Alibaba Cloud 導入アドバイザリ Ver.1.00 SB Cloud 技術部 2019年4月1日 2019 SB Cloud Corp.

(1)

Alibaba Cloud 導入アドバイザリ

Ver.1.00

SB Cloud 技術部 2019年4月1日

(2)

© 2019 SB Cloud Corp. 本書の扱い 2 本書では、Alibaba Cloud上でシステムを構築する際の「アーキテクチャの設計」、「インフラストラクチャーの構築」、「セキュリティ」、「システム運用」の4点に関わるAlibaba Cloud の構成例をご紹介します。本書を一読頂くことで、一連のプラクティスを把握頂けます。なお、本書は公開時点でのアドバイザリであり、時間の経過とともに、プロダクトの追加や機能追加・変更等で仕様が変更になる可能性があります。内容については随時更新を行ってまりますので、最新版をご参照下さい。

(3)

本書の構成 1. 用語集 2. 本書に扱われるサービス一覧 3. Alibaba Cloudアーキテクチャの全体像 4. ネットワークの構成 4.1. Alibaba Cloudのネットワークの考え方 4.2. ネットワーク分割 4.3. アクセス経路 4.4. アクセス制御 5. セキュリテイの構成 5.1. Alibaba Cloud責任共有モデル 5.2. ID & アクセスマネジメント 5.3. インフラセキュリティ 5.4. ログ管理 5.5. データ保護 6. 運用機能 6.1. システム監視パッチ管理

(4)

1: 用語集

4

用語説明

rootアカウントプライマリアカウントとも呼ばれる。Alibaba Cloudアカウントを作成する際に登録されるメールアドレスがrootアカウントになり、一番強い権限を持つため、慎重に利用する必要がある。

RAMユーザーサブユーザー、サブアカウントとも呼ばれる。Alibaba Cloudにログインする際に利用するアカウントであり、Alibaba CloudのプロダクトResource Access Management にて管理される。通常業務はRAM ユーザーの利用を推奨する。

TOTP認証 TOTPはTime-based One-time Passwordの略で, TOTP認証は時間ベースのワンタイムパスワード認証方式である。アプリケーションとしてはGoogle Authenticator等がある。リージョンネットワークのレイテンシーを短縮するために世界各地に展開されている物理的な場所 (データセンター) ゾーン 1 つのリージョン内に独立した電力網とネットワークを持つ独立した物理領域プロダクション環境エンドユーザー向けサービスを提供しているシステムがある環境。本番環境や商用環境とも呼ばれる。ステージング環境プロダクション環境と同じシステムの構成を持ち、商用利用開始前のシステムの確認に用いられる環境。

(5)

2: 本書に扱われるサービス一覧

カテゴリサービス名 _アイコン _{サービス概要}

仮想サーバー ECS

Elastic Compute Service

高可用性の仮想サーバーサービス Function Compute フルマネージドのサーバーレス実行環境データベース ApsaraDB for RDS フルマネージドリレーショナルデータベース Table Store フルマネージド型の非リレーショナルデータベースネットワーク SLB

Server Load Balancer

仮想ロードバランサー

VPN Gateway インターネット VPN を介してオンプレミスのデータセンターやリモートクライアントを Alibaba Cloud の VPC に接続するサービス

(6)

2: 本書に扱われるサービス一覧

6

カテゴリサービス名 _アイコン _{サービス概要}

セキュリティ WAF

Web Application Firewall

Web アプリケーションと WAF 間の HTTP トラフィックをモニターし、Web サイトをサイバー攻撃から保護するクラウド型 Web アプリケーションファイアウォール

SSL Certificates Service Alibaba Cloud 上で SSL 証明書を直接申請、購入、管理を行うサービス

マネジメント KMS

Key Management Service

データの暗号化に使用するキーを容易に作成 / 管理できるサービス

ActionTrail アカウントのリソースに対する操作を記録するサービス

CloudMonitor リアルタイムのクラウドモニタリングサービス

RAM

Resource Access Management

柔軟なアカウント管理・アクセス制御を実現するサービス

ストレージ OSS

Object Storage Service

大容量のデータを低価格で保存できるオブジェクトストレージサービス

NAS

Network Attached Storage

(7)

2: 本書に扱われるサービス一覧 カテゴリサービス名 _アイコン _{サービス概要} アプリケーションサービス Message Service 大量のメッセージや同時操作をサポートする、ノード間連携のためのメッセージキューイングと通知サービス

Log Service Alibaba Cloud上のサービスのリアルタイムのログ収集から集計まで、各種ログの一元管理を実現するサービス

ビッグデータ

MaxCompute 大量のデータを高速で処理するオールインワンのビッグデータ処理プラットフォーム

(8)

● Alibaba Cloud上で構築されるシステムはプロダクション環境、ステージング環境などの役割ごとにVPC単位又はAlibaba Cloudアカウント単位で分離します。

● Alibaba Cloud外の環境との接続には、閉域網サービス(Express Connect)、もしくは、暗号化したネットワーク(VPN Gateway)を利用して接続します。 ● ネットワーク間のアクセスは、適切なアクセス制限をかけて運用します。 ● 公開される通信は、暗号化を行うことを推奨します。 ※ 使用するプロダクト間の暗号化仕様については個別に確認を行う必要があります。 3: Alibaba Cloudアーキテクチャの全体像 8

(9)

4. ネットワークの構成

4.1: Alibaba Cloudのネットワークの考え方

4.2: ネットワーク分割

4.3: アクセス経路

4.4: アクセス制御

(10)

● 100.64.0.0/10 (OSS、Log Service 、CloudMonitorなどのクラウドサービスが利用 ) との通信の許可

また、上記の仕様以外、 VPC内のリソース(ECSやNAT Gatewayなど)がグローバルIPを所有している場合、グルーバルIP経由での通信経路が優先される暗黙的な仕様になっているため、 VPC内のサブネットはパブリックサブネットとプライベートサブネットという区別がありません。

(11)

4.2: ネットワーク分割 ● VPCはプロダクション環境やステージング環境などの用途ごとに作成します。 ● 可用性向上のためには、サブネットは各 VPC に 2 つ以上を作成し、それぞれを異なるゾーンに配置することを推奨します。 ※ VSwitchはVPCを複数サブネットに分割する機能で、 VRouterはサブネット間の通信を制御する機能です。

(12)

(13)

4.4: アクセス制御 ● コンソールからAlibaba Cloud各プロダクトへアクセスする場合はRAMを利用して制 御します。詳細は【5.2: ID & アクセスマネジメント】にてご確認ください。 ● 仮想サーバーへログインは、ECSはセキュリティグループで、RDSホワイトリストでアクセスを制御します。 ※踏み台サーバーはユーザーにて構築する必要があります。

(14)

5. セキュリティの構成

5.1: Alibaba Cloud責任共有モデル

5.2: ID & アクセスマネジメント

5.3: インフラセキュリティ

5.4: ログ管理

5.5: データ保護

(15)

(16)

5.1.1: Alibaba Cloud 責任共有モデル

16

● Alibaba Cloud とお客様は、Alibaba Cloud 上に構築されたお客様のアプリケーションのセキュリティについて共同責任を負っています。 ※(日本語版の)Alibaba Cloud セキュリティホワイトペーパーが必要な場合はSBクラウドまでお問い合わせください ○ お客様は、クラウドに構築または接続されたアプリケーションのセキュリティについて責任を負います。 Alibaba Cloud が提供するセキュアなサービスとセキュリティ機能を活用することで、セキュリティ面全般で大きなメリットを得ることができます。 ○ Alibaba Cloud は、基盤となるクラウドサービスプラットフォームおよびインフラストラクチャのセキュリティについて責任を負います。

(17)

5.2 ID & アクセスマネジメント

5.2.1 ID管理の全体像

5.2.2 rootアカウントの管理

5.2.3 rootアカウントのアクセス制御

5.2.4 RAMユーザーの管理

5.2.5 RAMユーザーのアクセス制御

5.2.6 AccessKeyの管理とアクセス制御

5.2.7 OSユーザーのアカウントの管理

(18)

5.2.1: ID管理の全体像

18

Alibaba CloudのID管理は下記２つのレベルに分けて行います。

● インフラレベル : Alibaba Cloud rootアカウント / RAMユーザー / AccessKey ● ゲストOSレベル : OSユーザーアカウント / データベースアカウント

(19)

5.2.2: rootアカウントの管理

● rootアカウントのアカウント保護を有効にします。

○ TOTP(Time-based One-time Password)認証 / SMS(Short Message Service)認証を有効化して、 rootアカウ

ントを保護します。

● 通常業務はrootアカウントではなく、RAMユーザーを利用します。

○ rootアカウントは一番強い権限を所有しているため、通常業務に利用するには適しません。 ○ 利用者ごとに RAMユーザーを作成して利用する事を推奨します。

● rootアカウントの AccessKey の作成を禁止します。

○ AccessKey漏洩によるセキュリティ事故を防ぐため、 rootアカウントの AccessKeyの作成を禁止します。

(20)

(21)

● ログイン認証 ○ MFAを有効化します。 ○ 強力なパスワードポリシーを設定します。 ● 権限付与 ○ 最小限の権限付与ルールを準拠します。 ○ ポリシーの条件によるセキュリティを強化します。 ○ 不要になった権限を削除します。 ● RAMユーザー / 権限の運用 ○ RAMグループによる RAMユーザーを管理します。 ○ ユーザー管理、権限管理、リソース管理が出来るユーザは分離し、権限を分散します。 ○ AccessKeyを利用する場合は、 AccessKey専用のRAMユーザーを作成します。 5.2.4: RAMユーザーの管理

(22)

● MFAの有効化

○ TOTP認証アプリ ( Google Authenticator 等 ) を利用し、RAMユーザーを不正なログインから保護しま

す。

● RAMポリシーの条件によるセキュリティの強化

○ RAM ポリシーのCondition要素を利用し、下記のようなポリシーを RAMユーザーに付与することにより、コンソールへのアクセス元を制御します。

● RAMユーザーのセキュリティの設定によるIP制限

※コンソールの設定箇所はRAMユーザーではなく、日本語表記「サブユーザー」になります。 ※全RAMユーザが対象となります。

(23)

5.2.6: AccessKeyの管理とアクセス制御 AccessKeyは、rootアカウントおよびRAMユーザーで作成することができますが、以下の理由で、rootアカウントは権限を限定することが出来ないため、RAMユーザーの AccessKeyの利用を推奨します。 ● rootアカウントの AccessKeyにRAMポリシーを適用することができません。 ● RAMユーザーのAccessKeyはRAMポリシーでの制御が可能です。

(24)

© 2019 SB Cloud Corp. 5.2.7: OSユーザーのアカウントの管理 24 ● Linux環境では rootユーザーでの直接リモートログインは原則禁止します。 ● Windows環境では、Administrator権限でのログインはできる限り直接ログインは避けます。 ● 役割(開発者/運用者等)もしくは利用者ごとに、ユーザーアカウントを作成します。 ● 必要最小限にユーザーアカウントに権限を付与します。 ● 定期的にアカウントの棚卸しを行います。

(25)

5.2.8: OSユーザーのアカウントアクセス制御 ● 必ず踏み台経由で、各ECSインスタンスへログインします。 ● セキュリティグループを利用して、リモートアクセス元を制限します。 ● Linuxの場合は公開鍵認証でのリモートログインを推奨します。 ※公開鍵の運用は社内の運用ポリシーに従い、更新を行います。 ● Windowsの場合は強力なパスワードポリシーをユーザーアカウントに適応することを推奨します。

(26)

© 2019 SB Cloud Corp. 5.2.9: RDSユーザーの管理とアクセス制御 26 ● 接続経路はイントラネットアドレスでの通信を推奨します。 ※インターネットアドレスの作成は回避方法が無い場合にのみに留めます。 ● 初期状態ではすべてのリモートホストから接続出来ず、ホワイトリストでRDSへ接続するアクセス元を許可します。 ● データベースアカウントに必要最小限の権限のみを付与します。

(27)

5.3 インフラセキュリティ

5.3.1 インフラセキュリティの概要

5.3.2 ネットワークの保護

5.3.3 Alibaba Cloudリソースの保護

5.3.4 ECSインスタンスの保護

(28)

(29)

5.3.2: ネットワークの保護 ● インターネット通信 / VPC内通信のアクセス制御 ○ 下記の例に示す通り、 Alibaba Cloudが提供する機能を利用して制御します。 ■ ECS : セキュリティグループ ■ RDS : ホワイトリスト ■ SLB : ホワイトリスト / ブラックリスト ■ OSS : バケットACL ● WAFによるオリジンの保護

○ Alibaba Cloud WAFは、インターネットからアプリケーションへのサイバー攻撃から保護することが可能です。

● AntiDDoS BasicによるDDoS攻撃の防御

(30)

5.3.3: Alibaba Cloudリソースの保護

30

● RAMによる権限の制御

○ RAMはAlibaba Cloudのサービスへの操作を制御できるサービスで、 RAMポリシーで具体的な制御内容を定義できます。 ○ RAMユーザーの管理及びアクセス制御に関しては【5.2: ID & アクセスマネジメント】にてご確認くださ い。 ● ActionTrailによる操作の記録 ○ ActionTrailはAlibaba Cloudに対する操作の記録ができ、セキュリティ分析、リソースの変更の追跡、監査証跡ログとしてコンプライアンス監査に利用されます。

(31)

5.3.4: ECSインスタンスの保護 ● ECSインスタンスへのアクセス制御はセキュリティグループで実施します。 ● セキュリティグループは役割ごとに作成して、ECSインスタンスに最大5つまで割り当てることが可能です。 ● ECSインスタンス内部(OS以上の部分)の保護は必要に応じて、脆弱性・バグフィックスを解消するアップデートや、サードパーティ製のアンチウィルス製品やIDS / IPS の製品の利用を、利用者にて検討して実施します。

(32)

5.4 ログ管理

5.3.1 ログ管理の概要

5.3.2 ログ管理の全体像

5.3.3 ログ管理と運用

5.3.4 セキュリティログの保護

5.3.5 セキュリティログの活用

(33)

5.4.1: ログ管理の概要

● 概要

○ 監査・障害発生時の確認を目的として最大限のログ保存を推奨します。各種ログは LogHubで収集し、OSSを活用して保存、検知に務めることを推奨します。

● 詳細

○ ActionTrailを有効にした上で、トレイルを作成し OSS/Log Serviceへの保存を行うことを強く推奨します。

○ 各プロダクトで初期状態でログ取得が無効になっているものがあるため、有効になっているかを確認します。

○ OSS等への保存設定はそれぞれ実施します。

(34)

(35)

5.4.3: ログ管理と運用 ● ログをOSSに保存する場合は、ライフサイクルを設定し、コストの最適化を図ります。 ● 異常インシデントを検出できるようにします。 ● ログは、一般のログとセキュリティログに分類し、セキュリティログは一般のログと比べて、不正な改ざんや削除などが行われないように厳しい管理を行う必要があります。

(36)

© 2019 SB Cloud Corp. 5.4.4: セキュリティログの保護 36 セキュリティログにはAlibaba Cloudの操作ログ(ActionTrailログ)や、OS内部の操作ログがあります。セキュリティログは一般のログと区別し、保存したOSS Bucketへのアクセスを制御することでログを保護します。 ※ OS内部の操作ログを OSSに保存するには、別の設定が必要です。 ● RAMポリシーによる保護 ○ 下記例のような RAMポリシーをすべての RAMユーザーに適応します。 ● Bucketポリシーによる保護 ○ 特定のBucketにBucketポリシーを設定することにより、サブアカウント (RAMユーザー) / その他のアカウント / 匿名アカウント (*)に対して、指定された条件で認可する操作の設定が可能です。

(37)

5.4.5: セキュリティログの活用

● ActionTrailはLog Serviceとの連携が可能です。ActionTrailログの可視化やイベント通知をご検討ください。

(38)

© 2019 SB Cloud Corp. 参考：ActionTrail 38 ● ActionTrail とは ○ リソースの操作履歴の記録、操作履歴の検索、操作履歴の OSS Bucketへの保存が可能です。 ○ 操作履歴を分析することで、リソースの変更管理はもちろん、セキュリティ管理やコンプライアンス監査にも対応できます。 ○ 記録の範囲には、 API呼び出しとコンソール操作を含みます。 ○ コンソール上での保管は過去 30日間。それ以上は OSSへ保存します。 ○ 操作後、5分以内にOSS Bucketへ、10分以内にイベントを処理します。 ● ActionTrail対応プロダクト一覧 ○ https://jp.alibabacloud.com/help/doc-detail/28829.htm

(39)

参考：Log Service

● Log Serviceは、Alibaba Cloudのプロダクトだけで無く、Webサービスのログ収集なども可能な汎用的なログサービスを提供します。 ● 対応サービス： https://jp.alibabacloud.com/help/doc-detail/28981.html ● LogServiceには以下のようなユニットが存在して相互に連携して動作します。ユニット内容ログの収集エージェントログの収集

(40)

5.5 データ保護

5.5.1 データ保護の概要

5.5.2 通信経路におけるデータ保護

5.5.3 保存先におけるデータ保護

(41)

5.5.1: データ保護の概要 Alibaba Cloud上のデータ保護については、主に下記3点があります。 ● 通信経路におけるデータ保護 ○ IDCとAlibaba Cloud間 ○ Alibaba Cloudのプロダクト間 ■ ECSとその他、VPCとVPC ○ Alibaba Cloudとクライアント間 ● 保存先におけるデータ保護 ○ ストレージ ■ OSS、Cloud Disk、NAS ○ データベース

(42)

5.5.2: 通信経路におけるデータ保護 - IDCとAlibaba Cloud間

42

● お客様のIDCとAlibaba Cloud間の通信経路はExpress Connectでの閉域網通信もしくはVPN Gatewayでの暗号化したインターネットVPNを推奨します。

(43)

5.5.2: 通信経路におけるデータ保護 - Alibaba Cloudのプロダクト間 ● ECSと他のプロダクト間の通信 ○ RDS、OSS、TableStoreなど、イントラネット通信のエンドポイントを提供されているプロダクトに関しては、イントラネット通信を推奨します。 ● VPCとVPC間の通信 ○ Express ConnectもしくはCENでの閉域網通信を推奨します。

(44)

5.5.2: 通信経路におけるデータ保護 - Alibaba Cloudとクライアント間

44

● SLBやCDNとクライアント間のデータのやり取りは証明書を利用した暗号化された経路内で行うことを推奨します。

Alibaba CloudのSSL Certificates Serviceで、SSL証明書の申請・購入・管理が可能です。(現時点では更新が出来ないためご注意ください)

(45)

5.5.3: 保存先におけるデータ保護 - ストレージ ● Alibaba Cloudのストレージは、下記3種類のサービスがあります。 ○ オブジェクトストレージ : OSS ○ ブロックストレージ : Cloud Disk ○ ファイルストレージ : NAS プロダクト内容備考サーバサイド暗号化のにを設定中国のリージョンのみサポートクライアント暗号化お客様独自のキー利用のみクライアント側での暗号化に対応を作成する際に、を利用した暗号化ディスクを選択暗号化されたディスクのスタップショットも暗号化される

(46)

5.5.3: 保存先におけるデータ保護 - データベース

46

● ApsaraDB for RDSを利用する場合、データファイルに対してリアルタイムの I/O の暗号化できるTransparent Data Encryption(TDE)機能を利用することができます。

※ TDEはMySQL5.6、SQLServer 2008 R2のみサポート

● Table Storeを利用する場合、必要に応じてKMS (Key Management Service) もしくはクライアント独自の暗号化キーでデータを暗号化してから格納します。

(47)

5.5.4: 物理インフラにおけるデータ保護 ● Alibaba Cloud は、デバイスの受け取りから保管、配置、メンテナンス、移動、再利用、廃棄まで、ライフサイクル全体にわたってセキュリティ管理システムを確立しています。 ● デバイスのアクセス制御や動作監視は厳密に管理され、デバイスの点検は定期的に行われます。特に、デバイスがリサイクルまたは廃棄される場合、ストレージメディアに対して上書き、消磁、物理的破壊などのデータ消去対策を行います。 ● Alibaba Cloud は業界標準を満たすデータ消去技術を使用しています。廃棄操作はお客様のデータへの不正なアクセスを防ぐために記録されます。

(48)

6. 運用機能

6.1 システム監視

6.2 パッチ管理

6.3 バックアップ管理

6.4 ジョブ管理

6.5 構成管理

(49)

6.1 システム監視

6.1.1 システム監視の概要

6.1.2 CloudMonitorで取得可能なメトリック

6.1.3 アラームの種類と通知について

(50)

© 2019 SB Cloud Corp. 6.1.1: システム監視の概要 50 ● Alibaba CloudのCloudMonitorを利用してサーバのリソース状況や各種マネージドサービスの利用状況の監視を行います。CloudMonitorのアラーム機能を活用して、異常な状態の検知を行うこともできます。 ● 主な機能は下記の通りです。 ○ Alibaba Cloudのリソースの利用状況、キャパシティ ○ 取得したメトリックの可視化 ○ 取得したメトリックをもとにしたアラート

(51)

6.1.2: CloudMonitorで取得可能なメトリック ● 標準で取得可能なもの (ECS) ○ CPU使用率 ○ インターネット In/Out トラフィック量・レート ○ システムディスクの IOPS、読み書きデータ量 ● エージェントで取得可能なもの (ECS)

○ CPUメトリック (例: idle time, system, userなど) ○ メモリーメトリック (例: メモリ量, 使用メモリ量など ) ○ ロードアベレージ ○ ディスクメトリック (例: ディスク使用率など ) ○ ネットワークメトリック (例: TCPコネクション数など ) ○ プロセスメトリック (例: 特定のプロセスの CPU使用率やプロセス数など ) ● マネージドサービス取得可能なメトリックの詳細はこちらをご確認。

(52)

© 2019 SB Cloud Corp. 6.1.3: アラームの種類と通知について 52 ● しきい値アラームメトリックに対して、しきい値を設定することができ、それに応じてアラームを発報させることができます。主な機能は下記のとおりです。 ○ しきい値設定 ○ アラーム設定 ■ メール及びHTTPを使ったcallbackの設定が可能 ■ 復旧時のメール通知 ○ サイレントアラーム機能 ■ 連続してアラームが発生しないようサイレント期間を設定することが可能 ● イベントアラーム Alibaba Cloud内のイベント（例えば、メンテナンスによるサーバの再起動）に対してアラートや特定の処理を実行することができます。 ○ アラーム設定イベントをトリガーにメール通知を始めとした下記の連携が可能 ■ メール通知 ■ Message ServiceへのQueue登録 ■ Function Computeの関数呼び出し ■ HTTPを使ったcallbackの設定

(53)

6.1.4: CloudMonitorと3rd-party Service(Zabbix)の比較 CloudMonitor Zabbix リソース監視(ECS) ◯ ◯ リソース監視 (マネージド・サービス) ◯ ✕ CloudMonitor APIで取得したデータを収集可能カスタムメトリック ◯ ◯ インスタンスの監視 △ ◯ (ICMPやTCPなどでの外形監視) プロセス監視 △ ◯ Web監視 ✕ ※エージェントからのローカルは可能のように見える ◯ ログの監視 ✕ ※LogServiceにて可能 ◯

(54)

© 2019 SB Cloud Corp. 参考：サンプルアーキテクチャと通知フォロー 54 ECS SLB RDS Cloud Monitor マネージドサービス仮想サーバ Alibaba Cloud上にZabbixなどの監視サーバを構築する場合はメールの送信について外部サービスをご利用いただく必要があります。 APIを通じてZabbixにデータを集約することも可能。 agentをインストールすることでより詳細な情報の取得が可能

(55)

6.2 パッチ管理

6.2.1 パッチ管理の概要

6.2.2 パッチ適用役割分担

(56)

© 2019 SB Cloud Corp. 6.2.1: パッチ管理の概要 56 ● 概要 ○ 脆弱性の解消を主な目的としたパッチマネジメントを計画します ● 詳細 ○ 別表の通り、マネージドサービスはパッチ管理の必要性が無いため工数が削減できます。 ○ ECSなどの自己管理が必要なサービスを利用時は、脆弱性情報の収集、脅威の判定、アップデートのタイミングの計画、影響の出るステークホルダへの連絡手順などをあわせて整備します。

(57)

6.2.2: パッチ適用役割分担 対応主体サービス対象収集・準備適用判断適用実施再起動時間指定物理ホストクラウド事業者クラウド事業者クラウド事業者クラウド事業者その他基盤機器クラウド事業者クラウド事業者クラウド事業者クラウド事業者利用者利用者利用者利用者利用者利用者利用者利用者アプリケーション利用者利用者利用者利用者クラウド事業者利用者クラウド事業者利用者エンジンメジャーアップデートクラウド事業者利用者クラウド事業者利用者エンジンマイナーアップデートクラウド事業者利用者クラウド事業者利用者

(58)

6.3 バックアップ管理

6.3.1 バックアップの概要

6.3.2 バックアップの管理

(59)

6.3.1: バックアップの概要 ● 概要 ○ データの意図しない破損等のトラブルへの対応を目的として取得します。 ● 詳細 ○ バックアップの方針は以下の通り ■ ステートレスな OSは、種類ごとにテンプレートイメージ (カスタムイメージ )を用意し再構築可能なように準備してください。 ■ バックアップの取得のために、事前に静止点を確保するように設計してください。 ■ ECSインスタンス構築時には OSとデータはディスク（ブロックストレージ）を分けるように設計してください。 ■ データを保持するディスクには自動スナップショットポリシーを設定してください。 ■ カスタムイメージ (マーケットプレイスを元にしている場合を除く )とスナップショットは無料です。 ■ ファイルとして取得できるバックアップは、 OSSに保存しライフサイクルを設定し、コストを最適化してください。

(60)

© 2019 SB Cloud Corp. 6.3.1: バックアップの管理 60 対象対象タイミング静止点取得方法・保管先補足ステートレスなシステム構成変更時イメージステートフルな日次必要スナップショット原則として構築を避けるデータ日次必要スナップショット以外日次をダンプしへファイルコピー随時不要へファイルコピー日次をダンプしへファイルコピー随時不要へファイルコピーミドルウェア設定ファイル等と同じバックアップとして取得アプリケーションソースファイル等無しソースファイルは等で管理

(61)

参考：スナップショット ● スナップショット2.0は現在は無料で利用できます。 ● 自動スナップショットポリシー ○ ポリシーを作成することで、自動的にディスクのスナップショット (バックアップ)を取得ことが可能です。 ○ 実行時間を複数指定出来ますが UTC+8(中国時間)での実行です。日本時間より 1時間遅いのでご注意ください。 ○ 保存期間を設定可能です。 ○ あまり近い時間を指定する場合において、データ量が多いと次の実施時間までに作成が終わらない場合があります。その場合は次の取得はキャンセルされます。 ● ディスクごとに64個までスナップショットが取れます。64個を超えたスナップショットを取得しようとすると、最も古いスナップショットが削除されます。

(62)

© 2019 SB Cloud Corp. 参考：イメージ(機能) 62 イメージは基本的には無料でご利用頂けます。イメージには、Alibaba Cloudが提供するパブリックイメージと、ユーザご自身で作成出来るカスタムイメージなどが有ります。イメージを元にインスタンスのディスクを作成することが出来ます。カスタムイメージを作成するには、3つの方法があります。 ● スナップショットから作成します（バックアップ）。 ● インスタンスのディスクから作成します。 ● カスタムイメージのインポートして作成します。マーケットプレイスを元にしたディスク・スナップショットを元に作成する場合は、料金がかかる場合があります。

(63)

6.4 ジョブ管理

6.4.1 ジョブ管理の概要

6.4.2 イベントドリブン型 Function Compute

6.4.3 ジョブ管理ツール比較表

(64)

© 2019 SB Cloud Corp. 6.4.1: ジョブ管理の概要 64 ● 概要 ○ アプリケーションやインフラ運用の省力化を目的にジョブを実行する場合は、ジョブ要件に合わせて実行環境を選択して、設計を行ってください。 ○ 次々ページにAlibabaCloud上でどのような実行環境があるかを記載しますので参考にしてください。 ● 主な実行方式 ○ Function Compute ○ Cron ○ 3rd-party・ジョブ管理ツール

(65)

6.4.1: イベントドリブン型 Function Compute Function Compute はイベント駆動型のフルマネージドコンピューティングサービスです。特定のイベントをトリガーに一時的にコンピューティングを利用することができ、ジョブの代用として活用することもできます。ただし、ジョブの実行時間に制限があるため、長時間の処理などには向いていないこともあります。 ● 主なトリガー ○ タイマートリガー ○ オブジェクトストレージのイベント ○ HTTPトリガー ○ API Gateway ○ LogService

(66)

6.4.3: ジョブ管理ツール比較表

66

Function Compute Cron ジョブ管理ツールジョブプログラム Java, nodejs, Python,

PHPなど規定のもの OS上で動作するもの OS上で動作するもの起動トリガー時間トリガークラウド上の特定のイベントトリガー時間トリガーツールに依存時間トリガーや他のジョブの結果をトリガーにするなどジョブ管理マニュアルマニュアルツールに依存 GUI形式の場合もあるコスト実行時間分の課金実行インスタンス費用の課金実行インスタンス費用+ライセンス費用の課金

(67)

参考：構成例以下、アップロードした画像の圧縮やリサイズを行うジョブになります。業務システムジョブサーバ 5分ごとにポーリング処理して格納画像のアップ Cronを 使った形式費用や実行までの時間で大きく差が出るポイント。

(68)

6.5 構成管理

6.5.1 構成管理の概要

6.5.2 Terraformによるインフラの構築と管理

6.5.3 PackerによるOSイメージの構成と管理

(69)

6.5.1: 構成管理の概要

● 仮想化技術により、インフラの構築が簡単になりましたが、管理対象の増加とシステムの複雑化と伴い、手動での管理には限界があります。

Alibaba Cloudでは Infrastructure as Code に基づいて、TerraformやPackerと いったツールを利用した構成管理を推奨します。対象管理ツール例ミドルウェア Ansible, Packer OS クラウド構成

(70)

6.5.2: Terraformによるインフラの構築と管理

70

● Terraformはコードによるインフラを構築・管理できるツールで、 Alibaba Cloudは 2016年にTerraformサポートを宣言しました。

● Terraformはユーザーが定義した設定ファイルに基づいて、Alibaba Cloudのインフラストラクチャーの構築・変更ができます。

● ユーザーはTerraformの設定ファイルの管理を通じて、Alibaba Cloudのインフラストラクチャーを管理できます。

(71)

6.5.3: PackerによるOSイメージの構築と管理 ● Packerはマシンイメージを作成できるツールで、Alibaba Cloudは2016年にPacker サポートを宣言しました。 ● Packerはユーザーが定義したタスクに基づいて、必要な設定やミドルウェアのインストールを実行したあと、そのOSイメージを作成します。 ● ユーザーはPackerの設定ファイルの管理を通じて、OSレベルの設定を管理できます。

(72)

Appendix

72 ● セキュリティホワイトペーパー (英語版) ○ 英語版URL: https://www.alibabacloud.com/help/faq-detail/42435.htm ※日本語版が必要な場合はSBクラウドまでお問い合わせください

(73)

更新履歴

バージョン変更日内容

(74)

Alibaba Cloud 導入アドバイザリ Ver.1.00 SB Cloud 技術部 2019年4月1日 2019 SB Cloud Corp.