Amazon EC2 インスタンス
ITライブラリーより (pdf 100冊)
http://itlib1.sakura.ne.jp/
解説
本資料の関連資料は下記をクリックして
PDF一覧からお入り下さい。
ITライブラリー (pdf 100冊)
http://itlib1.sakura.ne.jp/
Amazon EC2
Amazon Elastic Compute Cloud (EC2) は、米Amazon web services (AWS) が提供 する主カサービスのーつです。
EC2は、一般的には「仮想サーバー」と呼ばれるもので、IaaS (Infrastructure as a Service) の中核に属するものです。
AWSでは EC2のサーバー のことを インスタンス という名称で表します。 例えば 「5EC2インスタンス」といった場合は「5台サーバー」との意味になりま す。 EC2は米シトリックス・システム ズが提供している「Xen」というハ イパーバイザーに、AWS独自の カスタマイズをすることで、顧客 のデータを守る仕組みを提供し ています。 9
Amazon マシンイメージ(AMI)
Amazon マシンイメージ(AMI)は、クラウドの仮想サーバーであるインスタンスの 起動に必要な情報を提供します。 インスタンスを起動するときに AMI を指定します。 AMI からは、必要な数のインスタンスを起動できます。 17必要に応じて、異なる種類の AMI からインスタンスを起動することもできます。
AMI には次が含まれています。
①インスタンスのルートボリュームのテンプレート(オペレーティングシステム、 アプリケーションサーバー、アプリケーションなど)
② 起動許可(AMI を使用してインスタンスを起動する権限を特定の
AWS アカウントに与える)
③ インスタンスの起動時にインスタンスにアタッチするボリュームを指定する
ブロックデバイスマッピング
次のスライドの図は、AMI のライフサイクルをまとめたものです。 AMI を作成し、登録したら、それを使用して新しいインスタンスを起動できます (AMI 所有者から起動許可を与えられた場合、AMI からインスタンスを起動す ることもできます)。 AMI は同じリージョンにコピーすることも、異なるリージョンにコピーすることもできます。 AMI からインスタンスを起動したら、AMI の登録を解除できます。
補足:
Amazon Simple Notification Service
(Amazon SNS)
Amazon Simple Notification Service(Amazon SNS)は、クラウドからの メッセージ通知のセットアップ、作業、送信を簡単にするウェブサービスです。
アプリケーションからメッセージを発行し、登録者や他のアプリケーションに 迅速に配信するための、スケーラブルかつ柔軟で、費用対効果の高い機能を 備えています。
また、ウェブスケールのコンピューティングを開発者が簡単に利用できるよう 設計されています。
Amazon SNS は、「publish-subscribe」(pub-sub)メッセージング
パラダイムに従っています。
ここでは「プッシュ」メカニズムを用いて通知が配信されるため、新しい情報や更新の ために定期的に確認または「ポーリング」を行う必要がありません。
事前の最小限度の開発努力を必要とするシンプルな API のおかげで、 メンテナンスまたは管理諸経費がかからず、またその従量制の価格設定に より、Amazon SNS は開発者に、彼らのアプリケーションに強力な
通知システムを簡単に統合するためのしくみを提供します。
Amazon SNS サービスでは、 アプリケーション、 ワークフローシステム、 タイミングの重要な情報更新、 モバイルアプリケーション、 そして通知を必要とするその他あらゆるアプリケーションのモニタリングなど、 幅広く多様なニーズがサポートされます。
例えばAmazon SNS は、分散型コンピューターアプリケーション間で
イベントを中継、データストア間でデータを移動、またはビジネスシステム内の 記録を更新するための ワークフローシステムで使用することができます。
検証、承認、在庫変更、発送ステータスに関するイベント更新と通知は、 エンドユーザーだけでなく、関連するシステムコンポーネントにも直ちに 配信されます。
Amazon SNS の別の使用例は、タイミングの重要なイベントを モバイルアプリケーション や デバイスにリレーすることです。 Amazon SNS は信頼性が高くスケーラブルなため、リアルタイムイベントが 欠かせないアプリケーションを開発する開発者にとって、これが大きな利点と なっています。 31
補足:
Amazon EC2 キーペア
Amazon EC2 はパブリックキー暗号を使用して、ログイン情報の暗号化と 復号を行います。 パブリックキー暗号はパブリックキーを使用してデータを暗号化し(パスワードなど)、 受信者はプライベートキーを使用してデータを復号します。 パブリックキーとプライベートキーは、キーペアと呼ばれます。AWSにはセキュリティグループ(仮想ファイアウォール)や VPC(仮想プライベートネットワーク) と言った様々なセキュリティ機能が 用意されています。 セキュリティグループとは EC2インスタンスに適用可能なAWS標準のファイアウォール機能です。 43
セキュリティグループは、EC2インスタンスへのアクセスを許可し、トラフィックを 制御するファイアウォールとして動作します。 また、1つのセキュリティグループを複数のEC2インスタンスに割り当てる こともできます。 各セキュリティグループでは、EC2インスタンスへのアクセスを許可する トラフィック規定のルールを設定し、ここで設定・許可しないアクセストラフィックは 全て拒否されます。
なお、セキュリティグループのルール設定はいつでも変更可能です。
例えば、新しいルールを設定した場合、すべての既存EC2インスタンスと
これから立ちあげるEC2インスタンスに対しても自動的に新しいルールの 設定が適用されます。
Amazon EC2 でインスタンスを起動する方法は 2 つあります。
Amazon マシンイメージ(AMI)からインスタンスを起動する方法と、
Citrix Xen、Microsoft Hyper-V、または VMware vSphere のような
仮想化環境からインポートした仮想マシン(VM)からインスタンスを
VM をインポートし、Amazon EC2 インスタンスとして起動する方法に
ついて御説明します。
この方法では、1 つのボリュームで構成された VM のみがサポートされて
います。
VM を Amazon EC2 でインスタンスとして使用するには、最初に仮想化環境
からエクスポートし、次に Amazon EC2 コマンドラインインターフェイス(CLI)
または API ツールを使用して Amazon EC2 にインポートします。
VMware vCenter から VM をインポートする場合、AWS Connector for vCenter を
使用して VMware から VM をエクスポートし、Amazon EC2 にインポートする
Citrix Xen、Microsoft Hyper-V、VMware vSphere などの仮想化環境
から仮想マシン(VM)をインポートしたら、AMI として Amazon EC2 に インポートできます。
Amazon EC2 で VM を使用するには、まず仮想化環境からエクスポートし、
次に AWS Command Line Interface(AWS CLI)または API ツールを
使用して Amazon EC2 にインポートする必要があります。
次のスライドの図は、オンプレミス仮想化環境から AWS へ VM をエクスポート
補足:
MSDN Subscription
MSDN Subscription は、設計、開発、構築にたずさわる技術者が必要な 各種ソフトウェアやその業務に効果的に活用できるさまざまなサービスを まとめて提供するプログラムです。 Visual Studio といった開発ツールはもちろん、オペレーティング システムや サーバー ソフトウェア、Office などの開発に必要なソフトウェアを一括で入手 でき、さらにはテクニカル サポートや仕様書などの技術情報も入手することが できます。 59個々に買い揃えていたソフトウェアやテクニカル サポートにかかるコストを 削減することができ、開発に必要な環境を容易に低コストで整備することが できます。
実際にEC2 Windowsを使ってみます。
まずは、Amazon EC2で利用可能なWindows OSとその周辺製品に ついて確認します。
AMIの探し方
まずは、利用したいWindows OSの探し方から確認です。 クイックスタートで全てのリージョンでWindows ServerバージョンもOS言語も 自由に選ぶことができます。 コミュニティAMIから検索してみてください。 入手したいバージョンが見つかるはずです。AMI画面からもパブリックイメージを指定することで、利用可能なWindows
Windows Server 2012 R2の日本語OSが 3つ見えています。
日付を見るとお気付きかと思いますが、Amazonが毎月のWindowsパッチを 適用してAMIを更新してくれています (それ以外に後述のEC2Configや
AWS Tools for Windows PowerShellのバージョンアップも)。
構築したらWindows Updateなしですぐに環境が利用できるのは大変 ありがたいのですが、直近2ヶ月程度を残して過去分のAMIは削除されて しまいます。 評価期間が終わっていざ本番機の構築をしようとした時に、完全に同一の AMIはもう利用できない可能性もありますので、センシティブなケースでは プライベートなAMIとしてユーザ側でバックアップを取得しておきましょう。
利用可能なMicrosoft製品
AWS上では、Windows OSだけでなく、SQL Server、Exchange、 SharePoint、Lync、カスタム.NETアプリケーション等のほとんどの
Microsoft製品を利用することが可能です。
用意されたAMIからEC2を利用するのが最も簡単に始める方法ですが、
AWS CloudFormationやAWS Elastic Beanstalkからすぐに利用可能な
サンプルも用意されています。
Microsoft製品のライセンス
Amazon EC2 では、関連するライセンス料金が費用に含まれたインスタンス ("ライセンス込み") を実行するか、自分のライセンスを使用するか (BYOL) を
選択できます。
Microsoft ソフトウェアを実行する場合、EC2 では Windows Server および SQL Server ライセンスが含まれたインスタンス料金を支払うことが可能です。
その他すべての Microsoft ソフトウェアについて、ユーザーは Microsoft の 規約にもとづいて自分のライセンスを持ち込んで使用できます。
BYOL は "bring you own license" (自分のライセンスを使用する) の意味
です。 このプロセスにより、ISV のライセンス済みソフトフェアを
AWS ハードウェアにデプロイできます。
BYOL を利用する場合、費用にライセンス料金が含まれたインスタンス料金を
支払う必要はありません。
代わりに、Amazon Linux 用 EC2 インスタンスの料金表と同じ料金の支払いが 必要です。
BYOL を利用する場合、ライセンスの管理はユーザーの責任において行う
必要がありますが、Amazon EC2 には Amazon EC2 Dedicated Hosts を 通じて利用可能なインスタンスアフィニティや対象を限定したプレイスメントなど、 ライセンスのライフサイクルの全期間を通じてライセンスコンプライアンス遵守を サポートする特徴があります。
ライセンスモビリティは、Microsoft ボリュームライセンスを持っているユーザーが 利用になれる特典です。
有効な Microsoft ソフトウェアアシュアランス (SA) 契約のカバーの対象となる サーバーアプリケーションをユーザーが所有していることが条件です。
ライセンスモビリティにより、対象となる Microsoft ソフトウェアを AWS などの サードパーティのクラウドプロバイダに移行して、デフォルトテナンシーで実行さ れる EC2 インスタンスで使用できます。
重要な注意点として、EC2 Dedicated Hosts または EC2 ハードウェア専有 インスタンスで自分のライセンスを使用する際にはライセンスモビリティが不要な 場合があります。
また、自分のライセンスを EC2 Dedicated Hosts または EC2 ハードウェア専有 インスタンスで使用する場合は、Microsoft の規約により、ソフトウェアアシュアラ ンスは必要ありません。 ライセンス済みソフトウェアをデフォルトテナンシーで実行される EC2 インスタンスに移行する場合は、ソフトウェアアシュアランスが必要です。 また、Microsoft のライセンスモビリティプログラムに参加するにはソフトウェア アシュアランスが必要です。
製品メディア
Microsoft製品の機能追加等の作業の際には、製品メディアが必要となる 場合があります。 Amazon EC2にはisoイメージをマウントするような機能はありませんので、 公開されたスナップショットから生成されたEBSボリュームをアタッチして 利用します。 75補足:
EC2Config
Amazon Windows AMI には、アマゾン ウェブ サービスがインストールした
追加サービスである、EC2Config サービスが入っています。
使用は任意ですが、このサービスは他の手段では利用できない高度な 機能を提供します。
このサービスは LocalSystem アカウントで動作し、インスタンスでタスクを 実行します。
たとえば、Windows のイベントログと IIS のリクエストログを
1. Windowsライセンスのアクティベーション
EC2のWindowsインスタンスの料金には、Windowsのライセンス利用料が
含まれます。
Linuxインスタンスよりも価格が高いのはこのためです。
この説明の裏を返すと、EC2で実行するWindowsでは、AWSが提供する ライセンスキーを使用する必要があり、EC2Configがそのライセンスキーの 唯一の適用方法です。
ライセンスキーの適用やアクティベーション自体は、インスタンス起動時に 自動で行われるため、管理者として意識することは特にありません。
EC2Configをインストール後、インスタンスを再起動するとライセンス
認証済みの状態になっていることが確認できます。
2. システムログへの書き込み
オンプレミスの仮想マシンと異なり、AWSのインスタンスではコンソールを直接 参照することができません。 Windowsが正常に起動し、リモートデスクトップ(RDP)接続サービスが動作 して初めて接続できるようになります。 83しかし、起動プロセス中のエラーなど、様々なトラブルによってWindowsが 正しく起動せずRDPで接続できなくなることがあります。
そんなトラブルシューティングのときに役に立つのが、
インスタンスを右クリックし、[Get System Log]で参照します。EC2Configは、 このコンソールにWindowsの状態に関するログを書き込む機能があります。
EC2Configが未インストールの場合
補足:
Sysprep
【 System Preparation Tool 】
システム準備ツール
Sysprepとは、企業などでWindowsを大規模に導入する際に使用される
多数のコンピュータに同一のソフトウェア環境を展開するため、一度ある コンピュータにWindowsをインストールし、必要な設定を行った後、 それを丸ごと複製して多くのコンピュータに導入するという手法がよく用いられる。 その際、インストールされたWindowsにはコンピュータ一台毎に固有の情報が 設定されている部分があるため、そのままコピーしただけでは複製先の コンピュータでは正常に動作しない。 91
Sysprepは複製イメージの作成時にこれを削除し、複製時に改めて設定し
直すようにすることができる。
再設定作業は複製時に画面表示に従って入力するが、設定ファイルを用いて 自動化することもできる。
Sysprep
バックアップとしてAMIをユーザが作成する際、システムバックアップとしての 利用するケースと、クローンとして別環境への展開、複数台のベースとするケースが あると思います。 システムバックアップとしてのAMI作成は、EC2 Linuxと同様にそのまま バックアップを取得すれば問題ありません(逆にsysprepをすることで各種情報が 初期化されてしまうのでご注意ください)。 93クローンとして複数台のベースとするような場合には、EC2Configを利用して
sysprepを実行し、各種情報をリセットする必要があります。
設定ファイルは下記に保存されています。
例えば、TimeZoneはデフォルトではUTCに変更されてしまいますが、JSTのまま 再利用したいケースでは、この設定ファイルを修正しておくことで、新たに起動する 仮想マシンのTimeZoneを変更せずに利用することができます。 sysprepが実行されたAMIを起動すると、EC2Configの初回実行タスクも 動作する為、こちらにも注意が必要です。 95
CloudWatch Logsは、独自のアプリケーションやAWSサービスのログを
収集して解析する機能です。
EC2にエージェントをインストールしてログを飛ばす事ができます。
主な機能は以下の2つです。
① アプリケーションとシステムのログをリアルタイムにモニタリングすること
② ログデータのアーカイブ
Amazon CloudWatch Logs
管理コンソールから見てみます
CloudWatch Logs Agent
ログを収集するためにエージェントをインストールします。
CloudWatch Logs Agentに IAMロールを設定します。
次のスライドのようにIAMロールを設定します。
セットアップ
必要なエージェントをダウンロードしてインストールしていきます。
ログを見ます。
インスタンスを選択
