Amazon Web Services ブログ
re:Invent 2024 での AWS のクラウド運用における主要な発表
re:Invent 2024 で Nandini Ramani (VP Search Observability & Cloud Ops) により、AWS がクラウド運用 (Cloud Operations) の未来をどのように作っていくのかをお見せしました。このブログ記事の 3 つのセクションでは、クラウドオペレーションをより俊敏で効率的、そして安全なものに変革するための主要な AWS のクラウド運用関連の発表を取り上げています。これらの機能により、1/ クラウドガバナンスの変革、2/ インフラストラクチャ、アプリケーション、ネットワーク、データベース、コンテナの観測の変革、3/ 観測したものの分析の変革が可能になります。
1. クラウドガバナンスの変革
クラウド運用を変革するには、適切なツールとガバナンスフレームワークを選択して始める必要があります。これらのツールにより、一貫した可視性を確保し、望ましくない非準拠アクションを防ぐことができます。さらに、簡単かつスケーラブルに統制を適用できるため、設定の逸脱を防止し、セキュリティとコンプライアンスを改善できます。
Node management experience in AWS Systems Manager
AWS Systems Manager のノード管理体験が新しくなり、ノード管理の簡素化によって運用を効率化できるようになりました。EC2 インスタンス、ハイブリッド、マルチクラウド環境で実行されているサーバーなど、あらゆる場所で実行されているノードを簡単に管理できます。包括的で集中管理されたビューから、大規模なノード管理が可能になり、管理されていないノードを特定、診断、修復することもできます。また、Systems Manager は Amazon Q Developer と統合されたため、AWS コンソールのどこからでもノードの状況を確認し、制御できるようになりました。
Resource control policies
AWS Organizations のリソースコントロールポリシー (RCP) は、AWS 環境全体でデータ境界を中央集権的に構築することができる予防的コントロールです。RCP を使用すると、AWS リソースへの外部からのアクセスを大規模かつ中央集権的に制限できます。例えば、RCP を使用すると、「組織外のプリンシパルが組織内の Amazon S3 バケットにアクセスできない」という要件を実現できます。これは、個々のバケットポリシーで付与された権限に関係なく適用されます。RCP は、既に存在する組織ポリシーの実現の手段の 1 つであるサービスコントロールポリシー (SCP) を補完します。SCP では、組織内の IAM ロールとユーザーが持つ権限の範囲を中央集権的に制御できますが、RCP では、組織内の AWS リソースが持つ権限の範囲を中央集権的に制御できます。AWS Control Tower を使用して、RCP ベースの構成可能なマネージドコントロールをデプロイできます。
Declarative Policies
宣言的ポリシー (Declarative Policy) は、AWS Organizations の新しい予防的コントロールです。このポリシーで、組織内の AWS サービスのベースライン構成などをお客様が簡単かつ継続的に実施できるようになります。宣言的ポリシーは、ポリシーに準拠していない操作を防ぐように設計されています。例えば、お客様は宣言的ポリシーを使用して、特定のプロバイダーが提供する AMI を使用したインスタンスの起動のみを許可するように EC2 を設定することや、組織全体で VPC でのパブリックアクセスをブロックすることが可能となります。宣言的ポリシーで定義された設定は、サービスが新しい API や機能を追加したり、お客様が組織に新しいプリンシパルやアカウントを追加した場合でも維持されます。現在、宣言的ポリシーは EC2、EBS、VPC の設定をサポートしています。また、AWS Control Tower での宣言的ポリシーを使用して実装されたマネージドコントロールを発表しました。
Enhanced event selectors on AWS CloudTrail Lake
アクティビティログや AWS Config の設定項目をキャプチャ、イミュータブルに保存、アクセス、分析するのに役立つマネージドデータレイクである AWS CloudTrail Lake のイベントフィルタリングを強化しました。強化されたイベントフィルタリングは、既存のフィルタリング機能を拡張し、CloudTrail イベントがイベントデータストアに取り込まれるかどうかをより細かく制御できるようになりました。この強化により、セキュリティ、コンプライアンス、運用における調査の効率と精度が向上し、コストを削減できます。
Centralized resource context and quick actions in AWS Resource Explorer
AWS Resource Explorer で、AWS サービスからのリソースの分析とプロパティを集約する新しいコンソール体験をリリースしました。これにより、キーワードベースの検索で AWS リソースを簡単に検索し、関連するリソースプロパティを表示し、リソースを確実に管理するためのアクションを実行できる単一のコンソール体験が提供されます。AWS Cost Explorer によるリソースレベルのコスト、AWS Security Hub の検出結果、AWS Config のコンプライアンスと設定履歴、AWS CloudTrail によるイベント履歴、および接続されたリソースを可視化する関係グラフを確認できるようになりました。
2. 観測の変革
スケーラブルかつ効率的な運用のためには、オブザーバビリティ (可観測性) がビジネス上の重要課題です。迅速に意思決定を行い、問題の根本原因を特定し、より効率的に運用するためには、可視性が必要です。AWSは、アプリケーション、インフラストラクチャ、ネットワーク、データベース、コンテナを観測するための新機能を発表しました。主な内容は以下のとおりです。
Amazon CloudWatch adds context to observability data in service console, accelerating analysis
Amazon CloudWatch は、オブザーバビリティデータにコンテキストを追加し、ITオペレーター、アプリケーション開発者、サイト信頼性エンジニア (SRE) が関連するテレメトリ間を簡単に移動し、リソース間の関係を視覚化し、分析を加速することができるようになりました。この新機能は、さまざまなメトリクスとログからほぼリアルタイムの洞察を獲得し、問題の根本原因をより早く特定し、運用効率を向上させます。この機能により、Amazon CloudWatch は自動的にオブザーバビリティデータと関連する AWS リソース (Amazon EC2 インスタンスや AWS Lambda 関数など) の関係を視覚化します。
Amazon CloudWatch adds network performance monitoring for AWS workloads using flow monitors
Amazon CloudWatch Network Monitoring では、フローモニターを使用して、AWS ワークロードのネットワークパフォーマンスを監視できるようになりました。この新機能により、Amazon EC2 や Amazon EKS などのコンピュートインスタンスと、Amazon S3、Amazon RDS、Amazon DynamoDB などの AWS サービス間のワークロードのネットワークパフォーマンスをリアルタイムに可視化できるため、ワークロードのネットワーク障害を迅速に検出して特定できます。CloudWatch Network Monitoring は、フローモニターによって、AWSワークロードのTCPベースのパケットロスやレイテンシ、ネットワーク正常性といったメトリクスを提供し、問題の根本原因を迅速に特定できるようにサポートします。
Amazon CloudWatch Database Insights for Amazon Aurora
Amazon Aurora PostgreSQL および Amazon Aurora MySQL をサポートする Amazon CloudWatch Database Insights を発表しました。Database Insights は、DevOps エンジニア、アプリケーション開発者、データベース管理者 (DBA) がデータベーストラブルシューティングを迅速に行い、データベース群の全体的な健全性を把握できるように設計されたデータベースオブザーバビリティソリューションです。Database Insights は、アプリケーション、データベース、およびそれらが実行されているオペレーティングシステムからログとメトリクスを統合し、コンソールに統一されたビューを提供します。
Amazon CloudWatch Container Insights launches enhanced observability for Amazon ECS
Amazon CloudWatch Container Insights は、Amazon EC2 および Amazon Fargate で実行される Amazon Elastic Container Service (ECS) のオブザーバビリティを強化し、クラスターレベルからコンテナレベルまで詳細なメトリクスを追加設定なしで提供することで、問題の特定とトラブルシューティングを迅速化します。強化されたオブザーバビリティにより、お客様は様々なコンテナレイヤーを視覚的に掘り下げて確認し、個々のコンテナにおけるメモリリークなどの問題を直接特定できるため、平均修復時間を短縮できます。
Amazon CloudWatch launches observability solutions for AWS services and workloads on AWS
オブザーバビリティソリューションは、AWS でのインフラストラクチャとアプリケーションの監視を迅速に開始するのに役立ちます。オブザーバビリティソリューションを使用すると、Java 仮想マシン (JVM)、Apache Kafka、Apache Tomcat、または NGINX などの一般的なワークロードと AWS サービスに焦点を当てたオブザーバビリティガイダンスを提供するソリューションのカタログから選択できます。ソリューションには、Amazon CloudWatch エージェントのインストールと設定、事前定義されたカスタムダッシュボードの展開、メトリックアラームの設定などの監視タスクが含まれています。
AWS Fault Injection Service now generates experiments reports
AWS Fault Injection Service (AWS FIS) は、実験レポートを生成するようになり、これによってレジリエンステストのエビデンスを作成する時間と労力を削減します。レポートでは、実験アクションの要約と、お客様が作成した Amazon CloudWatch ダッシュボードからのアプリケーション応答がキャプチャされます。AWS FIS を使用すると、障害復旧とフェイルオーバーテストの訓練時に現実にあるような障害状況を作り出す障害挿入の実験を行えます。
3. 分析の変革
生の運用データから性能の問題や根本原因を特定するのは時間がかかることがあります。すべての生データを保存するためのスケーラビリティ、データをインデックス化して分析するためのクエリエンジン、さまざまなシステム間でデータをコピーする必要がないことが必要です。以下をお読みいただき、AWS が Amazon CloudWatch と Amazon OpenSearch Search の新機能、ゼロ ETL 統合によって、検索と分析体験をどのように改善しているかをご覧いただくことで、オブザーバビリティと分析を強化するためにベストな AWS ソリューションが選択できるようになります。
Amazon CloudWatch Application Signals with complete visibility into application transaction spans
CloudWatch Application Signals における強化された検索と分析の体験をリリースしました。この機能により、開発者とオンコールエンジニアは、アプリケーショントランザクションスパン (application transaction span = ユーザーとさまざまなアプリケーションコンポーネント間の詳細な相互作用を記録した、分散トレースの構成要素) に対する完全な可視性を獲得できます。開発者は、インタラクティブなビジュアルエディタと Logs Insights クエリの強化を通じて、アプリケーションのパフォーマンスやエンドユーザーへの影響に関するあらゆる質問に答えることができます。CloudWatch Logs は、データマスキング、サブスクリプションフィルタを介した転送、メトリック抽出など、トランザクションスパンに対する高度な機能を提供します。
Amazon OpenSearch Service zero-ETL integration with Amazon CloudWatch
私たちは Amazon CloudWatch と Amazon OpenSearch Service の最高の体験を提供するため、両サービスの統合された新しい分析体験とゼロ ETL 統合を発表しました。CloudWatch のお客様は、OpenSearch の Piped Processing Language (PPL) および OpenSearch SQL を活用できるようになりました。さらに、CloudWatch のお客様は、Amazon Virtual Private Cloud (VPC)、AWS CloudTrail、AWS Web Application Firewall (WAF) などの Vended Log 用の事前構成済みダッシュボードを使用して、トラブルシューティングを加速できるようになりました。OpenSearch のお客様は、データを複製する必要なく、CloudWatch Logs を分析できるようになりました。
Amazon OpenSearch Service zero-ETL integration with Amazon Security Lake
Amazon OpenSearch Service が、Amazon Security Lake とのゼロ ETL 統合を提供するようになり、OpenSearch を介して直接セキュリティデータをクエリ分析できるようになりました。この統合により、従来は分析コストが高額になりがちだった大量のデータソースを効率的に調査できるようになり、セキュリティ調査を合理化し、セキュリティ環境の包括的な可視性を得ることができます。データを選択的に取り込むことができ、複雑なデータパイプラインを管理する必要がなくなったため、効果的なセキュリティオペレーションに集中しながら、分析コストを削減できる可能性があります。
Next-gen Amazon OpenSearch Service UI for enhanced data exploration and collaboration
Amazon OpenSearch Service はモダンな運用分析エクスペリエンスを提供開始しました。これによってマネージドドメインとサーバーレスコレクションにまたがるデータの洞察を一つのエンドポイントから得ることができます。新しい OpenSearch 分析エクスペリエンスは、Observability、Security Analytics、Essentials、 検索の各ユースケース向けの機能を提供することで、ユーザーが運用データから洞察を得られるようにします。また、このリリースにはチームが専用のスペースを作成でき、コラボレーションと生産性の向上が図られています。ユーザーは、基盤となるマネージドクラスターやコレクションのバージョンに関係なく、最新の UI の機能強化を利用できます。
AWS CloudTrail Lake announces two AI-powered capabilities
AWS CloudTrail Lake における 2 つの AI による機能強化を発表しました。これらの新機能はログ分析を簡素化し、AWS の環境全体でより深い洞察と迅速な調査を可能にします。1/ CloudTrail Lake の AI による自然言語クエリ生成機能がリリースされました。これにより、複雑な SQL クエリを記述することなく、AWS でのアクティビティについて平易な英語で質問できるようになりました。2/ AI によるクエリ結果要約機能 (プレビュー) は、クエリが自然言語クエリ生成機能で生成されたものか手動で記述したSQLであるかに関わらず、自然言語で要約を提供します。例えば、アクセスが拒否されたリクエストが最も多いユーザーを見つけるクエリを実行した後、「要約」をクリックすると、調査結果から要点の概要を取得できます。
AWS CloudTrail Lake launches enhanced analytics and cross-account data access
AWS は AWS CloudTrail Lake に 2 つの重要な機能強化を発表しました。1. 包括的なダッシュボード機能で、新しい「ハイライト」ダッシュボードが AI による分析機能 (プレビュー中) を含む AWS アクティビティログの概要を一目で把握できるようになりました。2. イベントデータストアのクロスアカウント共有機能で、リソースベースのポリシー (RBP) を使用して選択した IAM アイデンティティに対し、イベントデータストアを安全に共有できるようになりました。
まとめ
re:Invent 2024 で、AWS は運用をより安全で俊敏、効率的、そしてインテリジェントなものにするための強力な新機能を発表しました。Systems Manager での強化されたノード管理、宣言的ポリシーおよびリソースコントロールポリシーによる新しい予防統制機能などでガバナンス機能を改善することができます。オブザーバビリティの課題に対処するため、AWS は CloudWatch の新機能を発表しました。テレメトリにコンテキストを追加する、ネットワークフローを監視する、Amazon Aurora のデータベースの分析を行う、ECS のオブザーバビリティを強化するといったことが可能になります。CloudWatch のアプリケーショントランザクションスパン、新しいゼロ ETL 統合、OpenSearch Service の改善により、運用データとセキュリティデータの分析方法を変革できます。最後に、AWS は機能とサービスを接続することで、コンテキストの構築、データのコピー、ポリシーの管理、ETL パイプラインの保守などの必要がなくなり、より統合された一体型の体験ができるようになりました。これにより、お客様がアプリケーションを開発し、提供することに集中できます。
このブログの翻訳はソリューションアーキテクトの 堀 貴裕 が担当しました。原文はこちらです。