. 44. Inventory • OSやアプリケーション、メタ情報等を収集 • 定義済みのDocumentを利用可能 – WindowsアップデートのプログラムID、適用時間 – インストールされているAWS CLIのバージョン確認 • 情報のカスタマイズ収集も可能 – インストールされているMySQLのバージョン、PHPのバージョン – OpenSSLのライブラリバージョン 44
  45. 45. Inventory 45 • Managed Instanceから関連付け • 対象のInstanceを選択して有効 • 情報を収集する時間は最短で30分 • 有効化するパラメーターを選択 • 必要に応じてS3へ出力(課金)
  46. 46. Inventory • カスタマイズする場合には事前にDocumentを作成 – Documentを新規作成してDocument TypeをPolicyに – JSON形式でコンテンツを入力 – 作成後は権限を適切に設定する • デフォルトでは誰も参照できない設定になっている • Managed Instanceで関連付け – 「インベントリの設定」ではなく「関連付けの作成」 46
  47. 47. State Manager • 定義された状態に保つプロセスを自動化 – スタートアップ時にソフトウェアのインストール – Windowsドメインに参加 – ライフサイクルを通じてソフトウェアを更新 …etc • 他サービスと同様に状態をDocumentで定義 • CloudTrailで全ての変更をログ保存 47
  48. 48. State Manager • Documentを作成(PowerShell実行とMySQLダウンロード、インストールの例) 48 …省略   "mainSteps": [       {          "action": "aws:runPowerShellScript",          "name": "runShellScript",          "inputs": {             "runCommand": [                "ipconfig"             ]          }       },       {          "action": "aws:applications",          "name": "installapp",          "inputs": {             "action": "Install",             "source": "http://dev.mysql.com/get/Downloads/MySQLInstaller/mysql-installer-community-5.6.22.0.msi"          }       }    ] }
  49. 49. State Manager • State ManagerからAssociationを作成 • 先程作成したDocumentを選択 • ターゲット、スケジュールを設定 49
  50. 50. Automation • 手順化された作業を自動化 – マスターイメージ(AMI)に対するメンテナンスを自動化 – AMIからEC2を起動、パッチ当て、EC2からAMIを作成 • IAM Roleに別途権限付与を考慮 – AWS管理ポリシー AmazonSSMAutomationRole を付与 50
  51. 51. Patch Manager • Windowsのパッチ適用を自動化 – インスタンスをスキャン、未適用のパッチを確認、インストール – パッチ公開から適用まで待たせる日数を指定可能 – 分類や重要度によるフィルタが可能 • [分類]重要な更新プログラム & [重要度]緊急 など – 個別でパッチ適用拒否する事も可能 • Linuxのパッチについては現時点ではサポート外 51
  52. 52. Patch Manager • Patch Baselineで適用す る(しない)ルールを定義 • パッチが提供されてから 待たせる日時を指定 • 対象OSバージョンを指定 52
  53. 53. Patch Manager • 作成したBaselineをMaintenance Windowで指定 – Targets → Register new targetsから設定 – インスタンス個別、タグ指定、Patch Groupで指定 53
  54. 54. Happy Operations!! 54
  55. 55. アジェンダ • システム運用の課題 • Amazon EC2 Systems Manager – Amazon EC2 Systems Managerの構成要素 – Amazon EC2 Systems Managerで出来る事 • 利用イメージ • 料金 • まとめ • FAQ 55
  56. 56. 利用イメージ (1) • EC2、ハイブリッド環境のシステム管理 – Run Commandのみでコマンド実行、セキュアな管理 – 情報はInventoryで収集、Maintenance Windowで自動パッチング 56 Amazon EC2 Amazon EC2 Systems Manager
  57. 57. 利用イメージ (2) • 認証情報の保存、取り出し – Parameter Storeを使ってバッチ処理 57 Amazon EC2 Systems Manager Amazon ECS AWS Batch Amazon EC2 Amazon RDS S3 https://aws.amazon.com/jp/blogs/news/managing-secrets-for-amazon-ecs-applications-using-parameter-store-and-iam-roles-for-tasks/ タスクIAMロールとパラメータストアを利用したAmazon ECSアプリケーションの秘密情報管理
  58. 58. EC2 Systems Managerの料金 • EC2 Systems Manager自体の料金は無料 – オンプレミス、EC2ともに台数による追加料金無し – 起動しているEC2は別途料金発生(CloudFormationと同じ) • S3、CloudTrail、AWS Configを利用すると発生 – 料金体系は各サービスに準ずる 58
  59. 59. よくある質問 • EC2Configとは何が違いますか? – A. EC2ConfigはWindowsの設定をするサービス、SSM AgentはRun CommandやEC2 Systems Managerと連携します。 • Patch ManagerはWSUSの機能を持っていますか? – A. 持っていないのでご用意ください。 59
  60. 60. Amazon EC2 Systems Managerを使うことで • 運用コストを減らしてビジネスに注力 • 運用の品質安定、標準化が可能 • オンプレミス、クラウドの管理を一元化 • セキュアなオペレーションを実現 60
  61. 61. 参考資料 • Amazon EC2 Systems Manager – https://aws.amazon.com/jp/ec2/systems-manager/ • よくある質問 – https://aws.amazon.com/jp/ec2/systems-manager/faqs/  • Amazon EC2 Systems Manager ドキュメント – http://docs.aws.amazon.com/ja_jp/AWSEC2/latest/WindowsGuide/systems- manager.html – http://docs.aws.amazon.com/ja_jp/AWSEC2/latest/UserGuide/systems- manager.html  • WindowsとLinuxでドキュメントが分かれているので注意   61
  62. 62. Q&A [導入に関しての問い合わせ] http://aws.amazon.com/jp/contact-us/aws-sales/ [課金・請求内容、またはアカウントに関するお問い合わせ] https://aws.amazon.com/jp/contact-us/ 62
  63. 63. オンラインセミナー資料の配置場所 • AWS クラウドサービス活用資料集 – http://aws.amazon.com/jp/aws-jp-introduction/ • AWS Solutions Architect ブログ – 最新の情報、セミナー中のQ&A等が掲載されています – http://aws.typepad.com/sajp/ 63
  64. 64. 公式Twitter/Facebook AWSの最新情報をお届けします @awscloud_jp 検索 最新技術情報、イベント情報、お役立ち情報、 お得なキャンペーン情報などを日々更新しています! もしくは http://on.fb.me/1vR8yWm 64
  65. 65. AWSの導入、お問い合わせのご相談 • AWSクラウド導入に関するご質問、お見積り、資料請 求をご希望のお客様は、以下のリンクよりお気軽にご相 談ください https://aws.amazon.com/jp/contact-us/aws-sales/ ※「AWS 問い合わせ」で検索してください65
  66. 66. ご参加ありがとうございました 67
  67. 67. 68

×